En los foros privados rusos de delincuentes cibernéticos es frecuente ver la frase: “no trabajes en el dominio RU”, una especie de consejo que los hackers experimentados dan a los principiantes. Lo que en realidad significa es: “no robes dinero a los ciudadanos rusos, no infectes sus equipos, no uses a tus compatriotas para lavar dinero”.
Desde el punto de vista de los delincuentes cibernéticos no es conveniente “trabajar en el dominio RU”, porque es improbable que los habitantes de otros países recurran a la policía de la Federación de Rusia. Además, en la zona RU la banca en línea no está muy difundida, o en todo caso lo está mucho que en los países occidentales. En consecuencia, el lucro potencial de las actividades criminales en la zona RU es menor que en otras zonas, pero el riesgo es mayor. Y es justo por estas razones que surgió la regla “no trabajes en la zona RU”.
Pero esta regla tiene excepciones. Un troyano bancario bastante notable, llamado Lurk, que analizaremos en este artículo, hace ya varios años que se viene usando para robar dinero a los habitantes de la Federación de Rusia.
Sobre este troyano bancario ya habíamos escrito antes. Nos llamó la atención casi desde el momento de su aparición, porque utilizaba un mecanismo de propagación incorpóreo: su código malicioso no se guarda en el disco, sino que se ejecuta directamente desde la memoria operativa. Sin embargo, hasta ahora no se había publicado una descripción detallada.
Características del troyano
El troyano bancario Lurk se diferencia de los demás programas maliciosos diseñados para robar dinero de los clientes de bancos:
- Lurk existe y se viene desarrollando activamente desde hace más de 5 años, pero actúa de forma selectiva y sólo en los equipos en los que puede robar dinero. En sus más de cinco años de historia, los servidores de administración de este troyano bancario registraron casi 60.000 bots, que no es un número muy alto.
- Lurk es un troyano bancario universal, que es capaz de robar dinero no sólo del sistema “iBank 2”, utilizado por muchos bancos rusos, sino también de otros sistemas de banca en línea patentados y exclusivos de algunos grandes bancos rusos.
- Lurk se resiste activamente a ser detectado. Sus desarrolladores ponen mucho esfuerzo en minimizar la detección del troyano y los ataques selectivos hacen que sea difícil obtener nuevos ejemplares.
- Por los métodos usados en la estructura interna del malware, el volumen de sus funciones y la frecuencia con la que se le introducen cambios, podemos concluir que es un proyecto en el que trabaja un equipo de desarrolladores y evaluadores profesionales.
Con esto no estamos afirmando que este troyano esté bien escrito, porque hemos visto y analizado otros troyanos bancarios que tienen un código de una calidad mucho más alta. Es más, el análisis de Lurk mostró que en el código trabajaron varios programadores, y que su nivel de profesionalismo era desigual. En ciertas partes del código hay soluciones claramente desafortunadas, que los autores no corrigen desde hace años (por supuesto, no les indicaremos donde están sus errores). Cabe señalar que los creadores de virus siguen desarrollando su producto. Vemos que la calidad del código aumenta con el tiempo y que también mejora la calidad de las soluciones utilizadas por los autores. Lurk se caracteriza por ser muy selectivo. Sus autores hacen todo lo posible para infectar el mayor número de víctimas que representan interés para ellos, pero sin llamar la atención de los analistas e investigadores. Los incidentes que conocemos nos demuestran que Lurk cumple bien su tarea. A intervalos regulares recibimos informes de robos en la banca online y las investigaciones forenses posteriores a los incidentes muestran huellas de Lurk en la máquina.
Víctimas
Las víctimas que les interesan a los delincuentes son:
- organizaciones TI especializadas en el campo de las telecomunicaciones;
- medios masivos de comunicación y agregadores de noticias;
- bancos e instituciones financieras.
Los servidores de compañías TI y de telecomunicaciones dan a los dueños de Lurk la posibilidad de crear nuevos servidores intermedios por los cuales se pueda hacer fluir el tráfico hacia los servidores de los delincuentes. Los sitios de medios de comunicación y de agregadores de noticias, sobre todo aquellos visitados por contables, se usan para infectar una gran cantidad de equipos de los usuarios del “grupo objetivo” de Lurk. Los bancos e instituciones financieras les interesan a los delincuentes para lograr su principal objetivo: robar dinero.
