11 de febrero de 2008

Nepenthes o como comprobar como esta el mundo

Como habreis comprobado, hace ya unos dias que no posteo nada. Los motivos, no he tenido tiempo y el tiempo que he tenido lo he dedicado a Nepenthes, un honeypot muy, pero que muy interesante. Si bien en estas algo menos de 2 semanas ya he recolectado unos 200 o 300 megas de logs (si hay q limpiar muchos logs) La verdad es que he recibido ataques de todos tipos y colores.
La gran mayoria han sido de malware, y algunos que otros intentos de hackear mi equipo a traves de apache.

Parece que es cierto eso que dicen de que un windows desprotegido conectado directamente a internet, es comprometido e infectado en menos de 40 minutos.

Estaba claro que a mi no me gustaba nada eso de tener un modem adsl, pero es que ahora ya tengo motivos mas que claros para no aconsejarselos a nadie, sobretodo si no tiene demasiada idea de informatica. El firewall del router os pueden salvar de mas de un ataque. Tenedlo en cuenta.

Os pongo tambien los resultados de un sandbox que nos permite ejecutar el malware con tranquilidad en un entorno seguro para nuestro sistema. Es sobre el primer archivo que intento controlar mi pc.

Hello,

Thanks for taking the time to submit your samples to the Norman
Sandbox Information Center. Customer delight is our top priority at
Norman. With that in mind we have developed Sandbox Solutions for
organizations that are committed to speedy analysis and debugging.

Norman Sandbox Solutions give your organization the opportunity to
analyze files immediately in your own environment.

To find out how to bring the power of Norman Sandbox into your test
environments follow the links below.

Norman Sandbox Solutions
http://www.norman.com/Product/Sandbox-products/

Norman Sandbox Analyzer
http://www.norman.com/Product/Sandbox-products/Analyzer/

Norman Sandbox Analyzer Pro
http://www.norman.com/Product/Sandbox-products/Analyzer-pro/

Norman SandBox Reporter
http://www.norman.com/Product/Sandbox-products/Reporter/

2fa0e36b36382b74e6e6a437ad664a
80 : INFECTED with W32/Spybot.gen3 (Signature: W32/Spybot.BEUV)


[ DetectionInfo ]
* Sandbox name: W32/Spybot.gen3
* Signature name: W32/Spybot.BEUV
* Compressed: YES
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK

[ General information ]
* Anti debug/emulation code present.
* Drops files in %WINSYS% folder.
* **Locates window "NULL [class RegmonClass]" on desktop.
* **Locates window "NULL [class FilemonClass]" on desktop.
* **Locates window "NULL [class SuckMe&Class]" on desktop.
* **Locates window "NULL [class APIMonitor By Rohitab]" on desktop.
* **Locates window "NULL [class TDeDeMainForm]" on desktop.
* **Locates window "NULL [class TIdaWindow]" on desktop.
* **Locates window "NULL [class mIRC]" on desktop.
* File length: 156672 bytes.
* MD5 hash: 2fa0e36b36382b74e6e6a437ad664a80.

[ Changes to filesystem ]
* Creates file C:\a.bat.
* Creates file C:\WINDOWS\SYSTEM32\ssms.exe.
* Deletes file %temp%\1.reg.
* Deletes file %0.
* Deletes file 256.

[ Changes to registry ]
* Creates value "Windows Update"="ssms.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Windows Update"="ssms.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Windows Update"="ssms.exe" in key "HKCU\Software\Microsoft\OLE".
* Sets value "restrictanonymous"=" " in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "botz.noretards.com" on port 65146.
* Connects to IRC Server.
* IRC: Uses nickname [FUCKOFF]-602233.
* IRC: Uses username vruepb.
* IRC: Joins channel #a with password imallowed2020.
* IRC: Sets the usermode for user [FUCKOFF]-602233 to +xt.
* Attempts to delete share named "IPC$" on local system.
* Attempts to delete share named "ADMIN$" on local system.
* Attempts to delete share named "C$" on local system.
* Attempts to delete share named "D$" on local system.

[ Process/window information ]
* Creates process "C:\CMD.EXE".
* Creates a mutex ssms.exe.
* Creates process "C:\WINDOWS\SYSTEM32\ssms.exe".
* Will automatically restart after boot (I'll be back...).
* Checks if privilege "SeDebugPrivilege" is available.
* Enumerates running processes.

[ Signature Scanning ]
* C:\a.bat (5894 bytes) : WinREG.A.
* C:\WINDOWS\SYSTEM32\ssms.exe (156672 bytes) : W32/Spybot.BEUV.



(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.


************************************
Sent from an unmonitored email address.
Please DO NOT reply.
************************************


Podria enseñaros muchos mas reportes de otros archivos que he recibido, pero la verdad es q vienen a ser muy similares. Por suerte, el servidor de irc al que intenta conectar el virus parece q fue desconectado hace tiempo.
Tambien ha sido curioso ver como el dominio lo tiene registrado Neo de matrix XDDDD

Domain name: noretards.com

Registrant Contact:

Anderson Neo (cameo20202001@hotmail.com)
+1.231232313123
Fax: 0.00000
123 NEO LANE
The Matrix, MATR1X
GB

Administrative Contact:
Te
Anderson Smith (cameo20202001@hotmail.com)
+1.1111111111
Fax: 0.00000
123 NeO Lane
The Matrix, MATR1X
GB

Technical Contact:

Anderson Neo (cameo20202001@hotmail.com)
+1.23313123123
Fax: 0.00000
123 NeO Lane
MATRIX, MATR1X
GB

Status: Locked

Name Servers:
ns1.everydns.net
ns2.everydns.net
ns3.everydns.net
ns4.everydns.net

Para terminar daros solo una pequeña recomendacion, y es que tengais siempre vuestros sistemas actualizados (no importa el sistema operativo ni si vuestro firewall es invulnerable), ya que si teneis algun agujero tarde o temprano, aunq creais que en vuestra maquina no hay nada interesante, si sera interesante para alguien hacerse con el control de ella.
Aunque sea para enviar spam.


No hay comentarios: