Zombies a través de Facebook

El día de ayer recibimos la notificación por parte de un usuario, acerca de ciertos enlaces que están distribuyendo malware a través del chat de Facebook. Estos links hacen referencia a una foto y tienen el objetivo de engañar a los usuarios para hacer clic en los mismos.

Cuando el usuario intenta ver la imagen, éste es redireccionado hacia el sitio http://www.-sitio-.eu/images/, el cual, aparenta ser el portal oficial de Facebook y se muestra un mensaje diciendo: "La foto ha sido removida"; inmediatamente después, aparece una ventana para descargar el archivo malicioso facebook-pic000934519.exe.

Hasta el momento, este archivo no es reconocido por muchos motores antivirus:

La información digital de la muestra es:

En el momento de ser ejecutado y debido a que el navegador en nuestro laboratorio de análisis no estaba actualizado, se levantó el Internet Explorer con el sitio http://www.myspace.com/help/browserunsupported.

El ejecutable se copió al directorio C:/WINDOWS/, con el nombre nvsvc32.exe e igualmente, levantó un proceso con dicho nombre y para asegurar su ejecución con cada reinicio del sistema, se agregó a la llave HKLM\Software\Microsoft\Windows\CurrentVersion\Run, con el valor "NVIDIA driver monitor"="c:\windows\nvsvc32.exe", para engañar al usuario haciéndose pasar por un controlador de la tarjeta de Video NVIDIA.

Por otro lado, se agregó a la llave HKLM\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List, con el valor "C:\"="c:\windows\nvsvc32.exe:*:Enabled:NVIDIA driver monitor", para que el tráfico generado pueda pasar libremente a través del firewall de Windows.

Este mismo proceso (nvsvc32.exe) abrió el puerto 1039/TCP y realizó la conexión al servidor IRC 77.X.X.106:6663.

En la conversación IRC, se pueden apreciar los links que están propagando el código malicioso. Y actualmente se encuentran activos.

Después de una segunda ejecución de la muestra, el dominio a partir del cual se propaga el malware, aparenta pertenecer a facebook: hxxp://YYYY.facebook.com/photooftheyear/photo.php

Identificamos además, que en realidad, el letrero que hace referencia a “la foto ha sido removida”, es en realidad una imágen que se inserta a través de un iframe y redirecciona al sitio http://-XXXX-.com/images/photo.php?=photo.php&fb_sig_in_iframe=1&fb_sig_locale=en_US&fb_sig_in_new_facebook=1&fb_sig_time=1296528284.2687&fb_sig_logged_out_facebook=1&fb_sig_added=0&fb_sig_country=mx&fb_sig_api_key=5b9b7a175766ad26da59532a75a7f6b1&fb_sig_app_id=131663890233316&fb_sig=a5cfc71a540f811407d603f8df06c7ab>

Y en este sitio también se almacena el ejecutable malicioso: hxxp://-XXXX-.com-/images/facebook-pic000934519.exe

Ejecutamos la muestra una tercera vez y comprobamos que el sitio desde donde se descarga el malware, así como donde se almacena la imagen, ha cambiado, ahora es hxxp://-ZZZZ-.be/images/facebook-pic000934519.exe