No comentaremos el deseo de los autores del malware de incrustarse en los equipos de los organismos de seguridad (estas organizaciones también están en la lista de instituciones atacadas).
Entre los objetivos atacados por el troyano están todos los grandes bancos rusos, entre ellos los cuatro mayores.
Propagación
Para difundir el troyano bancario Lurk se utiliza la técnica conocida como drive-by. Además, los autores también difunden el troyano a través de sitios comprometidos de software legítimo y dentro de las redes de organizaciones mediante la utilidad psexec.
Infección a través de un paquete de exploits
Lurk se propaga principalmente a través del famoso paquete de exploits Angler (su autor lo denomina XXX).Con este método de propagación, para infectar la computadora de la víctima no se requiere ninguna acción especial del usuario.
Angler se considera, con todo derecho, líder entre los paquetes de exploits: los exploits para las nuevas vulnerabilidades casi siempre se implementan primero en Angler, y sólo después se propaga al resto de paquetes (o simplemente, lo “toman prestado”). Son frecuentes los casos en que Angler implementa vulnerabilidades de “día cero”, lo que lo hace particularmente peligroso.
Esta es la forma en que Lurk suele infectar nuevas víctimas:
- Escoge un sitio interesante por su tipo de visitantes: foro de contabilidad, portal de noticias, etc.
La infección del sitio se lleva a cabo colocando enlaces ocultos que llevan a la página del paquete de exploits. Si no es posible efectuar la infección, el enlace malicioso se coloca en los materiales de cualquier “programa de afiliados” que se muestre en la página web.
- A los usuarios que visitan el sitio se les remite en secreto a la página del paquete de exploits. Angler trata de explotar cualquiera de las vulnerabilidades del software del usuario, lo que debe conducir a que se ejecute el cargador de Lurk, un programa denominado mini.
Destacamos que el enlace a la página del paquete de exploits se coloca por corto tiempo o aparece y desaparece periódicamente. Por ejemplo, vimos la infección del foro de una revista de contabilidad muy conocida, en la que los enlaces maliciosos aparecen en días laborables, justo en las dos horas del almuerzo. Por supuesto, nos dimos cuenta de la actividad anormal y notificamos al propietario del recurso. Pero, en el momento en que leyeron nuestra carta, el sitio ya estaba limpio, y no vieron la infección. Mientras el enlace malicioso estuvo presente, los propietarios de Lurk infectaron varios nuevos equipos con malware.
Infección a través de sitios comprometidos
El segundo método de infección, que los atacantes están utilizando activamente es propagar código malicioso en sitios legítimos. Al parecer, el uso de este método de propagación hace que los archivos infectados lleguen solo a los usuarios de la zona RU, y el resto recibe archivos limpios.
Infección de equipos dentro de la red de la organización
Para los hackers representa gran interés el esquema según el cuál, durante el ataque inicial, se infecta uno de los equipos de la organización. Incluso si el equipo infectado no tiene nada que sea de interés para los intrusos, este equipo se encuentra en la misma red y el mismo dominio que los demás equipos que tienen información de interés para los propietarios del troyano. En tales casos, para realizar la distribución dentro de la red se utiliza la utilidad de Mark Russinovich psexec, y para ejecutar los módulos principales del troyano en otros equipos de la red, el dropper especializado mini. Tal método puede llevar a consecuencias muy lamentables, ya que la seguridad del equipo que contiene los datos en los que los delincuentes están interesados se determina por el nivel de seguridad del equipo menos protegido de la red atacada.
Módulos principales
El troyano consta de varios módulos que tienen posibilidades bastante ricas. Los principales módulos de Lurk son:
- el módulo mini
- el módulo prescanner,
- el módulo core (núcleo del bot),
- el módulo core_x64 (versión de 64 bits del kernel)
- el módulo mini_x64 (versión de 64 bits del módulo mini).
