24
julio
2007

Cuando 30 antivirus no son suficientes

troyano para Banamex
[Malware] 
Hace un rato ha llegado un mensaje, supuestamente del Grupo Financiero Banamex, ofreciendo un antivirus gratuito.



Estaba claro que era algún tipo de malware, he descargado el ejecutable al que apuntaba el enlace del mensaje, antivirus2.exe, y ningún antivirus de VirusTotal lo daba como positivo, pese a que tenemos algunos bastantes paranoicos.



Le he echado un ojo, y efectivamente es un troyano bancario destinado a Banamex. antivirus2.exe es un ejecutable comprimido con SFX-RAR, si se lanza ejecuta el troyano que trae en su interior, fix.exe, y abre el Internet Explorer con la URL de www.banamex.com.



El troyano es bastante espartano, se limita a modificar el archivo hosts de Windows, para hacer que cuando el usuario vaya a una de las URLs de banamex.com en realidad lo redirija a otra IP (72.232...) donde han hospedado unas páginas de phishing simulando la web de Banamex. Es lo que se suele llamar un pharming local.



Alguno podría pensar que parte del problema de la no detección de los antivirus es por la compresión SFX-RAR del ejecutable con el que se presenta, pero la realidad es que es un formato bien soportado por la mayoría de antivirus. De hecho, si se analiza el troyano fix.exe directamente, el resultado es el mismo.


Enviado por bquintero a las 03:39 | Enlace permanente | Comentarios (6) | Trackbacks (0)
Comentarios
Re: Cuando 30 antivirus no son suficientes

Todo un reto teniendo en cuenta que estos códigos de delphi son detectados por...
program prueba;
uses windows;
begin
end.
7 antivirus
program prueba2;
uses sysutils;
begin
end.
1 antivirus, panda, Suspicious file...peligrosos códigos...si.

Posted by: Ramon at julio 26,2007 14:00
Re: Cuando 30 antivirus no son suficientes

Se nota que aquí hay conocimiento de causa, porque efectivamente, Ahnlab es el antivirus usado por Banamex. El troyano puede ser espartano, pero el creador sabe cómo dirigirse a su público.

Posted by: Ignacio at julio 26,2007 20:05
Re: Cuando 30 antivirus no son suficientes

Esto no es del todo cierto, por firma es verdad que no es detectado, pero segun comentas, es un troyano a medida que su "única" acción es modificar el fichero host para que los nombres de dominio del banco apunten a un servidor donde hay una página de phishing del Banco. Esta simple acción es detectada por algunos antivirus, por ejemplo por el de Panda, por lo tanto no permitirian a ese troyano realizar sus acciones y el posterior ataque de phishing no sería efectuado. No obstante la simplicidad de este "ataque" es lo que le da el éxito.

Gracias por la información de vuestro Blog y por alertarnos de los peligros.

Posted by: David at agosto 10,2007 14:35
Re: Cuando 30 antivirus no son suficientes

David: tienes razón en que VirusTotal sólo funciona con los motores commandline, y por tanto no puede reproducir los resultados de otras tecnologías, como las basadas en análisis del comportamiento.

Sin embargo, el ejemplo que has puesto no es bueno del todo, concretamente Panda con la solución completa (TruPrevent) no lo detectaba, al parecer se le atraganta lo involucionada de la muestra (es un ejecutable para DOS). Por ejemplo, Kaspersky que también incluye monitorización del sistema, entre otras cosas la modificación del archivo hosts, si lo detecta de esa forma.

Posted by: bquintero at agosto 10,2007 18:49
Re: Cuando 30 antivirus no son suficientes

perfecto.

Posted by: SECRETARIA DE EDUCACION PUBLICA at noviembre 12,2007 19:00
Re: Cuando 30 antivirus no son suficientes

ME PARECE PERFECTO QUE EXISTAN MAS OPCIONES

Posted by: SECRETARIA DE EDUCACION PUBLICA at noviembre 12,2007 19:02
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/228/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario