[GTER] Alerta: Analise de artefato PCBINA
Daniel Checchia
daniel at checchia.net
Tue Dec 31 13:27:00 -02 2002
Há uma outra versão sendo distribuída, referente à Embratel.
O e-mail era distribuído como sendo enviado por "Assinantes Embratel
[mailto:dpto.contas at embratel.com.br]" e continha um link para download
apontando para
http://paginas.terra.com.br/informatica/identifica.chamadas/telecom.exe
Não havia site nenhum neste link (sem index.xxx), somente o arquivo em
questão.
Em minha análise (superficial) o programa instalava um trojan que
capturava a digitação de teclado e enviava via SMTP para o e-mail
'alexandre.calvinho at terra.com.br'.
Tentei entrar em contato (em 21/10) com o senhor acima e com o Terra e
não obtive resposta.
Possívelmente esta seja uma segunda versão, mais elaborada, já que os
mesmos arquivos existiam na versão distribuída
(c:\windows\system\CMONDL.DLL; c:\windows\system\TELECOM.EXE;
c:\windows\desktop\TELECOM.EXE; c:\windows\system\WINKEI.DLL;
c:\windows\system\CMONCF.CFG; c:\windows\system\FCNOMC.CFG)
A diferença reside no fato de que na versão que recebi havia um arquivo
.INI com as configurações do software WINKEY e o e-mail para o qual
deveriam ser enviadas as informaçÕes.
SDS
Daniel Checchia
OBS: Estou enviando com cópia para o Adriano, que foi a mensagem
inicial, pois meu SMTP não está cadastrado para envio de mensagens para
a lista (estou apenas recebendo :-(( )
Adriano, se não aparecer na lista, você poderia repassar as informações
?? Acho que os dados do e-mail e do link utilizado no Terra podem
auxiliar na identificação do Spammer, já que isto foi em 21/10....
> -----Mensagem original-----
> De: gter-admin at eng.registro.br
> [mailto:gter-admin at eng.registro.br] Em nome de Adriano Mauro Cansian
> Enviada em: terça-feira, 31 de dezembro de 2002 08:34
> Para: gter at eng.registro.br
> Assunto: [GTER] Alerta: Analise de artefato PCBINA
>
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Senhor*s,
>
> Realmente temos fortes razões para acreditar que o
> programa que está
> sendo distribuído em http://www.binafone.kit.net/spbina.exe
> contém código malicioso, o qual aparentemente tenta capturar senhas
> digitadas na máquina-alvo, que o instalar e executar. Este possível
> código malicioso foi inicialmente reportado por Jeronimo de A.
> Barros <jero at i2.com.br> em Mon, 30 Dec 2002 15:34:08 -0200 (BRST) .
>
> Este software e o respectivo URL está sendo
> divulgado por um spam
> cuja cópia segue no final desta mensagem.
>
> Segue a nossa análise preliminar até o momento,
> efetuada por Artur
> Renato Araujo da Silva <artur at acme-ids.org> e Marcelo Carvalho
> Sacchetin <sacchet at acme-ids.org>, ambos do Laboratório ACME! de
> Pesquisa em Segurança de Computadores e Redes, da UNESP -
> Universidade Estadual Paulista, Campus de São José do Rio Preto.
>
> - ------------------------------------
>
> Artefato PCBINA.EXE ou SPBINA.EXE
>
> * Arquivos utilizados (vide arquivos em anexo)
>
> Os seguintes programas e DLLs são gravados ou gerados após a
> instalação de SPBINA.EXE:
>
> c:\windows\system\CMONDL.DLL
> c:\windows\system\TELECOM.EXE
> c:\windows\desktop\TELECOM.EXE
> c:\windows\system\WINKEI.DLL
> c:\windows\system\CMONCF.CFG
> c:\windows\system\FCNOMC.CFG
>
> Uma vez instalado e executado, o programa tenta gerar os seguintes
> arquivos para captura de informações (vide exemplos em anexo):
>
> c:\windows\system\MemoInf.Txt
> c:\windows\system\WKEqp.Txt
> c:\windows\system\WKEqp1.Txt
> c:\windows\system\WKEqp2.Txt
> c:\windows\system\WKEqp3.Txt
> c:\windows\system\WK001.Txt
> c:\windows\system\WK002.Txt
> c:\windows\system\WK003.Txt
> c:\windows\system\WK004.Txt
> c:\windows\system\WK005.Txt
>
> Estes arquivos registram informações gerais, tais como diretórios e
> dados sobre o equipamento e o sistema e possivelmente o
> pressionamento de teclas. Em anexo encontram-se exemplos destes
> arquivos.
>
> - ------------------------------------
>
> * Busca de Informações
>
> O programa verifica o "Favoritos" da máquina Windows e procura por
> entradas referentes aos seguintes bancos:
>
> [bb.com.br] - Microsoft Internet Explorer
> Banco Itau - Seu banco na era digital. - Microsoft Internet Explorer
> Caixa Economica Federal - Microsoft Internet Explorer
> Unibanco.com - Microsoft Internet Explorer
> Portal BANCO REAL - ABN AMRO Bank - Microsoft Internet Explorer
> Banco Itau S.A. - Microsoft Internet Explorer
> Banco Banerj S/A - Microsoft Internet Explorer
> Bradesco - Colocando voce sempre a frente - Microsoft Internet
> Explorer
> BASA - Microsoft Internet Explorer
> Bandepe - Microsoft Internet Explorer
> Bem-vindo ao Banespa - Microsoft Internet Explorer
> Sudameris - Microsoft Internet Explorer
> Citibank.com - Microsoft Internet Explorer
> HSBC Bank Brasil S.A. - Banco Multiplo - Microsoft Internet Explorer
> Banco ABC Brasil - Microsoft Internet Explorer
> Banco Bemge S.A. - Microsoft Internet Explorer
> BBV - Microsoft Internet Explorer
> Banco VIP - Microsoft Internet Explorer
> Banparnet - O Banco do Estado do Para, na Internet. - Microsoft
> Internet Explorer
> Banco Banestado S. A. - Banco Multiplo - Microsoft Internet Explorer
> B A N R I S U L - Microsoft Internet Explorer
> Banco do Nordeste - Microsoft Internet Explorer
>
> Aparentemente esta informação é registrada em
> C:\Windows\System\WinTxt.Txt
>
> - ------------------------------------
>
> * Análise
>
> Análise preliminar do artefato SPBINA.EXE
>
> - -Foi instalado o SPBINA.EXE em um Windows 98 (utilizando Vmware)
> - problemas: "Netcaptor" : File not found
> - instalamos o web browser netcaptor
> - suspeitamos problemas com uma tentativa do programa de bina
> localizar uma conexão dial up.