El módulo mini
En la primera etapa del ataque el paquete de exploits Angler explota las vulnerabilidades encontradas en el software de usuario, para después descargar y ejecutar el módulo mini del troyano bancario Lurk. Como ya escribimos más arriba, el usuario puede descargar el archivo infectado desde un sitio web hackeado, o bien la infección puede ocurrir a través de la red local.
Mini es un programa pequeño si se lo compara con Lurk (100-400 KB). Su principal tarea es descargar y ejecutar los otros dos módulos principales del programa malicioso Lurk. La dirección del servidor de mini está explícitamente indicada en el cuerpo del programa. Los módulos se descargan mediante solicitudes GET comunes y corrientes. Los módulos, descargados por mini están cifrados con diferentes algoritmos criptográficos. El módulo prescanner está cifrado mediante un sencillo algoritmo “xor siguiente”. Los otros módulos están cifrados con el algoritmo de cifrado Blowfish (Modo ECB), cuya pseudo-clave está indicada en mini. La clave verdadera se obtiene a partir de la pseudo-clave usando pruebas consecutivas de suplantación de un solo carácter (ataque de fuerza bruta).
Para no tener que descargar los complementos cada vez que ejecute mini, el troyano guarda estos módulos en un solo archivo cifrado aparte. Este archivo se encuentra en el directorio %APPDATA%. El contenido del depósito está cifrado con el algoritmo de cifrado Blowfish, y utiliza una clave que depende del momento de la creación del directorio de Windows. Además del nombre del complemento y su cuerpo, el depósito también contiene una lista de las sumas de comprobación de los nombres de procesos en cuyo contexto debe ejecutarse el complemento. Con esta información, mini determina en qué proceso incrustar el complemento: al módulo de inyector web le corresponde el proceso del navegador, y al módulo iBan le corresponde el ejemplar de java.exe que opera en el contexto del sistema de banca en línea.
El módulo prescanner
De acuerdo con el esquema de funcionamiento de mini, la segunda etapa del ataque consiste en cargar el módulo prescanner. Este módulo es una función de biblioteca de vínculos dinámicos que tiene una sola función de exportación llamada Prescan.
Los delincuentes necesitan prescanner para que sus ataques sean selectivos al máximo. Si el equipo no cumple las reglas especiales de prescanner y no contiene módulos de banca en línea, el módulo envía un informe a mini, que renuncia a incrustarse en el equipo. De esta manera los creadores del troyano tratan de pasar inadvertidos ante las fuerzas de seguridad y los desarrolladores de productos antivirus. Para confirmar esta afirmación, citamos el siguiente hecho: cada vez que se registra un nuevo bot, el servidor de administración le asigna un número que sirve como identificador único. En sus más de cinco años de historia, el servidor de administración de este troyano bancario registró cerca de 60.000 bots.
Prescanner realiza dos tareas principales:
- recopila información sobre el sistema infectado;
- roba las contraseñas de los clientes FTP que encuentra en el equipo del usuario.
Después de recopilar información sobre el equipo y comprobar que se apliquen las normas existentes, prescanner envía un informe a su servidor de administración. En los casos que analizamos, el servidor del módulo prescanner era el mismo que el servidor de descarga de mini.
Si según los resultados del análisis el equipo se declara inadecuado para el ataque, Lurk y mini finalizan su trabajo y se borran a sí mismos. Si prescanner decidió establecerse en el equipo, se lo comunica al descargador mini, que a su vez descarga y ejecuta el módulo core, el cuerpo principal del bot.
El módulo core
Core es el módulo más importante de Lurk. Sus principales funciones son:
- encargarse de la comunicación con el servidor de administración;
- ejecutar las órdenes recibidas de los delincuentes;
- llevar un registro de las pulsaciones del teclado (función de keylogger) y grabar el flujo de vídeo desde la pantalla del sistema infectado;
- asegurar el funcionamiento del depósito de datos cifrados y la configuración de Lurk;
- descargar, instalar y ejecutar los módulos adicionales del troyano.
