sábado, 5 de abril de 2014

Analizando página web sospechosa



Navegando por la web, me encontré con una de esas páginas que sirven diferentes tipos de anuncios publicitarios y demás porquerías... (no, no hablo de las porno...).

Por cada click que hacía en la página, me abría otra que publicitaba alguna página o servicio. Lo típico.

De repente, una de aquellas páginas me entró rapidamente a los ojos. Tánto como los sobres a rajoy...


Dicha página, lucía el siguiente aspecto:


http://static.bestusefuldownloads.com/lp/flv-player_adbr4_adc_es.html?chnl=s_adbr4_flv_es_260725&cid=31598789081396700493

Inmediatamente detuve todo lo que estaba haciendo para centrarme exclusivamente en dicha página, estaba claro que era un fake...

Lo primero que hice fué analizar la url pasándola por VirusTotal y UrlQuery.

Virustotal indicaba que sólo se reportaba como url maliciosa por CRDF y Dr.Web.


https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/

Después probé con UrlQuery e indicaba que no había nada fuera de lo normal, aunque se puede ver que desde esa misma IP se sirven diferentes ejecutables como mínimo sospechosos...


http://urlquery.net/report.php?id=1396701233044

Lo siguiente que hice fué descargar el supuesto ejecutable de FLV-Player y subirlo a Virustotal para ver si era detectado.



Para mi sorpresa, sólo es detectado por 7 de los 51 motores, y la mayoría de los principales antivirus no lo detectan... De hecho incluso está firmado por UserTrust (Comodo).


https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/

http://www.tbs-certificates.co.uk/FAQ/en/intermed_USERTrust_Legacy_2048.html


Dicho ejecutable es una variante del Win32/InstallCore, que se encarga de tomar el control del pc (principalmente los navegadores) para conectar con otros servidores y descargar e instalar add-ons y toolbars entre otros...

Dichos programas recogen toda la información de los navegadores infectados, aunque esta variante aparte de mutaciones también dispone de un modulo que registra las pulsaciones del teclado.

Esta variante, conecta con las siguientes direcciones:

Por lo que se puede ver, descarga otros archivos que infectan el ordenador haciendose pasar por algun conversor de video.

Además, si nos fijamos conecta con el servidor www.wajam.com.

Dicha página ofrece una extensión que permite obtener resultados de búsquedas de contenidos compartidos por amigos en redes sociales.




Os dejo todos los enlaces de los reportes por si queréis trastear:

Análisis URL

http://urlquery.net/report.php?id=1396701233044

https://www.virustotal.com/es/url/046f9b5c6a4991ae7589c456cb4c97898014b7f046a6f9c2af85dcfee16633b4/analysis/

https://anubis.iseclab.org/?action=result&task_id=1aab15d4e83940fa481ca5cc062c100ab&format=html


Análisis PE/Win32 (Ejecutable)

https://www.virustotal.com/es/file/6d2e992bed4c33024c8265dee109ce37d23198d9685459fd3a27f2302e8978f7/analysis/1396702035/

https://malwr.com/analysis/YzQ5ZTc4YjcyNTQ1NDNlN2I0ZTNmMmJhYWYyZTcwYzg/

 https://anubis.iseclab.org/?action=result&task_id=13546b64a8a0c5c1441fef5231cc0059b&format=html


Como véis, los servicios online para análisis de url/malware nos pueden ayudar bastante.

Cuidadín con lo que os descargáis...


Saludos.


 **No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**

Publicado por

3 comentarios:

  1. Anónimo11 de abril de 2014, 0:05

    Por curiosidad como detectaste las Ip a las que se conectaban?¿?¿ ... interesante info a bloquear esas IP por si las moscas.
    Saludos.

    ResponderEliminar
  2. systemexposed11 de abril de 2014, 8:19

    Pues cuando se sube la muestra del malware a la sandbox, como por ejemplo a https://malwr.com/, aparte de mostrarte las modificaciones que hace en el sistema operativo infectado, también analiza las conexiones entrantes y salientes que se realizan, es decir, en el reporte de la sandbox te aparecerá todo esto.

    Puedes verlo tu mism@ si entras en el reporte, y te fijas en la parte de la izquierda donde pone "Network Analysis", ahí será donde veas lo que te comento.

    https://malwr.com/analysis/YzQ5ZTc4YjcyNTQ1NDNlN2I0ZTNmMmJhYWYyZTcwYzg/

    Viene muy bien para lo que tu comentas y también para investigar un poquito mas allá... xD

    Saludos!!!

    ResponderEliminar
  3. Anónimo15 de abril de 2014, 7:23

    Cierto que aparecen, sólo tenía que leer xD ...
    Algunos proveedores de servicios, Amazón, un ISP ... yo ya no veo más allá ...
    Gracias.
    Saludos.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)