[GTER] Alerta: Analise de artefato PCBINA

Daniel Checchia daniel at checchia.net
Tue Dec 31 13:27:00 -02 2002


Há uma outra versão sendo distribuída, referente à Embratel.

O e-mail era distribuído como sendo enviado por "Assinantes Embratel
[mailto:dpto.contas at embratel.com.br]" e continha um link para download
apontando para
http://paginas.terra.com.br/informatica/identifica.chamadas/telecom.exe

Não havia site nenhum neste link (sem index.xxx), somente o arquivo em
questão.

Em minha análise (superficial)  o programa instalava um trojan que
capturava a digitação de teclado e enviava via SMTP para o e-mail
'alexandre.calvinho at terra.com.br'.

Tentei entrar em contato (em 21/10) com o senhor acima e com o Terra e
não obtive resposta.

Possívelmente esta seja uma segunda versão, mais elaborada, já que os
mesmos arquivos existiam na versão distribuída
(c:\windows\system\CMONDL.DLL; c:\windows\system\TELECOM.EXE;
c:\windows\desktop\TELECOM.EXE; c:\windows\system\WINKEI.DLL;
c:\windows\system\CMONCF.CFG; c:\windows\system\FCNOMC.CFG)

A diferença reside no fato de que na versão que recebi havia um arquivo
.INI com as configurações do software WINKEY e o e-mail para o qual
deveriam ser enviadas as informaçÕes.


SDS
Daniel Checchia
OBS: Estou enviando com cópia para o Adriano, que foi a mensagem
inicial, pois meu SMTP não está cadastrado para envio de mensagens para
a lista (estou apenas recebendo :-(( )

Adriano, se não aparecer na lista, você poderia repassar as informações
?? Acho que os dados do e-mail e do link utilizado no Terra podem
auxiliar na identificação do Spammer, já que isto foi em 21/10....