> - Por via das duvidas, instalamos o Netcaptor. Sempre que o
> programa netcaptor era iniciado, uma porta UDP maior que 1024 era
> aberta.
>
> - -Foi instalado o SPBINA.EXE em um laptop com Windows 98 com conexão
> dial up.
> -os mesmos eventos ocorreram, portanto os erros não estavam
> relacionados com a ausencia de uma conexão dial up
>
> - -Teste em Windows XP
> - suspeitamos que a mensagem de erro: figura2-erro.gif (em anexo a
> esse e-mail) era gerada pelo programa C:\windows\system\cmonap.exe .
> - Essa erro tem sido reportado em diversas listas sobre Delphi e
> ocorre porque o programa tenta não aparecer listado no Taskmanager do
> Windows
>
> Pela análise do código, utilizando um descompilador de Clipper (DeDe)
> e editanto o códico com o notepad do Windows, podemos suspeitar dos
> seguintes pontos:
>
> - ele se conecta ao servidor de e-mail "smtp.terra.com.br" e envia o
> e-mail com subject "teste"
> - algumas suposições de endereços de e-mails para onde podem são
> mandadas as capturas de informações:
>
> lama.rec at globo.com
> nabuquera0003 at terra.com.br
> nabuquera0004 at terra.com.br.
>
> Todos esses endereços aparecem no código analisado.
>
> - Esses e-mails são enviados com campo "reply-to" contendo o
> endereco: nabuquera0002 at terra.com.br
>
> - A mensagem de erro do Netcaptor nada mais é do que uma tela gerada
> pelo programa cmonap.exe (e nao pelo software Netcaptor). Ela é
> exibida toda vez que é impossibilitada a conexão como o servidor de
> smtp (suposição).
>
> Também foi descoberto que ele possui um chamada para uma funcao de
> captura de pressionamentos de teclas "Keyspy". Entretanto, em nossos
> testes, não foi possível constatar que a captura de pressionamento de
> teclas estivesse funcionando adequadamente. É nossa suposição que o
> registro de pressionamento de teclas seja disparado pelo acesso às
> páginas dos bancos listados acima. Nós optamos por não acessar as
> páginas dos bancos durante os testes.
>
> Também não foi possível confirmar a conexão ao servidor de SMTP,
> possivelmente porque o processo de captura de pressionamento de
> teclas não foi disparado.
>
> - ------------------------------------
>
> Considerações finais:
>
> Esta análise é preliminar. Nós temos poucos equipamentos disponíveis
> em condições de efetuar uma análise de artefato de alto risco em
> ambiente MS Windows. Outras análise são necessárias, principalmente
> em ambiente Windows 2000, onde não tivemos equipamentos disponíveis.
>
> Nossa recomendação é a emissão de um alerta com urgência.
>
> Cordialmente,
>
> Adriano Cansian
>
>
>
> -----BEGIN PGP SIGNATURE-----
> Version: PGP 7.0.1
>
> iQA/AwUBPhEPc7g0sTk4k80rEQKeRQCg5vo4ZDYxUHIg8SzIgSBqOm8SOJwAoNat
> sQM0Py2u+65QuFk4CHRoqk6i
> =+gwG
> -----END PGP SIGNATURE-----
>
> ---------- Forwarded message ----------
>
> Return-Path: <suportt at suportt.com.br>
> Received: from suportt.com.br ([200.193.200.79])
> by correio.iteci.com.br (8.11.6/8.11.6) with SMTP id gBUEh3c01782
> for <tatiana at iteci.com.br>; Mon, 30 Dec 2002 12:43:04 -0200
> Message-Id: <200212301443.gBUEh3c01782 at correio.iteci.com.br>
> From: "Dep. de Software" <suportt at suportt.com.br>
> To: <tatiana at iteci.com.br>
> Subject: pcbina
> Sender: "Dep. de Software" <suportt at suportt.com.br>
> Mime-Version: 1.0
> Content-Type: text/html; charset="ISO-8859-1"
> Date: Tue, 31 Dec 2002 12:10:12 -0200
> Reply-To: "Dep. de Software" <suportt at suportt.com.br>
> Content-Transfer-Encoding: 8bit
> X-MailScanner: Found to be clean
> IBRATELE - Tecnologia Brasileira de Alto e Bom Tom
>
> PC TELECOM v.beta
> Software ibratele para controle e identificação de ligações e
> chamadas
> telefônicas versão para windows 98/ME/2002
> INSTALAR Identifique quem esta te ligando atraves de seu PC.
> Instale ja sua bina IBRATELE gratuitamente.
>
www.ibratelecom.com
--gBUGoaf24891.1041267312/correio.iteci.com.br--
More information about the gter
mailing list