terça-feira , março 28 2017
Últimas Notícias

Análise de trojan downloader

Olá! O objetivo deste artigo é mostrar algumas informações do malware coletado, e mostrar também como os malwares podem se propagar pelas redes sociais (neste caso, o Facebook).

Recebi esse executável por um spam, daqueles em que seu amigo te marca junto com outras 49 pessoas. Lá dizia que estavam testando um novo recurso de vídeos do face. Como sei que esse tipo de spam geralmente é feito para espalhar malwares, resolvi baixar para ver o que era. E já começamos a ver as irregularidades.
O nome do arquivo original é “VIDEOS_OLINE_NO_FACEBOOCK.exe“, e tem aparentemente 20kb em disco. (fiquei um tempo rindo do “faceboock”)


Pelo PEiD, podemos verificar que o arquivo está compactado pelo packer UPX. O UPX é o packer mais conhecido, e ele próprio tem um parâmetro de descompactação, então podemos obter o binário original sem muitas dificuldades.


Agora o tamanho dele subiu para 52kb, e, novamente com o PEiD, podemos conferir que ele foi escrito na linguagem VB6.


Usando o AnalogX TextScan para vermos suas strings, notamos que há algumas strings que “denunciam” o autor do malware, que provavelmente se chama Igor. Como a pasta de compilação do projeto se chama “to tranpando”, suspeito que seja algo relacionado a carding/banking, já que essa gíria é usada pelos crackers destas áreas.


Descendo um pouco mais nas strings, veremos que há algumas funções de comando usadas pelo FTP, além de nomes de alguns arquivos como “info_infect.exe“, “line_face.exe“, e outros arquivos de textos, além de uma URL encurtada pelo Google, que redireciona para um vídeo privado no youtube (http://goo.gl/MWSEls). Vemos também uma cadeia de strings em espanhol, que fazem referência ao status da conexão do FTP. Procurei um pouco mais, mas não encontrei o host, usuário, nem senha do servidor.


Com o Dependency Walker, nós podemos ver todas as bibliotecas de vínculo dinâmico (dll) usadas pelo programa, assim como todas as funções chamadas. Descobrimos então que ele chama uma função de criptografia.

 

Como nós já sabemos, o malware foi feito na linguagem VB6, que pode ser descompilada usando o VB Decompiler. Analisando os módulos, encontrei um código interessante, que é concatenado com o código que conecta ao FTP. Veja as strings destacadas, elas parecem estar criptografadas (com excessão da primeira), por isso nós vimos o programa chamar a biblioteca de criptografia do windows.

 

Será o servidor, login e senha, respectivamente? A primeira string criptografada é grande, comparada às outras, então eu imagino que seja o endereço do FTP do cara. Vamos ver… Vamos abrir o executavel no OllyDBG para tentarmos descobrir o endereço de retorno da função de descriptografia. A offset da primeira string é loc_40625E, como é possível ver no print. Então vamos a esse endereço no olly. Veja na imagem que nós achamos o lugar da string, e logo abaixo há uma chamada de uma função (CALL VIDEOS_O.00405B90), e provavelmente é a função de descriptografia.

 

Vamos até essa função para vermos em que lugares ela é chamada no código.

Como podemos ver no print acima, no “Local calls from” nós temos 3 endereços, ou seja, ela é chamada em 3 lugares diferentes, e são justamente nos lugares onde as 3 strings criptografadas se encontram. Bom, já temos a nossa função de descriptografia, agora vamos colocar um breakpoint em cada chamada dela para retornar o resultado sem executar o resto do código. (Para quem não sabe, breakpoint é uma parada intencional em uma determinada parte do código. Nesse caso, vamos parar apenas na linha de retorno da função, e não vamos executar o resto do programa.

PIMBA! Conseguimos achar o endereço FTP, usuário e senha! ftp.weversonjesussilvagmail.com, weversonje1, oi102030oi, respectivamente. Tentei conectar, mas as credenciais estão incorretas, ele deve ter alterado… Se formos ao Facebook e tentarmos recuperar a senha usando o email dele (weversonjesussilva@gmail.com), veremos que o facebook bloqueou a conta dele. (provavelmente pelo spam).

Vamos dar um whois no site dele para vermos as informações?

 

 

Conseguimos algumas informações do host do cara, mas agora nós temos 4 nomes diferentes. Igor, Weverson Jesus, Lauro Alexandre e Arthur Henrique, além de dois emails: weversonjesussilva@gmail.com e arthurhenriquedesouzacrisp@gmail.com. Provavelmente os três são nomes falsos… Informações que conseguimos com a análise:


 

Executável se conecta a ftp.weversonjesussilvagmail.com com login weversonje1 e senha oi102030oi, tenta baixar os arquivos info_infect.exe, infect_info.exe e line_face.exe, mas não consegue porque as credenciais estão incorretas. O email weversonjesussilva@gmail.com foi excluído do facebook por spam. O diretório de compilação do malware é  @*\AG:\to tranpando\Pucha\dfgsdg.vbp, e a pasta padrão do VB6 está em @\igor\AppData\Local\Microsoft\.

O host hospedeiro dos malwares está registrado em nome de  LAURO ALEXANDRE SILVA DIAS, cadastrado com o email  arthurhenriquedesouzacrisp@gmail.com, com o endereço RUA SATYRO LOUREIRO 762 AP5, e telefone 55 11 25135041.


 

Analisei com calma o código e cheguei a conclusão de que se trata de um trojan downloader. Ele loga no FTP, baixa os arquivos que nós vimos nas strings, e os executa. Como ele mudou a senha (ou usuário) do FTP, o trojan não consegue se conectar, muito menos baixar os outros malwares. Então, quem o executar não vai ser infectado por nada (a não ser que ele altere a senha novamente).

É isso, a análise não foi tão boa quanto eu esperava porque o principal nós não conseguimos pegar, que são os outros malwares que esse downloader baixa, mas conseguimos algumas informações sobre o host do autor do malware.

E se você é o autor do malware, eu peço encarecidamente que você altere a senha para a que estava antes, para que eu possa analisar os outros arquivos =)

Obrigado aos que chegaram até aqui, até a próxima!

 

@Edit, acabei de pegar outro malware do cara com a mesma função, porém, as credenciais do FTP estavam corretas, e consegui logar! Apaguei todos os arquivos e deixei uma index bem amigável pra ele. Quem quiser ver, o link é esse: http://homevirtuaisvideosefotos.com.br/

Confira os prints do banker:

 

 

Vídeo acelerado da análise:

Sobre Nicholas Ferreira

Sou amante de informática desde criança, tive meu primeiro contato com hacking aos 12 anos, e desde essa data eu venho estudando cada vez mais as diversas áreas da segurança da informação. Tenho certificados de cursos de PHP, Visual Basic, e atualmente estou estudando Análise de Malwares.
Free WordPress Themes - Download High-quality Templates