Malware con correos electrónicos

· de · en Malware. ·

Los filtros de correos se encargan de poder filtrar aquellos correos que puedan contener malware.

Pero, algunos correos pueden acabar en nuestra bandeja de entrada. Entre estos correos que llegan algunos pueden contener solamente una imagen que al final enlaza a un archivo para descargar.

En este caso, me encontré con una imagen en el correo. Esta imagen enlazaba a un fichero ZIP.

Al descargarlo y comprimirlo había un archivo exe.

Si miramos la información del binario, obtenemos:

File Name: Label_Copy_Fedex.exe
File Size: 94720 byte
Compile Time: 2012-09-07 18:46:16
DLL: False
Sections: 5
MD5 hash: ca47f2c69a55c9eb9d6e598f0e4d0796
SHA-1 hash: 5800f73982f2575da5d168e83be349cd71699a48
None
Anti Debug: None

El binario se ha compilado hace poquito :)

Si buscamos por el SHA1 en Virus Total, vemos que también lo han subido hace poquito

Reporte Virus Total

Una de las cosas que se pueden hacer con este tipo de situaciones en los que un servidor está distribuyendo el malware, es mirar si distribuye algo mas.

Primero de todo miramos que tiene el archivo del correo enlazado que hace distribuir el malware.

seifreed@darkmac:~/Desktop:more MITAZPJMIR.htm
<html>
<body>
<script language=”JavaScript”>
<!–
window.location=”Label_Copy_Fedex.zip”;
//–>
</script>
</body>
</html>

Como veis cuando el usuario accede a este archivo htm, se descarga de manera automática el fichero Label_Copy_Fedex.zip.

Como comentaba unos puntos mas arriba una de las cosas que se pueden hacer con servidores que están distribuyendo este tipo de muestras es mirar si hay algún archivo mas, es decir, si el servidor reparte mas de una URL con malware.

Para ello, podemos usar varias herramientas, por ejemplo dirb

—————–
DIRB v2.03
By The Dark Raver
—————–

START_TIME: Sun Sep 9 22:05:34 2012
URL_BASE: http://servidor.com/
WORDLIST_FILES: big.txt
OPTION: Silent Mode

—————–

GENERATED WORDS: 4217

—- Scanning URL: http://servidor.com/ —-
+ http://servidor.com//
(FOUND: 200 [Ok] – Size: 125108)
+ http://servidor.com/cgi-bin/
(FOUND: 302 [Moved Temporarily] – Size: 302)
+ http://servidor.com/images/
==> DIRECTORY

—- Entering directory: http://servidor.com/images/ —-
(!) WARNING: Directory IS LISTABLE. No need to scan it.
(Use mode ‘-w’ if you want to scan it anyway)

—————–
DOWNLOADED: 4217 – FOUND: 2

Ha encontrado dos directorios, nos vamos a mirarlos…

En este caso no se ha encontrado un malware distinto al que se descargaba por el correo

About these ads

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Cancelar

Conectando a %s