|
Comparte este artículo
Twitter
Digg
Del.icio.us
Slashdot
Furl
Yahoo
Technorati
Googlize this
Blinklist
Facebook
Wikio
Meneame
Aca traigo una novedad de esas que me llegan por mail xD. Esta vez de un contacto diferente, y con el siguiente texto:
Todos los enlaces de las supuestas fotos apuntan a http://mulhersubita.100webspace.ne t/ que nos redirije a un sito chino, específicamente a http://www.cwts.com.cn/en/area/taiwan/Downloads_E.z ip . Una vez descargado este archivo comprimido quien no se sentiría tentado de ver unas fotos... En fín, dicho zip contiene un ejecutable, que a este momento es detectado por 4 de los 42 
Antivirus que utiliza Virus total, es decir, es muy muy nuevo evidentemente. Enlace de mi reporte en virus total: http://www.virustotal.com/file-scan/report.html?id=77df88abc1a50a6d1b2b283388e1d1561f91e2b78becb870d1555d3b57cfbffb-1282783946 .
Una vez prepara la vm nueva voy a probar qué hace este nuevo bichito :D.
...
...
5 minutos después... una gran decepción, por algún motivo obtengo esto:
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
process: terminated C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
Es decir, el proceso se crea y muere inmediatamente... es probable que el entorno donde lo intento ejecutar no le sea propicio (Windows XP SP3).
Aca el reporte de anubis: http://anubis.iseclab.org/?action=result&task_id=13f3d7a196e03ed6459da776ce3d9e114&format=pdf .
Las actividades que registró anubis yo no las observé en mi entorno de pruebas, para esto debe haber una explicación, mis conjeturas son:
-Anubis realiza las pruebas sobre otro sistema operativo distinto del mio.
-Mi programa de logging de actividades CaptureBAT no registra las actividades de este Malware, posiblemente sea mas avanzado que los demás.
Hasta el momento no registré actividad de red extraña desde la VM infectada, lo que me llama poderosamente la atención. No pude avisar a los administradores del sitio chino porque... no encontré un mail de contacto xD. El sitio tiene mucho código en php en malas condiciones y vulnerable, seguramente por ahí fue que lograron colarse los chicos malos.
En los próximos días tengo planeado hacer unos ejercicios de informática forense que iré juntando por la web, es una rama de la informática muy interesante. La idea es intentar resolverlos y subir los resultados al blog, como para variar un poco.