El módulo core es un peculiar “canal de comunicación” entre los demás módulos del software malicioso y el centro de mando. Los servidores de administración de mini y de core son diferentes. Core no contiene la dirección del centro de control explícita en su código, sino que la calcula utilizando el algoritmo de generación de nombres de dominio (DGA, domain generation algorithm). Los autores del troyano utilizan como parámetros de entrada de DGA incluso las cotizaciones de acciones obtenidas de Yahoo Finace. Es decir, para generar las direcciones de los centros de administración se utilizan datos que los expertos en seguridad no pueden conocer de antemano. En consecuencia, es imposible pronosticar las direcciones generadas por Lurk.
Una vez establecida la conexión, cada cinco minutos el malware envía al servidor de administración los datos los resultados de la ejecución de comandos y solicitudes de actualización y de más comandos. Toda la comunicación entre el módulo core y el servidor de administración se efectúa bajo cifrado, mientras que el intercambio de datos entre core transcurre en el formato JSON.
La función de intercepción de datos que el usuario escribe en el teclado, está implementada en el módulo core de las nuevas versiones de Lurk (como mínimo desde la versión 8.9773). La interceptación se lleva a cabo sólo cuando están abiertas ventanas que contienen ciertas palabras o frases en su título, cuya lista la envía el servidor de administración. La información interceptada se la envía al servidor de administración durante la siguiente sesión de comunicación (cada 5 minutos).
La principal parte del depósito del troyano Lurk se encuentra en el registro, pero algunos datos adicionales relacionados con el depósito pueden representarse como un archivo en el disco duro. Como regla, en forma de archivos se guarda una cantidad de datos grandes, pero uniformes desde el punto de vista lógico, por ejemplo, los vídeos capturados de la pantalla o el código de las inyecciones web. Pero en cualquier caso, los enlaces y estos archivos complementarios están presentes de forma obligatoria en la principal parte del depósito que se encuentra en el registro.
Módulos adicionales
Core carga módulos adicionales (complementos) en los equipos que el malware considera más apropiados para el ataque, y en cada equipo se cargan justo los módulos necesarios para robar dinero.
En la siguiente tabla enumeramos los módulos de Lurk que conocemos en este momento.
GUID del complemento | Nombre | Para qué sirve el complemento |
{} 5FBA6505-4075-485b-AEC4-75767D9054C9 | module_Bifit | Conjunto de archivos .class para realizar cambios en la funcionalidad normal de los sistemas “IBank 2” con el fin de robar el dinero. |
{0F3E7AFA-1F2B-4b0e-99D6-3716A4C3D6DE} | module_Bifit_admin | Applet para los sistemas “iBank 2” modificado por los delincuentes (diseñado para robar los datos de cuentas de sistemas “iBank 2”, entre ellos los archivos claves). |
{04DB063E-1454-4a73-B2CC-4DB6D4BB6AA1} | module_ibank | Complemento para realizar inyecciones de los applets propios en el sistema “iBank 2”. Es con la ayuda de estos applets (pero no sólo de ellos) que se roba el dinero a los usuarios. |
{AABA3126-14E2-443b-A11b-FB6C1F793103} | module_w3bank | Complemento que sirve para organizar las inyecciones web en las páginas de los sistemas de banca en línea. |
{5C345F77-B111-4a85-B6D6-EC8F27F993C4} | module_w3bank_scripts | Conjunto de scripts en JavaScript, que inyecta el módulo w3bank. Diseñado para robar dinero y datos del sistema de banca en línea. |
{50D13F6C-FC46-4fdf-A294-E149D36E54D4} | module_spider | Módulo auxiliar, cuya tarea principal es garantizar la carga de otros módulos de Lurk en el contexto de los procesos “iexplore.exe”, “firefox.exe”, “chrome.exe”, “opera.exe”, “jp2launcher.exe”, y “java.exe” antes del inicio real de estos procesos. |
{52F1F7D8-4BCC-4498-AC86-3562F81990F6} | module_vnc | Complemento para el acceso por VNC al equipo infectado (con el fin de controlar a distancia el equipo comprometido). |
{A06B5020-0DF3-11E5-BE38-AE5E4B860EDE} | rdp-plugin-x86 | Complemento que activa RDP en la máquina infectada. |
{9F786E98-3D4C-4.020-8.819-B97D9D4DBCC0} | highLauncher | Cargador de los complementos del bot en high Integrity level de alto nivel de integridad (necesario para rdp-plugin-x86 и lsa-plugin-x86). |
{968A2A9A-7DF4-4E69-BF81-563AF8FFB7DC} | launcher | Cargador de mini. Espera mensajes IPC con el nombre <LurkDll> y después de recibirlos, carga mini utilizando LoadLibrary (). Se utiliza en el proceso de inicio de mini con elevación de privilegios. |
{5B3957F2-AAAF-4FF8-94B8-83C52AFCD2A9} | lsa-plugin-x86 | Complemento para apoderarse de las cuentas de administrador o de dominio (usa el famoso programa mimikatz). |
Describiremos tres de los módulos (complementos) con más detalle: los módulos w3bank y ibank.dll, los dos “caballos de trabajo” del troyano Lurk, que son los directos encargados de robar el dinero. El módulo module_vnc proporciona la posibilidad de controlar remotamente el sistema infectado usando el protocolo VNC.
