Análisis estático del gusano Dalixy

Resumen

En esta entrada del blog se documenta el análisis realizado a una variante de la familia de malware Dalixy, también conocida como LdPinch, Dalia o Trodal. Dalixy es un programa malicioso que tiene características tanto de gusano (envío por correo electrónico) como de bot (comunicación por medio de un canal de IRC).

Malware de San Valentín

 

Durante los días festivos se incrementa la actividad maliciosa debido a que los atacantes suelen ser más exitosos al aprovecharse de los usuarios mediante engaños. El día de San Valentín es uno de los mejores ejemplos de esto; por lo que el equipo de análisis de malware del UNAM-CERT decidió publicar un reporte acerca de una muestra que, aunque no es reciente, ejemplifica muy bien los peligros de caer en fraudes de los creadores de códigos maliciosos.

 

Chewbacca: keylogger que emplea comunicación basada en TOR

 

En días pasados circularon diversas noticias relacionadas con el malware conocido como Chewbacca y debido a que se reportaron casos de equipos comprometidos en México, el UNAM-CERT se dio a la tarea de realizar el análisis correspondiente de la muestra maliciosa.

 

La palabra “ChewBacca”, que hace referencia un personaje de “Star Wars”, aparece en varias ocasiones en el archivo binario “gotWookie.exe”. A continuación se muestra dicha cadena al desensamblar con IDA Pro:

 

 

Supuesta actualización de Flash Player descarga troyano que se hace pasar por Java

 

El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM, recibió el reporte sobre un sitio web que alojaba una supuesta actualización de Adobe Flash Player, pero una vez que se descargaba la aplicación tenía el nombre "Java.exe", por lo cual se procedió a realizar la investigación correspondiente.

 

A continuación se muestra el mensaje de alerta indicando que la página no se puede mostrar debido a que no se tiene instalada la última versión de Flash Player:

 

Software malicioso que secuestra aplicaciones.

A continuación se presenta el análisis de una muestra de software malicioso que lleva por nombre chrome.exe la cual se encontraba propagando a través de un sitio vulnerado, la muestra de software se hacía pasar por la aplicación de Google Chrome.

Las firmas del archivo se muestran a continuación:

MD5: c56f38b3c4adc8ad81829d1f8f56ac9c

SHA256: 9f3e3f76b60dde6255e2402f21e4c21015ce6209ba1b17d3b56248e8cdaef6a8

En un primer análisis se ejecutó la muestra en un ambiente controlado sin salida a internet.

Mediante el uso de la herramienta ExeInfo PE se determinó que la muestra había sido programada en un framework de Microsoft Windows como se muestra a continuación.