Cuarto Desafío de ESET

En el día de hoy, un gerente de una importante empresa nos ha reportado un programa (MD5: 2408bbdb538b82f817e298d54c8d4d72 – contraseña “eset-latinoamerica”) hallado en su sistema. El mismo aparenta ser una postal de navidad y el usuario teme que en realidad se trate de un ataque para robar información de su organización.

¿Se trata de una tarjeta navideña o tiene razón nuestro cliente y se está robando información de su empresa? En este último caso ¿cómo se realizaría esta acción? Se debe justificar y demostrar la respuesta.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario, quien es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo. La detección del archivo ejecutable como malware por parte de algunos antivirus corresponde a un Falso Positivo. Para aquellos que hayan participado del segundo desafío, en esta oportunidad no se trata de Ingeniería Social.

Suerte y esperamos sus respuestas en los comentarios, los cuales serán publicados cuando se defina el ganador.

Actualización 23/11/2008: ya hemos publicado la solución al cuarto Desafío de ESET.

Cristian

Autor , ESET

  • yottabyte

    Mi opinión es que se trata de un archivo malicioso debido a la forma en que se ha expresado quien ha escrito el artículo. El cómo consigue información es muy fácil. Este archivo lo que hace es registrar todo lo que se hace en un ordenador y enviar esa información a un servidor remoto muy difícil de identificar

    salu2s

  • Natanael

    Gusano Navideño

    (NAVIDAD.EXE)

    Al iniciar NAVIDAD.EXE se instala como WINSVRC.VXD dentro del directorio WindowsSystem y modifica diversas entradas al Registry:

    1) EXE file startup key:

    [HKEY_CLASSES_ROOTexefileshellopencommand]

    Para asegurarse que inicia con cada archivo EXE.

    2) El gusano se asegura que siempre se ejecute con cada inicio de Windows al crear la entrada al Registry de nuevo en cada ocasión:

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun].

    3) Se crea la entrada ‘Navidad’ en la sección:

    [HKEY_CURRENT_USERSoftware]

    Ya que existe un error en el código del gusano las entradas del Registry son creadas para el archivo WINSVRC.EXE en lugar de WINSVRC.VXD. Como consecuencia de ello, ningún archivo .EXE se puede ejecutar después de la infección. Además el gusano no se activa en el siguiente inicio de Windows.

    Durante la instalación el gusano despliega el siguiente mensage de error

    Después de que el usuario oprime OK, el icono de un “ojo” aparece en la barra de tareas:

    Esta señal indica que el gusano Navidad infectó al sistema

    Cuando el gusano se activa, éste se conecta con el browser de correo electrónico a través de la librería Mapi31.dll, enumera todos los correos aun no leídos, obtiene las direcciones y se manda a si mismo a todas la direcciones.

  • Hola Natanael:

    No debes adivinar ni descargar programas y descripciones de otros sitios web. Debes decir qué hace el programa brindado por nosotros.

    Cristian

  • PAULOGARCIA2005

    Puedo poner más de un mensaje?

    Salu2.

  • Paulo

    Si, se está robando info.
    El archivo revisa las dlls del sistema, accede a ellas y pide info, busca algunas de las dlls en su carpeta o en una subcarpeta dentro de su carpeta, si no las encuentra las busca en System32, también crea un archivo en %temp% que comienza con ~D y tiene la extensión .tmp
    También cambia algunos atributos.
    Este es el log completo:
    http://www.mediafire.com/?jmetd2na[ELIMINADO]
    Bye

  • Martin
  • Hola Paulo:

    El archivo es correcto pero no describes qué hace el programa y bajo que condiciones.

    Cristian

  • Hola PAULOGARCIA2005:

    Si, puedes dejar más de una respuesta.

    Cristian

  • Hola Martin:

    Efectivamente, ESET siempre ha trabajado con webmasters para que los mismos tengan la posibilidad de hacer llegar licencias a sus usuarios en forma legal y como ellos crean convenientes. El caso de Tecnoseguridad sólo es uno más de ellos y esas licencias no tienen que ver con los presentes desafíos del Laboratorio.

    Cristian

  • Luis

    Hola

    Yo tengo el kaspersky y tambien me lo detecta como amenaza un password-protected.exe
    Asi que creo que puede ser un keylogger con funcion de troyano para robar informacion como contraseñas y demas

    Saludos

    • Hola Luis:

      Tal y como decía en el post, si un antivirus detecta esta aplicación como dañina, se trata de un falso positivo.

      Cristian

  • Al ejecutar navidad.exe aparece una ventana mostrando un personaje de la Serie Los Simpson.
    – En la parte inferior izquierda muestra un pequeño botón que pasa desapercibido el cual al hacerle click nos pide ingresar un diskette en la unidad A:
    – Ingresé un diskette en la unidad A:
    – Despues de unos intentos al darle omitir me salío una ventana:

    Información Copiada
    Se ha terminado de copiar la información – Envía el código: #d4228#

    Saludos.

  • Naturalmente es un programa que roba información del cliente.

  • Hola Andrés:

    Efectivamente el mensaje final del programa es el dado por tí, pero debes describir el proceso por el cual has llegado allí y bajo qué condiciones.

    Cristian

  • federico

    Ejecute el programa y luego de un par de pruebas me di cuenta que no funciona en la pc fisica y solo muestra la imagen de burns en “posicion interesante” :). Al ejcutarlo en vmware y luego de unos segundos, aparece un boton y al presionarlo se da un mensaje (uno de ellos aborta el prog). En el teecer intento se da otro mensje distinto que dice -informacion copiada – envía el codigo #d4323#. Luego de unas pruebas el d4 es cte pero los otros nros con aleatorios. Entonces el programa dice copiar info a la unidad A pero en realida no lo hace. El programa esta empaquetado con MEW y muchos AV lo detectan con ese nombre (supongo que son los falsos que mencionaban en el post original). No lo desempaquete pero con programa processexplorer se puede ver que se leen algunas claves en la registry que son las que detectan las maq. virtuales y otrs ambietens de test y por eso el programa solo funciona en esos ambientes y no en la pc real.

    -federico-

  • Lo que hace la aplicacion es descubrir si se esta ejecutando en un entorno virtualizado o protegido, para ello aplica las siguientes tecnicas:
    * Se fija el nombre del HD en el registro para saber si se esta ejecutando en una maquina virtual por ejemplo si contiene la cadena VMWARE significa que se esta ejecutando sobre VMWARE Workstation, VBOX para VirtualBox…
    * Por medio de la dll sbiedll.dll para saber si se esta ejecutando en sandboxie (entorno protegido).
    * Supongo que detecta si se esta debugeando mediante la dll dbghelp.dll (No lo probe).
    * Por medio del ProductID, por ejemplo si la cadena contiene 55274 significa que se esta ejecutando en VirtualBox.

    Si se esta ejecutando en un entorno virtualizado, o protegido entonces muestra un boton con la leyenda “…” al hacer click sobre el mismo, pide que se inserte un disquete, el cual nunca lee, pero al presionar dos veces sobre reintentar y luego sobre la imagen de burns se muestra un mensaje de la forma “envía el codigo #d4xxx#” donde xxx son numeros aleatorios.

  • Ah me olvidaba, la aplicacion esta empaquetada con MEW 1.2, la desempaquete, y luego revise sus Strings con ProccesExplorer. Fue ahi donde vi las entradas del registro que revisaba y el nombre de las dll’s.

  • El ProducID lo usa para saber si se encuentra en un entorno protegido, y no en una maquina virtual como dije antes.
    Verifica si el producID corresponde a Anubis, Joe Box o CWSandobox.

Síguenos