Saludos:

Siempre al termina de analizar un malware, me pregunto; ¿Cual será el contenido del siguiente correo electrónico para engañar?. Y la respuesta siempre es interesante.

-> El correo:

En esta ocasión utilizaron la Noticia de la liberación de Ingrid Betancourt, supuestamente enviada por el Diario El Comercio de Perú. Obviamente es más falsa que "patada de culebra". X)

Las URLs de las imágenes incluidas en el correo electrónico son las siguientes:

http://88.191.27.47/index2.php
http://img224.imageshack.us/img224/7352/ingridcu4.jpg

http://img139.imageshack.us/img139/9113/bajavb1.jpg

-> Las cabeceras del correo electrónico:

Revelan la siguiente información:

* El Asunto:
Subject: (Ultimas Noticias) Rescatan a Ingrid Betancourt y los 14 rehenes secuestrados por las FARC

Asunto llamativo, noticia actual, una combinación que tiene como único objetivo hacer que la posible víctima lea el correo electrónico.

* El Cliente de Correo:
X-Mailer: Microsoft Outlook Express 6.00.2462.0000

* De: & Reponder a:

From: "RPP Noticias"
Reply-To: "RPP Noticias"

Existe una incongruencia, en lo que respecto al Nombre del correo electrónico, para este caso "RPP Noticias", y luego en el correo electrónico se define el dominio de comercio.com.pe, haciendo alusión obviamente al Diario El Comercio. Falla garrafal.

Realizando la consulta respectiva al dominio comercio.com.pe en nic.pe se obtiene lo siguiente.

Dominio existe.

* Lineas Received:

Received: from Teresa (farcbetancourt (161.132.27.157)) Fri, 04 Jul 2008 00:46:27 +0100

El host con la dirección IP probablemente tenga por nombre "farcbetancourt". Y realizando una consulta WHOIS a dicha IP se revela que pertenece a la Red Científica Peruana.

Received: from unknown (HELO 62.149.128.151) (200.37.12.228)
by mxavas18.fe.aruba.it with SMTP; 3 Jul 2008 23:47:28 -0000

El saludo se hace desde la dirección IP 200.37.12.228, y realizando una consulta WHOIS a la dirección IP se obtiene la siguiente información:

* Ruta de Retorno:
Return-Path:

Es obvio que no se puede sindicar a este correo electrónico de tener relación alguna con este malware, pero es bueno considerar esta información.

-> El Malware:

El malware se puede o se podía descargar desde la siguiente URL incluida en el cuerpo del correo electrónico:

http://88.191.27.47/index2.php

Ó en cristiano, el malware se descarga desde la siguiente URL:

http://actionmaxx.com/gen/Video_Ingrid-Betancourt.exe

Y también se puede descargar de la siguiente URL alternativa:

http://rapidshare.com/files/127081862/Video_Ingrid-Betancourt.exe.html

Al enviar la muestra para análisis a Virustotal, este indica que la muestra ya ha sido enviada:

First received: 07.04.2008 00:22:24 (CET)

Indico que se vuelva a analizar. Y los resultados son los siguientes:

La URL con los resultados completos:

http://www.virustotal.com/analisis/f1e1738177c69148c732dab16ff5ca5b

-> ¿Qué hace el malware?

El malware crea la siguiente estructura de directorios:

Y realiza los siguiente cambios en el registro:

[ Changes to registry ]
* Accesses Registry key "HKCU\Software\WinRAR SFX".
* Creates key "HKCU\Software\WinRAR SFX".
* Sets value "C%%WINDOWS%system"="C:\WINDOWS\system" in key "HKCU\Software\WinRAR SFX".

AL visualizar el archivo "index.html" se muestra la siguiente página clonada del Banco Continental:

En el código fuente de la página ubico el formulario y la URL del archivo que procesa la información es:

http://www.vtfk.ru/modules/login2.php

Al visualizar el archivo "empresas.html" se muestra la siguiente página:

Y la URL con el archivo PHP que procesa la información es la siguiente:

http://www.vtfk.ru/modules/login.php

Al visualizar el archivo "vip.html" se muestra la siguietne página:

Y la URL con el archivo PHP que procesa la información es la siguiente:

http://www.vtfk.ru/modules/login3.php

El archivo "bcp.html" tienes solo una redirección a la página original de ViaBCP.

Entonces se realiza una consulta al dominio vtfk.ru. Y la siguiente imágen muestra el resultado:

Escalando un directorio: http://www.vtfk.ru/modules/ Se visualiza lo siguiente:

Sí así es, una página "hackeada"; mal término, una página comprometida sería lo más adecuado.

Y claro está, la página principal tenía que haber sido "defaceada" también:

-> Conclusión:

* Solo una, es mu visible y hasta tangible; de alguna manera; la relación de SPAM, Malware y Vulnerabilidades. Y como se relaciones diferentes servidores, ubicados física y geográficamente en diversos lugares, pero todos ellos únidos con un único objetivo. El engaño.

Bueno, eso es todo señores por ahora, que tengan un buen fín de semana.

Y Gracias por enviarme esta muestra. Sigan enviandome sus malwares por favor X).

Atte: