Continúa la campaña Zeus

Continuamos recibiendo nuevos correos electrónicos con el infame troyano. En esta ocasión un mensaje de una atractiva candidata que nos solicita que revisemos su CV con un dudoso uso del castellano...

Si bien el gancho para caer en este engaño no está demasiado "trabajado", tenemos que decir que el malware sigue siendo objeto de admiración: instala el bot, modifica el registro, descarga otros archivos de Internet (software rogue) y tiene capacidad de propagarse a través de SMTP.

Pero veamos de nuevo un pequeño resumen de lo que hace el binario.

Primero comenzamos con una tasa de detección de los AV de casi un 70%. Aunque no creo que se trate de un virus polimórfico, suponemos que el binario es continuamente modificado y nace FUD. Sólo el paso de los días hace que los usuarios suban muestras y los AV incluyan firmas para su detección. Ayer por ejemplo el ratio de detección rondaba el 30%.

Al ejecutar el fichero contenido en el zip 'resumen.exe' se copiará otro nuevo fichero %AppData%\117051747.exe empaquetado con UPX.

Posteriormente este desplegará el troyano Zeus en %Temp%\1.tmp y %System%\jthv.oao (también conocido como Oficla o Sasfis entre otros) y un software de seguridad falso en %Temp%\4.tmp y %Windir%\Temp\_ex-08.exe (FakeAV-CZ) que nos mostrará una ventana avisando de la falsa instalación y nos dejará como principal "regalito" el dropper/troyano/gusano Asprox en %System%\aspimgr.exe.

Asprox creará un servicio para lanzarse al inicio con la falsa descripción 'Microsoft ASPI Manager' y abrirá multitud de puertos locales TCP y UDP. En nuestro caso dentro del rango 2273-2388.

Durante el proceso, nuestro bot intentará las siguientes comunicaciones:

http://109.196.134.35/test/dot.exe
http://109.196.134.35/test/69.exe
http://109.196.143.136/avpsoft_fgdhdflgkhjkf.exe
http://109.196.143.137/outlook.exe
http://195.54.171.23/cb_soft.php?q=b0421d9429964f6d5ab2d2b3b3041459
http://showtimeru.ru/show/bb.php?v=200&id=738176302&b=0911_e2&tm=1
http://showtimeru.ru/show/bb.php?v=200&id=738176302&tid=19&b=0911_e2&r=1&tm=1
http://inglo-kotor.ru:80/board.php

Y por último y una de las cosas más interesantes que nos ha llamado la atención, intentos de propagarse a través de SMTP:

Email Sender:
DHL Express Services/usps.no.1568@dhl.com
federal.no.3756@dhl.com
federal.no.2135@dhl.com
federal.no.7163@dhl.com
support.no.7758@dhl.com
customer@dhl.com
usps.no.9430@dhl.com
support.no.4372@dhl.com
federal.no.6318@dhl.com
support.no.7626@dhl.com
support.no.8377@dhl.com
manager.no.5283@dhl.com
support.no.5260@dhl.com
federal.no.2599@dhl.com
federal.no.6980@dhl.com
support.no.9164@dhl.com
usps.no.5497@dhl.com
federal.no.5726@dhl.com
federal.no.8079@dhl.com
message@dhl.com
manager.no.7337@dhl.com
support.no.3042@dhl.com
usps.no.1859@dhl.com
usps.no.7020@dhl.com
support.no.2658@dhl.com
federal.no.8416@dhl.com
usps.no.5896@dhl.com
federal.no.5980@dhl.com
federal.no.6978@dhl.com
support.no.8487@dhl.com
usps.no.1638@dhl.com

Email Recipient:
e.magana@bcn.motiva.bb.com
e.magana@comcast.net
e.magana@prodigy.net.mx
e.maganaris@gcal.ac.uk
e.magaraggio@alice.it
e.m.vangeyte@bham.ac.uk
e.m.willemse@wanadoo.nl
e.m.van.nigtevecht.nl@wanadoo.nl
e.m.vet@wanadoo.nl
e.maas-tak@wanadoo.nl
e.m.wubbels@wanadoo.nl
e.maas62@orange.nl
e.m.wacker@t-online.de
e.m.vanderkolk@solcon.nl
e.m.vanbrederode@planet.nl
e.m.van.duin@planet.nl
e.m.venis@planet.nl
e.m.vd.est@freeler.nl
e.m.verhoeven@hetnet.nl
e.maane@hetnet.nl
e.m.white@hotmail.com
e.m_oussama@hotmail.com
e.m_06@hotmail.com
e.ma.ragan@hotmail.com
e.m_g_o@hotmail.com
e.ma@live.co.uk
e.m@edsmudvillegrill.com
e.maaskant@piersonmail.nl
e.m.y.lee@hotmail.com
e.m4.57@hotmail.es
e.m@live.fr
e.maan@rocwb.nl
e.m.z-asorc@yahoo.com
e.m.vanderwal@gmail.com
e.m82jonhson@yahoo.com

Email Subject:
DHL Shipment Status No889852

Email Attachment:
DHL_mailing_label_id.N58731.zip (33,488 bytes)

Email Body:

Good afternoon
Your package has been returned to the DHL office.
The reason of the return is - "Incorrect delivery address of the
package"
Attached to the letter mailing label contains the details of the
package delivery.
You have to print mailing label, and come in the SDF office in order
to receive the packages.
Thank you for your attention.
DHL Customer Services.
Oh, must you always think the worst of me? But why should he lock the
door so carefully and have the place all to himself? Yes, I _did_ know
it was locked, and thats why I came with you. I dare not. No, Hugo, I
wont, I mean it. Oh, are you mad? Come back! She took his hand again
and tried to turn back; they stood struggling a little, for he would
not follow. Then in his passion and strength he threw both arms round
her and kissed her again and again. And she weakened ever more and
more, speaking brokenly between the kisses: Outside the summer-house
he looses his hold of her a moment, flings himself, one shoulder
forward, heavily against the door, and breaks it open for the second
time. Then in one stride he is beside her once more. Neither speaks.
It was early for him to be about--no more than halfpast four; we
farm-hands had not yet started for the fields. His eyes showed small
and glittering, as if they burned; likely enough he had not slept all
night. But he said nothing as to how the door had got broken.

Comentarios