Ha pasado tiempo desde el último post, pero no me he olvidado de vosotros. Si habeis seguido los últimos posts, parece que habíamos llegado a un callejón sin salida. Mi sensación es que nos falta información y no tenemos el “ejemplar” completo.
Por lo que vamos a intentarlo de nuevo con un “bicho” que me han pasado hoy.
Este es muy cuco. Te llega un email con una foto pequeñita, en la que parece que hay chicas de fiesta. ¿Y tú qué haces? Pinchas para “ampliar la foto” (¿quién no lo haría?). El problema es que la foto en realidad es un enlace a una página web, alojada en Argentina, que te descarga un ejecutable.
Este ejecutable, llamémosle “Foto28_.com“, es más sospechoso que un norcoreano haciendo fotos en Almaraz.
El informe de VirusTotal nos da a entender que es algún tipo de “downloader” (es decir, este “bicho” tiene la función de descargar otros “bichos”) y que está empaquetado con PECompact2.
El informe de Anubis nos da muchas pistas, que podemos corroborar ejecutando el programa en un sandbox (Windows XP corriendo en VMWare Workstation 7).
Efectivamente, lo primero que hace el ejecutable es conectarse a varias URLs.
- http://*******.h1.ru/inf/infect.php?url=COMPUTERNAME
- http://*******.hpg.ig.com.br/xlr.html
- http://*******.hpg.ig.com.br/xln.html
- http://*******.hpg.ig.com.br/xlb.html
La primera, desde Rusia con amor, parece fallar con un error 301. El dominio corresponde a un ISP ruso, que parece tener un historial de albergar páginas maliciosas.
El resto son descargas de ficheros, que terminan en una carpeta C:\CMOS\ con los siguientes nombres:
Los ficheros XLR.EXE y XLR2.EXE son idénticos, lo cual se corresponde con sólo las 3 descargas de ficheros realizadas. El fichero ID es creado por uno de los procesos RunDLL32.exe que lanzan los CPL.
Además se crean las claves de registro necesarias (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) para lanzar los 4 ejecutables cada vez que arranque Windows.
Lo más sencillo aquí es coger cada uno de los ficheros descargados, y subirlos a VirusTotal.
- Los XLR.EXE son, de momento, sólo detectados por Kaspersky, por primera vez hoy mismo, e identificados como Trojan-PSW.Win32.LdPinch.ankl.
- El XLB.CPL tres cuartos de lo mismo: analizado por VT por primera vez hoy y detectado sólo por Kaspersky como TrojanBanker.Win32.Banker.axhu.
- El último fichero, XLN.CPL, tambien es fresco de hoy, y es detectado por Sophos (como Mal/Banspy-K) y F-Secure (DeepScan:Generic.Banker.Delf.B218B63B).
Tenemos claro el comportamiento de nuestro espécimen. Un análisis más en detalle de sus “amigos” sería demasiado laborioso para incluirlo aquí, ya que estamos hablando de una “suite” de 3 troyanos dedicados al fraude bancario. Es interesante echarles un vistazo con el ResHacker y ver la cantidad de scripts en JavaScript y páginas HTML embebidas en los ejecutables, con el objeto de tomar el control del navegador web del usuario y sustituir sus visitas a la banca online por páginas maliciosas que capturan contraseñas, etc.
14 respuestas a “Bichología – Pincha en la foto”
Cool….
Recién me acaba de llegar; me creó la carpeta que dices(cmos), y los dos xlr, pero con extensión jpg; por ahora los eliminé manualmente. El antivirus no los identifica
yo tengo el virus!! que hago Kaspersky me identifico el virus pero aun me queda xl.cpl que hago para eliminarlo. Gracias
Por suerte este es fácil de eliminar:
- Matar procesos XLR.EXE, XLR2.EXE y dos RUNDLL32.EXE. Para saber los RUNDLL32.EXE correspondientes es mejor usar Process Explorer (de Microsoft) que te permite ver si el fichero RUNDLL32.EXE está lanzando los XLN.CPL y XLB.CPL.
- Eliminar claves de registro en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ que hagan referencia a ficheros en C:\CMOS\
- Eliminar carpetas C:\CMOS\ y C:\DATAGYN\ y todos sus contenidos (la segunda puede que esté vacía)
- Cambiar contraseñas utilizadas via web durante el periodo de infección, y comprobar con el banco si existen operaciones o transacciones sospechosas.
Un saludo
Alf
Hola, alguien me puede ayudar a eliminar este virus que me llegó hoy por la tarde, pero realmente no entiendo que hay que hacer, podrían ayudarme paso a paso? Gracias
Gracias por postear esto !
en mi caso fue salvado por firefox (si, tambien hice click…que listos
)
Me sorprende que no esta detectado por symantec (16-6-2010 rev.4) y que informacion util solo se encuentra en blogs personales.
Saludos,
Symantec Endpoint Protection lo detecta desde esta mañana (16-6-2010 rev.39)
OK, mi laptop es uno de estos de empresa, que seguro tardara on pelín mas en recibir los ultimos definiciones.
Pero estan encima de ello, bien entonces.
Gmail me ha borrado el mensaje entero.
Menos mal que tengo copia local
Alf,
Enciendo mi maquina, abro mi correo y empieza a enviarle el correo con el virus a todos mis contactos, ya vacuné mi equipo con panda cloud, y kaspersky, como sé que ya no tiene el virus, ya no quiero abrir mi correo, que hago, ayúdame. Gracias
[...] Blog de Alfredo Reino [...]
mmmmmm, dios!!!! me acaba de pasar!!!!! el kaspersky me lo ha detectado pero no me deja eliminarlo porque me dice que necesito permisos o algo asi, siendo yo el administrador…
Cómo puedo borrarlo????
Lo que no entiendo es cómo toma el control de Hotmail para reenviarse.
Necesito ayuda para eliminar este bicho indeseable!!Tengo el xln.cpl y mi antivirus no puede con el. que hago? gracias!!
Me entró el virus a través de Gmail. Abrí el correo pero no pinché la foto y se me instaló en c/user/…../desktop/foto0506.jpg
Me lo detectó kaspersky y parece que lo ha eliminado. He seguido tus indicaciones de buscar ficheros xln, xlr… y parece que está limpio.
Este mismo correo lo abrí desde otro PC, pinchando la foto para que el servicio informático de la empresa investigara y se creó la carpeta C:/CMOS.
El virus empezó a actuar pasados unos días y fue necesario realizar los pasos que has indicado para eliminarlo completamente.
Gracias