Eliminar malware de Nuevaq.fm

Posted in , , en 21:24

Amigos, buenos días, después de un buen tiempo sin postear. Ya entenderán posiblemente que ando muy atareado con temas de la U , pero siempre tratando de estar al tanto del sitio y sus aportes y comentarios.

Hace unos días mi amiga me comentó que tenía problemas. Su PC andaba lenta, se cerraban los programas y otros programas no podían ejecutarse, el messenger auto-enviaba mensajes a sus contactos invitándolos a visitar un sitio web que supuestamente debía contener música cumbia online:

www.nuevaq.fm

Síntomas más comunes:

  1. Página de inicio de Internet Explorer: www.nuevaq.fm
  2. No se ejecuta el cmd, msconfig, regedit, mozilla firefox, google chrome, programas antivirus, etc…
  3. Se envían mensajes por el messenger a los contactos invitando a visitar el sitio www.nuevaq.fm
  4. Lentitud en la PC.

Si eres de los apurados y solamente quieres la solución, puedes descargar el Script que diseñé.
La vacuna elimina el malware y restaura el registro en un máximo de 10 segundos aproximadamente, también es compatible con Windows XP, Vista y Windows 7.

Descarga Vacuna NuevaQ_FM

Una vez descargado el archivo lo descomprimen en una carpeta y ejecutan el archivo “Vacuna nuevaq_fm.vbs” y el Script se encarga del resto. Luego de algunos segundos tu Equipo estará limpio.

Los que quieran un poco más de cómo es que funciona este malware pueden seguir leyendo…

Me pareció muy interesante, así que decidí encender una máquina virtual, procedí a tomar un Snapshot del sistema inicial, luego procedí a sacar un estado antes del análisis usando RegShot, luego procedí a ejecutar el ProcessXP (Explorador de procesos) también ejecuté el Analizador de tráfico Wireshark.

Con todo esto, procedí a ejecutar el navegador Internet Explorer en la máquina virtual, luego también lo haría con Mozilla Firefox.
Al acceder al sitio web www.nuevaq.fm con el navegador Internet Explorer, se muestra un mensaje indicando que se debe instalar un complemento, creo que a un usuario común, ese tipo de mensajes no les sorprendería y creerían que deben descargar el supuesto “complemento” para que puedan escuchar la música online, así que le harían click en instalar el complemento y después de un momento de aparente inactividad visual… ante el usuario no pasó nada…

Internamente y fuera de la vista del usuario, ¿qué pasó?

  1. El sitio www.nuevaq.fm contiene código que detecta sobre qué navegador se ejecuta y descarga vía javascript bajo consentimiento del usuario ( y digo consentimiento porque el usuario es el que hace click en Aceptar para instalar ) un control ActiveX.
  2. El control ActiveX una vez descargado se descomprime y ejecuta un archivo llamado “11.exe” en la ruta %TMP%.
  3. Este archivo crea 2 ejecutables que se crean en la ruta:%userprofile% & %username% & “1″Y esto significa que si el usuario se llama Pepito, la carpeta que crea es:

    C:\Documents and Settings\Pepito\Pepito1

    Los 2 archivos que se crean dentro de esta carpeta se llaman:
    winlogon.exe
    winhelp32.exe

  4. El proceso 11.exe ejecuta entonces el archivo winlogon.exe mencionado hace un momento y éste a su vez ejecuta el archivo winhelp32.exe.
  5. De manera casi simultánea el registro del sistema es modificado de modo que muchos ejecutables de conocidas herramientas de monitoreo y detección antivirus sean desactivados. Esto lo logra modificando las siguiente clave de registro:”HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe”
    “Debugger” = “C:\windows\twunk_16.exe”

    Esto asegura que cuando se intente ejecutar por ejemplo el regedit, el cmd.exe, el msconfig, o alguna herramienta de antivirus no se ejecute.

  6. Crea también varias rutas de control del ActiveX en el registro.
  7. De acuerdo al análisis del tráfico que realizó este archivo tengo razones muy válidas para afirmar que este malware es un clickbot.

Esta es una descripción a grande rasgos, ya que más adelante publicaré un post de cómo hice el análisis y comentaré más el código fuente de la vacuna que hice, por el momento para los apurados les dejo la vacuna, y espero que lo disfruten.

Incluso hay muchas personas que creen que hay necesidad de formatear el equipo, pero con esta vacuna podrán ahorrar tiempo y dinero quizás…

Por cierto, y como siempre el código de la vacuna está hecho en VBScript así que si analizan el código con detenimiento podrán encontrar cosas interesantes :D.

Como también sucedió con algunos scripts anteriores que diseñé, hay muchas personas que modifican los créditos y se autoacreditan esta vacuna :(. Nada más lamentable…

Creo que al menos deberían respetar los créditos… Y conste que yo podría diseñar la vacuna en un ejecutable, obfuscando el código y qué más cosas quizás para evitar modificaciones e ingeniería inversa del código, pero ésa no es mi intención.

Mi intención es compartir el conocimiento adquirido, creo que puedes aprender mucho del código si lo analizas con detenimiento y quién sabe quizás también puedas mejorarlo o hacer algún día tus propias herramientas. Así que por favor RESPETA LOS CRÉDITOS.

Descarga Vacuna NuevaQ_fm

Cualquier cosa no duden en consultar.

Saludos amigos, aqui en Tarapoto hace mucho frío últimamente, así que a abrigarse, jejeje.

Giancarlo

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Related Posts with Thumbnails