Usuarios de Skype infectados por malware tipo Ransomware

(Tomado de malware.unam.mx)

En los últimos días, usuarios del servicio Skype (VoIP) se vieron afectados por el envío masivo de mensajes instantáneos que propagaban un gusano informático. Se trataba de un archivo ejecutable comprimido en formato “zip” con el nombre “skype_06102012_image.zip”. Los mensajes contenían ligas que dirigían al servidor de “hotfile.com” desde donde se podía realizar la descarga del malware.

El mensaje llegaba con el siguiente texto:

lol is this your new profile pic? (¿esta es tu nueva foto de perfil?)

Ransomware (software malicioso secuestrador de información) es un tipo de malware que puede secuestrar archivos, carpetas o mantener como rehén la sesión de un usuario en la computadora hasta que la víctima paga una determinada suma de dinero que pide el atacante para que el usuario pueda recuperar el control del sistema. Por lo general este tipo de software extorsionador cifra la información de ciertos archivos que considera importantes para el usuario (archivos de texto, hojas de cálculo, diapositivas, imágenes, etc.) y solo revela la clave que libera la información hasta que la víctima ha realizado el depósito bancario correspondiente.

 

El archivo ejecutable, que lleva por nombre “skype_06102012_image.exe”, levanta dos procesos que llevan ese mismo nombre.

 

En cuanto a la actividad de red, se vale del proceso “explorer.exe” para establecer dos conexiones a servidores alojados en Estados Unidos, la primera a la dirección IP 63.2.XX.107.62 por al puerto 1863 y la otra conexión es a la  IP 19.7.1XX.240 al puerto 80.

 

 

La muestra crea un archivo ejecutable con el nombre “1.exe” en la dirección “C:Documents and SettingsAdministradorDatos de programa”. Posteriormente se borra a sí mismo.

 

También realiza peticiones queriendo resolver algunos dominios como los mostrados a continuación:

Dejando interactuar a la muestra con Internet, pudimos darnos cuenta de que este malware abre una puerta trasera que permite a los atacantes tomar el control vía remota de la computadora a través del protocolo HTTP, reclutándola para formar parte de una botnet, descargar más archivos maliciosos y posiblemente bajar e instalar el ransomware que bloquea el usuario de la computadora a través de una contraseña.

 

Durante la actividad de red del malware, también intenta descargar del servidor de “hotfile.com” algunos archivos, pero al estar dados de baja recibe como respuesta un “mensaje de error 302” el cual indica que el archivo fue movido temporalmente y termina la conexión.

También se descubrió que en cada reinicio de la máquina se conectaba a un sitio malicioso diferente, pero siempre era hacia el mismo puerto.

 

Consultando la firma de la muestra en el servicio VirusTotal, nos arroja que solo 28 de sus 44 soluciones antivirus detectan este tipo de malware y algunos de ellos lo clasifican como una variante del gusano Dorkbot. El reporte es el siguiente:

 

Finalmente, cabe destacar que la mayoría de las infecciones por el software malicioso de tipo Ransomware son debido al uso de técnicas de engaño para que los usuarios descarguen y abran los archivos adjuntos en los mensajes de correo electrónico o que lleguen a sitios web que han sido vulnerados y que están alojando el malware en espera de que las víctimas den clic para descargarlo. Una manera de minimizar el daño que puede causar este tipo de amenazas es la creación de respaldos de la información.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s