Descarga maliciosa en supuesto correo de Gusanito.com

El UNAM-CERT recibió la notificación por parte de un usuario a cuya bandeja de entrada llegó un correo electrónico posiblemente malicioso. El correo contenía una liga para la descarga de una supuesta postal del tan popular servicio gusanito.com. La liga descargaba software malicioso de un sitio que pudo haber sido comprometido con la finalidad de alojar y distribuir dicho malware.

La URL que conducía al sitio malicioso, localizado en Estado Unidos, contenía un archivo en lenguaje PHP que redireccionaba hacia la descarga del ejecutable comprimido en formato zip: gusanitocompostalesvermipostalref07112012.zip, pero que se encontraba alojado en otro servidor. Este código en PHP solo era el intermediario para descargar el malware desde otra ubicación.

La ubicación del sitio web que alojaba la muestra fue detectada en Rusia. Dicho sitio, para cuando se realizó el análisis, se encontraba alojando muchas otras muestras de software y código malicioso.

Una vez descargado el archivo gusanitocompostalesvermipostalref07112012.exe, en formato zip, se descomprimió y se procedió a realizar un análisis de cadenas. Como resultado del proceso se encontró que el nombre de la compañía que realizó el archivo ejecutable es: Electroel y que el nombre original del archivo es: Electroel2.exe

Al ejecutar la muestra de malware en nuestro laboratorio de análisis, éste levanta dos procesos que llevan el mismo nombre de la muestra.

Durante su ejecución, la muestra intenta resolver un dominio localizado en Canadá. El sitio a simple vista parece ser legítimo, pero los atacantes muchas veces alojan el malware en subcarpetas y los administradores podrían no darse cuenta inmediatamente de que sus sitios web han sido comprometidos.

Posteriormente, el malware establece la conexión de red con el sitio anteriormente mencionado hacia el puerto 80.

Una vez establecida la comunicación entre el equipo infectado y el servidor remoto, el malware descarga automáticamente el archivo windowscb.exe.

Inmediatamente después de la descarga del nuevo archivo malicioso se intenta ejecutar en el equipo de manera automática, pero no logra su cometido ya que el Sistema Operativo no lo reconoce como una aplicación válida.

El archivo windowscd.exe se descargó en una carpeta nombrada Systems que el malware gusanitocompostalesvermipostalref07112012.exe creó previamente en directorio C:\ 

El servicio VirusTotal tiene el registro de que solo 4 de sus 44 soluciones antivirus detectan a gusanitocompostalesvermipostalref07112012.exe como malicioso. A continuación el reporte:

Con respecto al archivo windowscd.exe, después de haber realizado un análisis de cadenas, se determinó que no era un archivo ejecutable válido para los sistemas operativos Windows, puesto que se encontró que dicho archivo únicamente utiliza el formato de encabezado que tiene cualquier otro archivo ejecutable legítimo, al cual se le agregaron cadenas que se repetían en el código de manera frecuente.

Debido a que las soluciones antivirus podrían detectar malware de manera tardía, se recomienda a todos los usuarios tener amplia precaución con los archivos descargados de la red. El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM cuenta con una guía para detectar actividad maliciosa en los equipos de cómputo. La guía se puede consultar en la siguiente dirección: http://malware.unam.mx/node/80.