Otro ejemplo de web en apariencia confiable que distribuía sin saberlo el virus Sirefef a sus visitantes

7 de mayo de 2013

En este artículo os traemos otro ejemplo de web que en apariencia es totalmente confiable (ámbito educativo) pero que puede dar algún disgusto a sus visitantes, incluso sin el conocimiento de sus administradores.

Observamos un link sospechoso en una página web perteneciente al Board of Regents del Estado de Lousiana. Este link estaba compuesto por la parte principal del dominio, hxxp://regents.la.gov seguido de /wp-content/upgrade/<números>.exe, donde <números>.exe representa una serie de números aleatorios, seguidas de la extensión EXE.

avast sirefef

Un vínculo de este tipo resulta sospechoso a primera vista de manera evidente. Las páginas web que directamente sirven archivos ejecutables sin ninguna otra información al respecto (hash, checksum, etc.) siempre son sujetos interesantes de análisis.

El archivo fue descargado y se observó que tenía un tamaño de 232448 bytes. Se ejecutó en un entorno dedicado para pruebas e inmediatamente observamos comunicaciones de internet sospechosas. Primero, se conectó a www.maxmind.com, que es un sitio web legítimo que ofrece infromación GeoIP. La petición y la respuesta la tenéis aquí, en esta imagen:

govt_la_002

Posteriormente, el malware realiza varias peticiones GET a www.e-zeeinternet.com con diferentes parámetros web.

govt_la_003

e-zeeinternet es un servicio que ofrece varios contadores web. Estos contadores son usados a veces por los cibercriminales para poder medir el tamaño de sus botnets (redes de ordenadores controlados por el malware).

govt_la_005

La familia de virus Sirefef conectan, como decíamos, los ordenadores infectados a una botnet. Esta botnet es peer-to-peer, lo cual significa que no hay un servidor central de control (el concepto es el mismo que usa la red de intercambio de archivos Emule, por ejemplo). Cada miembro de esta botnet tiene una lista de varios peers que mantienen la conexión. Por todo esto, la botnet no puede ser desactivada tumbando el nodo principal de comunicación, ya que éste no existe.

Si los operadores de la botnet quieren medir el tamaño de su red, lo hacen de manera simple usando contadores web inofensivos. Cada vez que el dropper completa algún paso importante en su instalación (instalación iniciada, adquiridos permisos de administrador, instalado rootkit, entorno 32/64 bits detectado, etc.) se realiza una petición GET con varios parámetros web. De esta manera, los operadores pueden cuantos ordenadores se han intentado infectar, y qué porción de ellos están totalmente controlados.

En la imagen de abajo podéis ver unos cuantos contadores con diferentes parámetros de página, que fueron recolectados durante nuestras pruebas. Se observan que los números decrecen, esto es porque no todos los intentos de instalación tienen éxito. En nuestro ejemplo, parece que hay más de 800.000 intentos de instalar el virus, bajando hasta 300.000 máquinas que fueron satisfactoriamente infectadas.

govt_la_004

En un PC infectado, es posible grabar la comunicación con varias direcciones IP, que son otros peers en la botnet.

govt_la_001

La conclusión que podemos sacar es que el hecho de visitar páginas de contenido a priori no peligroso (como la de nuestro ejemplo) no puede hacernos estar 100% seguros de no poder resultar comprometidos, ya que muchas veces estas páginas son hackeadas y distribuyen el malware sin conocimiento incluso de sus administradores.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram