[GTER] Alerta: Analise de artefato PCBINA
Adriano Mauro Cansian
adriano at unesp.br
Tue Dec 31 08:35:01 -02 2002
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Senhor*s,
Realmente temos fortes razões para acreditar que o programa que está
sendo distribuído em http://www.binafone.kit.net/spbina.exe
contém código malicioso, o qual aparentemente tenta capturar senhas
digitadas na máquina-alvo, que o instalar e executar. Este possível
código malicioso foi inicialmente reportado por Jeronimo de A.
Barros <jero at i2.com.br> em Mon, 30 Dec 2002 15:34:08 -0200 (BRST) .
Este software e o respectivo URL está sendo divulgado por um spam
cuja cópia segue no final desta mensagem.
Segue a nossa análise preliminar até o momento, efetuada por Artur
Renato Araujo da Silva <artur at acme-ids.org> e Marcelo Carvalho
Sacchetin <sacchet at acme-ids.org>, ambos do Laboratório ACME! de
Pesquisa em Segurança de Computadores e Redes, da UNESP -
Universidade Estadual Paulista, Campus de São José do Rio Preto.
- ------------------------------------
Artefato PCBINA.EXE ou SPBINA.EXE
* Arquivos utilizados (vide arquivos em anexo)
Os seguintes programas e DLLs são gravados ou gerados após a
instalação de SPBINA.EXE:
c:\windows\system\CMONDL.DLL
c:\windows\system\TELECOM.EXE
c:\windows\desktop\TELECOM.EXE
c:\windows\system\WINKEI.DLL
c:\windows\system\CMONCF.CFG
c:\windows\system\FCNOMC.CFG
Uma vez instalado e executado, o programa tenta gerar os seguintes
arquivos para captura de informações (vide exemplos em anexo):
c:\windows\system\MemoInf.Txt
c:\windows\system\WKEqp.Txt
c:\windows\system\WKEqp1.Txt
c:\windows\system\WKEqp2.Txt
c:\windows\system\WKEqp3.Txt
c:\windows\system\WK001.Txt
c:\windows\system\WK002.Txt
c:\windows\system\WK003.Txt
c:\windows\system\WK004.Txt
c:\windows\system\WK005.Txt
Estes arquivos registram informações gerais, tais como diretórios e
dados sobre o equipamento e o sistema e possivelmente o
pressionamento de teclas. Em anexo encontram-se exemplos destes
arquivos.
- ------------------------------------
* Busca de Informações
O programa verifica o "Favoritos" da máquina Windows e procura por
entradas referentes aos seguintes bancos:
[bb.com.br] - Microsoft Internet Explorer
Banco Itau - Seu banco na era digital. - Microsoft Internet Explorer
Caixa Economica Federal - Microsoft Internet Explorer
Unibanco.com - Microsoft Internet Explorer
Portal BANCO REAL - ABN AMRO Bank - Microsoft Internet Explorer
Banco Itau S.A. - Microsoft Internet Explorer
Banco Banerj S/A - Microsoft Internet Explorer
Bradesco - Colocando voce sempre a frente - Microsoft Internet
Explorer
BASA - Microsoft Internet Explorer
Bandepe - Microsoft Internet Explorer
Bem-vindo ao Banespa - Microsoft Internet Explorer
Sudameris - Microsoft Internet Explorer
Citibank.com - Microsoft Internet Explorer
HSBC Bank Brasil S.A. - Banco Multiplo - Microsoft Internet Explorer
Banco ABC Brasil - Microsoft Internet Explorer
Banco Bemge S.A. - Microsoft Internet Explorer
BBV - Microsoft Internet Explorer
Banco VIP - Microsoft Internet Explorer
Banparnet - O Banco do Estado do Para, na Internet. - Microsoft
Internet Explorer
Banco Banestado S. A. - Banco Multiplo - Microsoft Internet Explorer
B A N R I S U L - Microsoft Internet Explorer
Banco do Nordeste - Microsoft Internet Explorer
Aparentemente esta informação é registrada em
C:\Windows\System\WinTxt.Txt
- ------------------------------------
* Análise
Análise preliminar do artefato SPBINA.EXE
- -Foi instalado o SPBINA.EXE em um Windows 98 (utilizando Vmware)
- problemas: "Netcaptor" : File not found
- instalamos o web browser netcaptor
- suspeitamos problemas com uma tentativa do programa de bina
localizar uma conexão dial up.
- Por via das duvidas, instalamos o Netcaptor. Sempre que o
programa netcaptor era iniciado, uma porta UDP maior que 1024 era
aberta.