> -----Mensagem original-----
> De: gter-admin at eng.registro.br 
> [mailto:gter-admin at eng.registro.br] Em nome de Adriano Mauro Cansian
> Enviada em: terça-feira, 31 de dezembro de 2002 08:34
> Para: gter at eng.registro.br
> Assunto: [GTER] Alerta: Analise de artefato PCBINA
> 
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
>          Senhor*s,
> 
>          Realmente temos fortes razões para acreditar que o 
> programa que está
> sendo distribuído em http://www.binafone.kit.net/spbina.exe
> contém código malicioso, o qual aparentemente tenta capturar senhas
> digitadas na máquina-alvo, que o instalar e executar. Este possível
> código malicioso foi inicialmente reportado por  Jeronimo de A.
> Barros <jero at i2.com.br> em Mon, 30 Dec 2002 15:34:08 -0200 (BRST) .
> 
>          Este software e o respectivo URL está sendo 
> divulgado por um spam
> cuja cópia segue no final desta mensagem.
> 
>          Segue a nossa análise preliminar até o momento, 
> efetuada por Artur
> Renato Araujo da Silva <artur at acme-ids.org>  e  Marcelo Carvalho
> Sacchetin <sacchet at acme-ids.org>, ambos  do Laboratório ACME! de
> Pesquisa em Segurança de Computadores e Redes, da UNESP -
> Universidade Estadual Paulista, Campus de São José do Rio Preto.
> 
> - ------------------------------------
> 
> Artefato PCBINA.EXE ou SPBINA.EXE
> 
> * Arquivos utilizados (vide arquivos em anexo)
> 
> Os seguintes programas e DLLs são gravados ou gerados após a
> instalação de SPBINA.EXE:
> 
> c:\windows\system\CMONDL.DLL
> c:\windows\system\TELECOM.EXE
> c:\windows\desktop\TELECOM.EXE
> c:\windows\system\WINKEI.DLL
> c:\windows\system\CMONCF.CFG
> c:\windows\system\FCNOMC.CFG
> 
> Uma vez instalado e executado, o programa tenta gerar os seguintes
> arquivos para captura de informações (vide exemplos em anexo):
> 
> c:\windows\system\MemoInf.Txt
> c:\windows\system\WKEqp.Txt
> c:\windows\system\WKEqp1.Txt
> c:\windows\system\WKEqp2.Txt
> c:\windows\system\WKEqp3.Txt
> c:\windows\system\WK001.Txt
> c:\windows\system\WK002.Txt
> c:\windows\system\WK003.Txt
> c:\windows\system\WK004.Txt
> c:\windows\system\WK005.Txt
> 
> Estes arquivos registram informações gerais, tais como diretórios e
> dados sobre o equipamento e o sistema e possivelmente o
> pressionamento de teclas. Em anexo encontram-se exemplos destes
> arquivos.
> 
> - ------------------------------------
> 
> * Busca de Informações
> 
> O programa verifica o "Favoritos" da máquina Windows e procura por
> entradas referentes aos seguintes bancos:
> 
> [bb.com.br] - Microsoft Internet Explorer
> Banco Itau - Seu banco na era digital. - Microsoft Internet Explorer
> Caixa Economica Federal - Microsoft Internet Explorer
> Unibanco.com - Microsoft Internet Explorer
> Portal BANCO REAL - ABN AMRO Bank - Microsoft Internet Explorer
> Banco Itau S.A. - Microsoft Internet Explorer
> Banco Banerj S/A - Microsoft Internet Explorer
> Bradesco - Colocando voce sempre a frente - Microsoft Internet
> Explorer
> BASA - Microsoft Internet Explorer
> Bandepe - Microsoft Internet Explorer
> Bem-vindo ao Banespa - Microsoft Internet Explorer
> Sudameris - Microsoft Internet Explorer
> Citibank.com - Microsoft Internet Explorer
> HSBC Bank Brasil S.A. - Banco Multiplo - Microsoft Internet Explorer
> Banco ABC Brasil - Microsoft Internet Explorer
> Banco Bemge S.A. - Microsoft Internet Explorer
> BBV - Microsoft Internet Explorer
> Banco VIP - Microsoft Internet Explorer
> Banparnet - O Banco do Estado do Para, na Internet. - Microsoft
> Internet Explorer
> Banco Banestado S. A. - Banco Multiplo - Microsoft Internet Explorer
> B A N R I S U L - Microsoft Internet Explorer
> Banco do Nordeste - Microsoft Internet Explorer
> 
> Aparentemente esta informação é registrada em
> C:\Windows\System\WinTxt.Txt
> 
> - ------------------------------------
> 
> * Análise
> 
> Análise preliminar do artefato SPBINA.EXE
> 
> - -Foi instalado o SPBINA.EXE em um Windows 98 (utilizando Vmware)
>    - problemas: "Netcaptor" : File not found
>    - instalamos o web browser netcaptor