El módulo w3bank
El módulo w3bank módulo está diseñado para atacar los sistemas de banca en línea. Su tarea principal es implementar los inyectores en el navegador del usuario.
El módulo iBank
El módulo iBank se utiliza para cometer robos en los sistemas de banca en línea “iBank”.
El módulo opera en el contexto del proceso de la máquina virtual Java. Cuando se ejecuta de applet de Java, se lo verifica para ver si pertenece al sistema “iBank 2”. Si este es el sistema de banca en línea que se está ejecutando, el módulo envía al servidor de control del malware una solicitud para bloquear o continuar con la ejecución del applet. Junto con el comando de continuar con la ejecución, desde el servidor de administración llega un conjunto de archivos de clases Java, que sustituyen las clases de los applets originales de “iBank”.
El applet infectado permite a los atacantes reemplazar de forma inadvertida los datos de las órdenes de pago, dejando la información original en los documentos que se puedan imprimir.
El módulo module_vnc
El módulo module_vnc proporciona la posibilidad de controlar remotamente el sistema infectado mediante el protocolo VNC. Con su ayuda, el equipo remoto obtiene acceso completo al sistema: ve lo que sucede en la pantalla, puede enviar y recibir cualquier archivo o datos, entre ellos datos de cámaras de vídeo y dispositivos de grabación de audio, utilizar el software instalado o instalar otro nuevo.
Además, este módulo ofrece la posibilidad de ejecutar procesos del navegador con los siguientes parámetros:
Mozilla Firefox: -profile
Google Chrome: –user-data-dir=
Internet Explorer: -nomerge
Cada vez que se inician Mozilla Firefox y Google Chrome, crea un nuevo perfil de usuario del navegador. Esto le permite ocultar las actividades maliciosas de los ojos del usuario legítimo, que no las puede ver en el historial de los sitios visitados. Además, le permite crear en cualquier sitio web una sesión que va en paralelo con la sesión que ya está iniciada. En particular, esto les da a los atacantes la posibilidad de autenticarse una segunda vez en el sitio web, con el que trabaja el usuario legítimo, y llevar a cabo en la sesión paralela acciones que no afectan a la sesión del usuario.
Etapas del ataque de Lurk
De esta manera, la secuencia de ataque típica del troyano es la siguiente:
- Se infecta el equipo del usuario mediante la explotación de una vulnerabilidad;
- En el equipo infectado se ejecuta el módulo mini;
- Mini descarga el módulo prescanner módulo y lo ejecuta;
- Prescanner roba las credenciales FTP del usuario;
- Si el análisis del equipo infectado arroja que no es adecuado para al ataque, mini y prescanner mueren “en silencio”.
- Si el equipo infectado representa interés para los atacantes, el ataque continúa.
- Si el ataque continúa, mini descarga y ejecuta el módulo core, el cuerpo principal del bot.
- Core se comunica con el servidor de administración del bot y recibe y ejecuta órdenes de los delincuentes.
- Core recibe complementos adicionales desde el servidor de administración.
