Séptimo Desafío de ESET

Un usuario nos ha enviado un correo (MD5: 8bb2148347676f9265ffea70b58b0333 – contraseña “eset-latinoamerica”) y nos pregunta si el equipo desde el cual fue enviado se encuentra infectado.

¿Qué le responderemos a nuestro usuario? Justificar la respuesta.

Notas: los códigos no contienen rutinas que puedan dañar el sistema del usuario, quien es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo. La detección de los archivos como malware por parte de algunos antivirus corresponde a un Falso Positivo.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Cristian

Autor , ESET

  • manuel

    hay que desofuscarlo pero cuando se creo se pusieron vastias letras distintas o sea que se llego a no ejecutar bien ya que ni haciendolo ejeuctable se puede lograr llegar a algo. al hacerlo ejecutable.

    dice que el programa es demasiado extenso para colocarlo en memoria.

  • manuel

    es lo que encontre una variante de conficker pero no busque la pagina esome falta de donde lo ejecuta o la direccion IP

  • manuel

    solo hay un . en todo el texto asi que pienso que para usar o representar los puntos usan los signos de +

  • Juan Topo

    Verdaderamente me llama mucho la atencion por los concursos que estan en decadencia el nivel de los desafios.

    Esperamos desafios un poco mas profesionales o al menos un poco mas elaborados.

    Saluda Atte Juan Topo.

    • Hola Juan:

      El nivel de los desafíos es muy dificil de definir ya que tienen el objetivo de enseñar algo a todos nuestros lectores, entre los cuales hay muchos niveles de conocimiento distintos.
      Por otro lado si para tí son sencillos, supongo que ya sabes la respuesta y ya te estarás por ganar la Licencia ¿no?

      Cristian

  • Juan Topo

    Hola Cristian:

    No se puede ganar una licencia Asi.

    Verás el desafio se lanza 5:54pm yo me entero a la 6:07pm tardo 15 minutos en resolverlo envio la solucion. Pero alguien que se entero antes del desafio tardo 10 minutos y ya nos gano de mano.
    El tema aca no es quien sabe mas sino quien se entera primero.

    Saludos.

    • Hola Juan:

      Si conoces la respuesta, deberías responder de todos modos. ¿Quién te dijo que alguien había respondido antes que tú?
      Por supuesto aquí también hay una dosis de oportunidad. Si llegas antes… tienes más tiempo.

      Cristian

  • Raul

    En mi opinion el equipo de donde se envio el correo no está infectado.

    Al correo le faltan algunas lineas para definir el tipo de codificacion del archivo y el tipo y nombre de archivo. El formato MIME es irregular e incompleto.

    La falta de formato MIME adecuado y completo podría responder a un intento de imitación de Outlook Express 6 o una falla en ese programa(mucho menos probable.

    Salvando estas dificultades, codificación en base64, ‘parece’ un ejecutable al menos por los primeros bytes “PK..”.

    Pero, al menos en entorno MS (DOS/Windows), no es reconocido como un formato de archivo ejecutable soportado. (Será un virus de Mac o Linux u otro??) Un debugger en Windows no lo acepta como algo válido para ponerlo a correr.

    Saludos,
    Raúl

  • manuel

    entonces significa que el comando nunca ejecuta una variante de conficker ???’ o sea que podemos seguir intentado como puedo entonces desofuscarlo ???? que pasos debo seguir para desofuscar. ??

    • Hola Manuel:

      No, definitivamente no es Conficker.
      No te puedo dar información sobre si se encuentra ofuscado o no.

      Cristian

  • manuel

    bueno yo pienso que esta ofuscado pues si se ejecuta no se logra nada

  • Paulo

    No pueden dar una pista?
    Parece un códico ofuscado, pero nada funcion para desofuscarlo.
    Saludos.

  • Paulo

    No está encriptado en rot 47? Porque veo algunas cadenas conocidas (o será solo coincidencia).
    Otra cosa, no tiene que ver con los PDF?
    Solo pregunto.
    Saludos.

  • Hola:

    No se trata de código ofuscado, ni cifrado ni tiene que ver con archivos PDF.

    Cristian

  • J Fernandez

    Hola, me desespero no consigo que se ejecute, para cuando se publicara la solución.

  • Raul

    Hola,
    ¿Los encabezados son ciertos o han sido modificados para el desafío? ¿Si fueron modificados eso involucra las IP?
    Raúl

  • Raul

    Ahora si!
    Corrigiendo los tags MIME faltantes base64 en particular el mas importante se obtiene un archivo que sin saber el nombre …. resultó ser un ZIP con contraseña (la contraseña del desafío, “eset-latinoamerica”)
    El archivo contenido es un XML con el SystemStatus de la PC del usuario.
    Un primer vistazo muestra que tiene una maquina virtual levantada. Tambien el antivirus.
    NO PARECE INFECTADA.
    Pero aun no se que herramienta genera este status.XML y como visualizarlo con algo mejor que con un browser.
    Seguiré revisando el archivo.

  • Raul

    La computadora del reporte: SI, ESTÁ INFECTADA!!!
    (parece que se infectó el domingo 30 de marzo 2008 a la madrugada.)

