Identificar una botnet, o red zombi, a veces puede resultar difícil, especialmente cuando uno se pierde entre distintos componentes como los droppers, infectadores y otros de la misma calaña. Hace un par de semanas, Jose Nazario de Arbor Networksme mostraba un nuevo rufián que parecía ser otro bot peer-to-peer que al ejecutarse instalaba un gran volumen de programas con muchas sorpresas, como por ejemplo:
Un programa ejecutable oculto en un Flujo alternativo de datos.
Tres explotadores de Bitcoin: Ufasoft miner, the RCP miner y Phoenix miner
Un archivo con información de geo-posicionamiento para rangos de direcciones IP.
Sin embargo, por el momento los dejaremos de lado y nos concentraremos en la arquitectura de la red zombi, que es en realidad sólo un canal para inyectar software en equipos infectados. Tras analizar los programas instalados finalmente apareció el bot mismo, que lo detectamos como Trojan.Win32.Miner.h. El binario cuenta con algunos niveles de ofuscación que dificultan el análisis, pero al final escribe un paquete ejecutable UPX en una sección de memoria desde la cual se puede restaurar el binario original.
Un programa ejecutable oculto en un Flujo alternativo de datos.
Tres explotadores de Bitcoin: Ufasoft miner, the RCP miner y Phoenix miner
Un archivo con información de geo-posicionamiento para rangos de direcciones IP.
Sin embargo, por el momento los dejaremos de lado y nos concentraremos en la arquitectura de la red zombi, que es en realidad sólo un canal para inyectar software en equipos infectados. Tras analizar los programas instalados finalmente apareció el bot mismo, que lo detectamos como Trojan.Win32.Miner.h. El binario cuenta con algunos niveles de ofuscación que dificultan el análisis, pero al final escribe un paquete ejecutable UPX en una sección de memoria desde la cual se puede restaurar el binario original.
Una de las primeras cosas que llamó nuestra atención es una lista de 1.953 hilos de direcciones IP de sólida codificación que están incluidos en el binario. El bot se pone en contacto con estas direcciones durante la fase de arranque del sistema para ingresar a la red peer-to-peer.
Contenido completo en fuente original Viruslist
Tomado de: http://blog.segu-info.com.ar/2011/09/botnet-miner-la-explotacion-de-bitcoin.html
No hay comentarios:
Publicar un comentario