- Core “espía” al usuario: intercepta los datos que introduce desde el teclado y graba el flujo de vídeo desde la pantalla del sistema infectado. La interceptación se lleva a cabo sólo cuando están abiertas ventanas que contienen ciertas palabras o frases en su título, cuya lista la recibe desde el servidor de administración y que está determinada por los intereses financieros de los dueños de Lurk.
- Usando módulos adicionales (iBank, w3bank), Lurk lleva lleva a cabo el robo de fondos del sistema de banca en línea.
Ejemplo de ataque a un banco
Mientras realizábamos la investigación, descubrimos un ataque de Lurk contra uno de los mayores bancos de Rusia mediante el módulo de inyecciones web w3bank. Nos las arreglamos para conseguir el script de los inyectores.
Los archivos de los inyectores el mismo nombre para los diferentes sistemas de banca en línea (content.min.js), pero el GUID es diferente en cada caso, porque este último se genera aleatoriamente.
Este script intercepta la información de autenticación introducida en el sistema de banca en línea. Cuando se produce la autenticación de usuario en el sistema de banca en línea, se interceptan su nombre de usuario y contraseña. Una vez realizada la autenticación, el usuario crea una sesión paralela -oculta al usuario- durante la cual Lurk entra a las páginas bancarias y busca el nombre del titular de la tarjeta y el número de teléfono asociado a la tarjeta. Es decir, el script malicioso recoge toda la información necesaria para hacer un pago en el sistema de banca online. Más adelante, esta información se envía al servidor de administración, cuya dirección coincide con la dirección de red del servidor que interactúa con el módulo core.
El servidor de administración puede enviar de nuevo un script, que se ejecutará en el contexto del navegador. Durante nuestra investigación no nos fue posible conseguir este script.
Además, el servidor de administración puede registrar un pago automático que se realizará después de la siguiente autenticación del usuario en el sistema de banca en línea.
Conclusión
Los autores del troyano Lurk se esforzaron en hacer que su criatura esté protegida al máximo de los analistas, en especial para protegerlo de análisis profundos. O al menos complicar en gran medida este análisis. Sin embargo, a pesar de toda la complejidad del análisis del malware, las soluciones antivirus modernas detectan de inmediato a Lurk.
Y no sólo las compañías antivirus se enfrentan a Lurk. El desarrollador de los sistemas “iBank 2”, la empresa BIFIT también está haciendo esfuerzos para combatir los ataques a su producto. La compañía ha puesto en práctica métodos de lucha contra troyanos bancarios en el software “iBank 2” y examinado su eficacia. Los resultados del estudio realizado por BIFIT muestran que, de todos los métodos de defensa contra Lurk implementados en “iBank 2”, el único eficaz es el control en el lado del servidor del banco, porque las demás medidas aplicadas en el sistema “iBank 2” fueron evadidas con éxito por los autores de Lurk, hecho que demuestra su profesionalismo.
En general, Lurk deja la impresión de un sistema complejo y de gran potencia para los fines delictivos de los creadores del producto, robar dinero a los usuarios. La perseverancia y la concentración con la que los autores están trabajando en su troyano son evidencia de su alto grado de motivación.
Para contrarrestar este troyano, Kaspersky Lab utiliza métodos de firmas, heurísticos y de detección proactiva. Este enfoque permite detectar incluso los nuevos ejemplares de Lurk antes de que pasen a formar parte de nuestra colección. La detección de este troyano se hace según los siguientes veredictos: Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk y Trojan-Spy.Win32.Lurk.
En conclusión, daremos un consejo banal, pero que no ha perdido vigencia. La seguridad de la banca en línea depende de:
- el buen diseño y administración de las redes locales de las organizaciones;
- la formación periódica del personal en lo que respecta a las reglas y normas de seguridad informática;
- el uso y actualización regular del software de protección informática.
Estamos seguros de que la observación de estas simples reglas simples garantizará un alto nivel de protección contra Lurk y otras amenazas similares.