    Desarrollo:

    Viendo el archivo de ‘System Status’ generado por “ESET SysInspector”, enviado por ‘el usuario’ y si ese archivo corresponde al equipo desde el cual envia el mail:

    -Archivo host OK, asociaciones OK.
    -Drivers están ok, son los de windows o no hay extraños visibles.
    -No hay entradas extrañas en la clave RUN de Windows.
    -No hay servicios corriendo que no correspondan a Windows. Los servicios parados son de Windows tambien.

    -PERO…. el archivo svchost.exe en C:windowsscvhost.exe con fecha de creacion 2008-03-30 no está en su ubicación correcta (hay uno en C:windowsSystem32 y es correcto, del 2004) puede ser algo MALO.

    -LUEGO basado en revisar fechas de creacion de archivos (file details) mas nuevas que 2006 aparecen otros SOSPECHOSOS:

    c:windowssystem32hgfs1.dll (VMware para filesystem, pero le falta la company name y demas!!, descarto que sea verdadero)
    c:archivos de programawinrarrarext.dll
    c:archivos de programawinrarwinrar.exe

    Todos creados 2008.03.30. desde las 12.16 a 12.41

    Viendo los procesos, hijo de explorer.exe estan hgfs1.dll y el rarext.dll

    Supongo que es el producto de haber instalado un WINRAR infectado de esos que ofrecen (baratitos) en Internet!!!!
    ver: http://blogs.eset-la.com/laboratorio/2009/01/23/campana-masiva-sitios-instaladores-falsos-espanol/

    Consejo: si estas trasnochado, no hagas descargas de Internet de ofertas increibles.

    Saludos,
    Raúl

  • Raul

    Fe de erratas en mi post anterior.

    Las claves RUN que contienen:
    “C:Documents and SettingsAll UsersApplication Data1432976623vmware2.exe”
    “C:Documents and SettingsAll UsersApplication Datavmware.exe”

    estan cargando dos EXEs desde un lugar sumamente extraño y poco comun, fuera del alcance de cualquier usuario comun:

    ‘C:Documents and SettingsAll UsersApplication Data’

    Estos EXEs deben formar parte de la infección y se cargan al iniciar el sistema.

    La clave RUN (para el que no la conoce) es:

    “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun”

    y todo lo que contenga se ejecuta al inicia Windows.

    Saludos,
    Raúl

    PD: fue divertido e instructivo para mi. Gracias!

  • Hola

    Según mi análisis, el correo pudo haberse enviado automaticamente desde una pc infectada:

    1. El email contiene un archivo zip adjunto. Para obtener el contenido es necesario decodificar el texto entre las etiquetas
    Content-Type: multipart/alternative; boundary=”—-=_NextPart_001_01D6_01C9A3DC.668BF270″. A simple vista uno puede darse cuenta que hay que decodificar el texto que esta en base 64.

    2. Al querer descomprimir el zip, este pide un password. El password es el mismo que el del desafio: eset-latinoamerica.

    3. Dentro del zip hay un archivo de texto llamado virtual.txt que contiene informacion de la pc infectada:

    – Lista de los procesos en ejecucion con sus respectivos modulos.
    – Informacion sobre las conexiones TCP y UDP actuales
    – Informacion del registro
    – Informacion de las impresoras instaladas
    – Informacion de los servicios instalados
    etc,etc,etc

    Segun la data en el archivo del texto el troyano que ha infectado la pc del usuario se llama ESET SysInspector (que es una herramienta gratuita de ESET – http://www.eset.com/download/sysinspector.php)

    Esto, es una muestra de como un troyano podria mandar informacion sensible de nuestra pc al atacante.

    Saludos
    Miguel Febres

  • Paulo

    Supongo que es un archivo encriptado en 7 bit que contiene información ‘delicada’ del usuario.

    … o …

    O talvez es solo un e-mail sin información alguna, con contenido basura, que puede ser enviado por alguna aplicación o por el usuario.

    PD: Cuando lo intenté decodificar con ROT47 saloeron cadenas como JMP, 56kb, =< C:Windows, etc. por eso la pregunta
    PD2: Lo de los PDF es justo porque estaban analizando los PDF, en el 4to ó 5to desafío justo habían analizado un Hack-Tool que te dejaba evitar que se ejecutara tu archivo en un PC Virtual.
    Saludos.

  • Juan Topo

    Muchachos la verdad que es un chiste este desafio.

    no puedo creer que aun no este resuelto.

    el archivo eml como cuerpo tiene un archivo zip en base64 con password eset-latinoamerica

    y que es lo que hace solo mirenlo

    virtual.txt

  • La palabra de 7 bits es rootkit
    El archivo proporcionado esta encriptado en base64 el cual contiene un xml que llama a procesos de sistema como wscript.exe es un proceso referente al sistema operativo de Microsoft Windows el cual no debe ser terminado a menos q se sospeche de algo, es un servidor de script, muchos script maliciosos lo utilizan.
    Por lo visto es un rootkit y intenta elevar privilegios en el sistema. Se podria considerar que el equipo de donde proviene esta infectado por que si este script proviene de ahi es por que funciono y elevo privilegios..

    Saludos.

  • Raul

    Acabo de recibir la licencia que gané en el 7mo desafío de ESET.
    Gracias ESET!

  • Sebastian Collazos Del Rio

    Disculpen la impertinencia en este momento, pero…
    Hay un Problema al descargar el Séptimo Desafío.

    Me Gustaría saber si es que pueden arreglar el enlace de este desafío.

    Gracias de Antemano.

Síguenos