Zbot y CVE2010-0188

Hace poco encontré un archivo PDF sospechoso y decidí investigarlo más a fondo. Al descomprimirlo, encontré un archivo xml con una imagen TIFF. Pero todo todavía se veía muy extraño. Al fin descubrí que el archivo xml contenía un exploit para CVE-2010-0188.

Pensé que era un poco raro que no hayamos encontrado archivos como este antes, así que revisé las estadísticas de esta vulnerabilidad:

Estadísticas de exploits para CVE-2010-0188 en 2010

El gráfico muestra que los cibercriminales comenzaron a explotar CVE=2010-0188 con programas maliciosos a finales de julio. Hasta entonces era raro encontrar este tipo de ataques. Tal vez los escritores de virus necesitaron un par de meses para desarrollar los exploits para la nueva vulnerabilidad de Adobe.

También noté que el PDF estaba diseñado principalmente para descargar y ejecutar otro archivo, Trojan-Dropper.Win32.Zbot.cm. Este troyano está diseñado para combatir los programas antivirus e instalar Zbot (Zeus) en el sistema infectado.

Aunque conseguí un ejemplar de Zbot, estaba codificado y ofuscado. Después noté que las secuencias decodificadas incluían un enlace muy claro al sitio bancario que se iba a atacar, las solicitudes de http del bot y algunos de los comandos que usa la red zombi.

Parte del archivo Zbot decodificado

Este es el primer ejemplo de una variante de Zbot codificada que se propaga por CVE-2010-0188. Sin duda los delincuentes que operan este programa no están cruzados de brazos y ya están trabajando duro para desarrollar un nuevo método para propagar el malware de forma más eficiente.