IOCS:
Claves de registro:
HKCU\Software\Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKLM\Software\Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKCU\Software\Classes\Drive\ShellEx\FolderExtensions\{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKLM\Software\Classes\Drive\ShellEx\FolderExtensions\{118BEDCC-A901-4203-B4F2-ADCB957D1887}
Archivos:
Posibles nombres del módulo mini:
%APPDATA%\API32.DLL
%APPDATA%\dlg.dll
%APPDATA%\mm.dll
%APPDATA%\setup.dll
%APPDATA%\help.dll
%APPDATA%\mi.dll
%APPDATA%\http.dll
%APPDATA%\wapi.dll
%APPDATA%\ER32.DLL
%APPDATA%\core.dll
%APPDATA%\theme.dll
%APPDATA%\vw.dll
%APPDATA%\el32.dll
%APPDATA%\sta.dll
%APPDATA%\p10.dll
%APPDATA%\fc.dll
%APPDATA%\in_32.dll
%APPDATA%\pool.drv
%APPDATA%\env.dll
%APPDATA%\man.dll
Posibles nombres de los módulos de almacenamiento:
%APPDATA%\ddd2.dat
%APPDATA%\pdk2.dat
%APPDATA%\km48.dat
%APPDATA%\9llq.dat
%APPDATA%\ddqq.dat
%APPDATA%\834r.dat
%APPDATA%\gi4q.dat
%APPDATA%\wu3w.dat
%APPDATA%\qq34.dat
%APPDATA%\dqd6.dat
%APPDATA%\w4ff.dat
%APPDATA%\ok4l.dat
%APPDATA%\kfii.dat
%APPDATA%\ie31.dat
%APPDATA%\4433.dat
Indicadores de red:
Servidores de administración:
3d4vzfh68[.]com
43xkchcoljx[.]com
carlton69f[.]com
diameter40i[.]com
elijah69valery[.]com
embassy96k[.]com
evince76lambert[.]com
globe79stanhope[.]com
groom58queasy[.]com
hackle14strand[.]com
hotbed89internal[.]com
mechanic17a[.]com
paper17cried[.]com
plaguey42u[.]com
possum89hilarity[.]com
rhythmic81o[.]com
ri493hfkzrb[.]com
roomful44e[.]com
s8f40ocjv[.]com
scale57banana[.]com
wing97pyroxene[.]com
yf3zf90kz[.]com
Reglas IDS:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:”Bot.Lurk.HTTP.C&C”; flow:established,to_server; content:”POST”; pcre:”/\?hl=[a-z]+&source=[^\r\n&]+&q=[^\r\n&]+/msi”;)
MD5:
mini:
185C8FFA99BA1E9B06D1A5EFFAE7B842
2F3259F58A33176D938CBD9BC342FDDD
217DAB08B62B6F892A7D33E05E7F788C
3387E820F0F67FF00CF0C6D0F5EA2B75
36DB67CCADC59D27CD4ADF5F0944330D
6548D3304E5DA11ED2BED0551C3D6922
72D272A8198F1E5849207BC03024922D
85B66824A7F2787E87079903F0ADEBDF
B4FFAD760A52760FBD4CE25D7422A07B
C461706E084880A9F0409E3A6B1F1ECD
D0B4C0B43F539384BBDC103182E7FF42
E006469EA4B34C757FD1AA38E6BDAA72
E305B5D37B04A2D5D9AA8499BBF88940
E9CAB9097E7F847B388B1C27425D6E9A
E9DA19440FCA6F0747BDEE8C7985917F
F5022EAE8004458174C10CB80CCE5317
prescanner:
A802968403162F6979D72E04597B6D1F
core:
C15E18AFF4CDC76E99C7CB34D4782DDA
8643E70F8C639C6A9DB527285AA3BDF7
ibank.dll:
A6C032B192A8EDEF236B30F13BBFF204
4CB6CA447C130554FF16787A56A1E278
BFE73DE645C4D65D15228BD9A3EBA1B6
CC891B715C4D81143491164BFF23BF27
module_vnc:
601F0691D03CD81D94AD7BE13A10A4DB
6E5ADF6246C5F8A4D5F4F6BBFC5033B9
78EDD93CEA9BEDB90E55DE6D71CEA9C4
w3bank.dll:
1B84E30D4DF8675DC971CCB9BEE7FDF5
3A078D5D595B0F41AD74E1D5A05F7896
El troyano bancario Lurk: diseñado especialmente para Rusia