- -Foi instalado o SPBINA.EXE em um laptop com Windows 98 com conexão
dial up.
-os mesmos eventos ocorreram, portanto os erros não estavam
relacionados com a ausencia de uma conexão dial up
- -Teste em Windows XP
- suspeitamos que a mensagem de erro: figura2-erro.gif (em anexo a
esse e-mail) era gerada pelo programa C:\windows\system\cmonap.exe .
- Essa erro tem sido reportado em diversas listas sobre Delphi e
ocorre porque o programa tenta não aparecer listado no Taskmanager do
Windows
Pela análise do código, utilizando um descompilador de Clipper (DeDe)
e editanto o códico com o notepad do Windows, podemos suspeitar dos
seguintes pontos:
- ele se conecta ao servidor de e-mail "smtp.terra.com.br" e envia o
e-mail com subject "teste"
- algumas suposições de endereços de e-mails para onde podem são
mandadas as capturas de informações:
lama.rec at globo.com
nabuquera0003 at terra.com.br
nabuquera0004 at terra.com.br.
Todos esses endereços aparecem no código analisado.
- Esses e-mails são enviados com campo "reply-to" contendo o
endereco: nabuquera0002 at terra.com.br
- A mensagem de erro do Netcaptor nada mais é do que uma tela gerada
pelo programa cmonap.exe (e nao pelo software Netcaptor). Ela é
exibida toda vez que é impossibilitada a conexão como o servidor de
smtp (suposição).
Também foi descoberto que ele possui um chamada para uma funcao de
captura de pressionamentos de teclas "Keyspy". Entretanto, em nossos
testes, não foi possível constatar que a captura de pressionamento de
teclas estivesse funcionando adequadamente. É nossa suposição que o
registro de pressionamento de teclas seja disparado pelo acesso às
páginas dos bancos listados acima. Nós optamos por não acessar as
páginas dos bancos durante os testes.
Também não foi possível confirmar a conexão ao servidor de SMTP,
possivelmente porque o processo de captura de pressionamento de
teclas não foi disparado.
- ------------------------------------
Considerações finais:
Esta análise é preliminar. Nós temos poucos equipamentos disponíveis
em condições de efetuar uma análise de artefato de alto risco em
ambiente MS Windows. Outras análise são necessárias, principalmente
em ambiente Windows 2000, onde não tivemos equipamentos disponíveis.
Nossa recomendação é a emissão de um alerta com urgência.
Cordialmente,
Adriano Cansian
-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.1
iQA/AwUBPhEPc7g0sTk4k80rEQKeRQCg5vo4ZDYxUHIg8SzIgSBqOm8SOJwAoNat
sQM0Py2u+65QuFk4CHRoqk6i
=+gwG
-----END PGP SIGNATURE-----
---------- Forwarded message ----------
Return-Path: <suportt at suportt.com.br>
Received: from suportt.com.br ([200.193.200.79])
by correio.iteci.com.br (8.11.6/8.11.6) with SMTP id gBUEh3c01782
for <tatiana at iteci.com.br>; Mon, 30 Dec 2002 12:43:04 -0200
Message-Id: <200212301443.gBUEh3c01782 at correio.iteci.com.br>
From: "Dep. de Software" <suportt at suportt.com.br>
To: <tatiana at iteci.com.br>
Subject: pcbina
Sender: "Dep. de Software" <suportt at suportt.com.br>
Mime-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Date: Tue, 31 Dec 2002 12:10:12 -0200
Reply-To: "Dep. de Software" <suportt at suportt.com.br>
Content-Transfer-Encoding: 8bit
X-MailScanner: Found to be clean
IBRATELE - Tecnologia Brasileira de Alto e Bom Tom
PC TELECOM v.beta
Software ibratele para controle e identificação de ligações e chamadas
telefônicas versão para windows 98/ME/2002
INSTALAR Identifique quem esta te ligando atraves de seu PC.
Instale ja sua bina IBRATELE gratuitamente.
www.ibratelecom.com
--gBUGoaf24891.1041267312/correio.iteci.com.br--
-------------- next part --------------
A non-text attachment was scrubbed...
Name: analise-arquivos-spbina.zip
Type: application/zip
Size: 34571 bytes
Desc: not available
URL: <https://eng.registro.br/pipermail/gter/attachments/20021231/4c0dd639/attachment.zip>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: figura2-erro.GIF
Type: image/gif
Size: 28223 bytes
Desc: not available
URL: <https://eng.registro.br/pipermail/gter/attachments/20021231/4c0dd639/attachment.gif>
-------------- next part --------------
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.434 / Virus Database: 243 - Release Date: 25/12/2002
More information about the gter
mailing list