>    - suspeitamos problemas com uma tentativa do programa de bina
> localizar uma conexão dial up.
>    - Por via das duvidas, instalamos o Netcaptor. Sempre que o
> programa netcaptor era iniciado, uma porta UDP maior que 1024 era
> aberta.
> 
> - -Foi instalado o SPBINA.EXE em um laptop com Windows 98 com conexão
> dial up.
>    -os mesmos eventos ocorreram, portanto os erros não estavam
> relacionados com a ausencia de uma conexão dial up
> 
> - -Teste em Windows XP
>    - suspeitamos que a mensagem de erro: figura2-erro.gif (em anexo a
> esse e-mail) era gerada pelo programa C:\windows\system\cmonap.exe .
>   - Essa erro tem sido reportado em diversas listas sobre Delphi e
> ocorre porque o programa tenta não aparecer listado no Taskmanager do
> Windows
> 
> Pela análise do código, utilizando um descompilador de Clipper (DeDe)
> e editanto o códico com o notepad do Windows, podemos suspeitar dos
> seguintes pontos:
> 
>   - ele se conecta ao servidor de e-mail "smtp.terra.com.br" e envia o
> e-mail com subject "teste"
>   - algumas suposições de endereços de e-mails para onde podem são
> mandadas as capturas de informações:
> 
> lama.rec at globo.com
> nabuquera0003 at terra.com.br
> nabuquera0004 at terra.com.br.
> 
> Todos esses endereços aparecem no código analisado.
> 
>   - Esses e-mails são enviados com campo "reply-to" contendo o
> endereco: nabuquera0002 at terra.com.br
> 
>   - A mensagem de erro do Netcaptor nada mais é do que uma tela gerada
> pelo programa cmonap.exe (e nao pelo software Netcaptor). Ela é
> exibida toda vez que é impossibilitada a conexão como o servidor de
> smtp (suposição).
> 
> Também foi descoberto que ele possui um chamada para uma funcao de
> captura de pressionamentos de teclas "Keyspy". Entretanto, em nossos
> testes, não foi possível constatar que a captura de pressionamento de
> teclas estivesse funcionando adequadamente. É nossa suposição que o
> registro de pressionamento de teclas seja disparado pelo acesso às
> páginas dos bancos listados acima. Nós optamos por não acessar as
> páginas dos bancos durante os testes.
> 
> Também não foi possível confirmar a conexão ao servidor de SMTP,
> possivelmente porque o processo de captura de pressionamento de
> teclas não foi disparado.
> 
> - ------------------------------------
> 
> Considerações finais:
> 
> Esta análise é preliminar. Nós temos poucos equipamentos disponíveis
> em condições de efetuar uma análise de artefato de alto risco em
> ambiente MS Windows. Outras análise são necessárias, principalmente
> em ambiente Windows 2000, onde não tivemos equipamentos disponíveis.
> 
> Nossa recomendação é a emissão de um alerta com urgência.
> 
> Cordialmente,
> 
>                          Adriano Cansian
> 
> 
> 
> -----BEGIN PGP SIGNATURE-----
> Version: PGP 7.0.1
> 
> iQA/AwUBPhEPc7g0sTk4k80rEQKeRQCg5vo4ZDYxUHIg8SzIgSBqOm8SOJwAoNat
> sQM0Py2u+65QuFk4CHRoqk6i
> =+gwG
> -----END PGP SIGNATURE-----
> 
> ---------- Forwarded message ----------
> 
> Return-Path: <suportt at suportt.com.br>
> Received: from suportt.com.br ([200.193.200.79])
> by correio.iteci.com.br (8.11.6/8.11.6) with SMTP id gBUEh3c01782
> for <tatiana at iteci.com.br>; Mon, 30 Dec 2002 12:43:04 -0200
> Message-Id: <200212301443.gBUEh3c01782 at correio.iteci.com.br>
> From: "Dep. de Software" <suportt at suportt.com.br>
> To: <tatiana at iteci.com.br>
> Subject: pcbina
> Sender: "Dep. de Software" <suportt at suportt.com.br>
> Mime-Version: 1.0
> Content-Type: text/html; charset="ISO-8859-1"
> Date: Tue, 31 Dec 2002 12:10:12 -0200
> Reply-To: "Dep. de Software" <suportt at suportt.com.br>
> Content-Transfer-Encoding: 8bit
> X-MailScanner: Found to be clean
> IBRATELE - Tecnologia Brasileira de Alto e Bom Tom
> 
> PC TELECOM v.beta
> Software ibratele para controle e identificação de ligações e 
> chamadas 
> telefônicas versão para windows 98/ME/2002
> INSTALAR        Identifique quem esta te ligando atraves de seu PC.
> Instale ja sua bina IBRATELE gratuitamente.
> 
www.ibratelecom.com
--gBUGoaf24891.1041267312/correio.iteci.com.br--





More information about the gter mailing list