Haciendo la buena obra del día

En el día anterior un usuario posteo en el hacker.net una duda respecto de un ejecutable que se transmitía mediante Facebook. La pregunta era si el link que contenía el mensaje era o no era un virus.


El mensaje en especifico era este:

"hahaha foto
http://apps.facebook.com/photoyeahhh/photo.php?=100000504053506 "

Al entrar a la aplicación nos encontrábamos con una pagina similar a Facebook que contenía un mensaje que declaraba:

Si quieres ver la foto haz click aquí!

Esta aplicación nos dirigía automáticamente a http://foxy-golf.com/img/facebook-pic000934519.exe donde aparecía la confirmación de si queríamos o no descargar el archivo.
Obviamente, lo descargamos y le damos un análisis en VirusTotal para confirmar que efectivamente se trata de malware (si es que hacia falta confirmación) específicamente un bot controlado mediante IRC.

facebook-pic000934519.exe

Submission date:

2011-01-27 23:08:19 (UTC)

Current status:

finished

Result:

3 /43 (7.0%)

Comodo: P2PWorm.Win32.Palevo.GZA
Jiangmin: Heur:Backdoor/Agent
NOD32: a variant of Win32/Injector.EMI

Hecho esto nos interesa verificar si el host es una web infectada o si es un host implementado en pos de alojar los archivos maliciosos. Entramos en http://foxy-golf.com y al parecer nos encontramos con una tienda:

Registrant:
 foxy golf
 40 w turkeyfoot lake rd.
 akron, Ohio 44319
 United States

 Domain Name: FOXY-GOLF.COM
 Created on: 13-May-08
 Expires on: 13-May-12
 Last Updated on: 14-May-10

Rápidamente nos damos cuenta que es un sistema osCommerce, y lamentablemente en este caso una versión muy vulnerable y sin ningún tipo de parche aplicado por parte del administrador.

Accedemos fácilmente al listado de archivos bypasseando el login, y comprobamos rápidamente que se pueden descargar archivos a diestra y siniestra. Obviare algunas partes por razones que se caen de maduras, pero seria algo similar a:

xxxxxx/xxx.php?action=download&file=path

Tenemos el listado de archivos y sabemos que podemos descargar. Se podra subir archivos? seguramente, pero primero veremos si podemos descargar algún fichero con los passwords necesarios.

Luego de probar la descarga de varios archivos sin suerte, a simple vista la opción mas factible es intentar subir una shell. No obstante, si el host esta infectado posiblemente tenga una shell en alguno de sus directorios, y si el atacante fue lo suficientemente inexperto, esta va a estar a la vista.

Descargamos los pocos archivos que nos quedaban por revisar hasta que encontramos uno con algo similar a:

GIF89;a
eval(gzinflate(base64_decode('
7P37ehq58igM/73zPLkHhWENMLE5+RAfgicYsI3j
I/gcZ/vX0A10DDRDg7Ezk/d+3+8qvqqS1K0+AXY8
s9Z69/ZaGUAqlUqlUqlUkkq/b338fdAZvH2T+e0f
+ctgTf/PP/DHa2Is2UxZuqGzxhOr96uDyvCuXlwo
Gw9G1xrw5IOn7H1H49CHxeoB64xGg41M5qHfGGpm

Al descodificar este archivo, efectivamente nos damos cuenta que es la shell que necesitabamos. Intentamos acceder a la shell desde  http://foxy-golf.com/shell.php y efectivamente tenemos suerte:

Como habíamos detectado al inicio, los archivos maliciosos se encontraban en el directorio /img/, por ende lanzamos un rm -rf y eliminamos el directorio completamente. Logrando asi que la aplicación de Facebook deje de funcionar:

Terminamos el asunto dejando un archivo explicándole al administrador como debería solucionar los fallos, por supuesto también se lo enviamos por mail. Luego de esto eliminamos la shell que habíamos encontrado, saliendo así completamente del sitio.

Conclusión

El aspecto positivo es que evitamos que mas gente se siga infectando al deshabilitar la aplicación que transmitía el malware, por lo menos momentáneamente.

El aspecto negativo es que posiblemente el administrador ni siquiera solucione los fallos de su sitio web y aunque lo hiciese, siempre habrá cientos de administradores con sus sitios sin parchear y fácilmente accesibles por cualquier atacante.

Lamentablemente Comodo me jugo una mala pasada y elimino el backup que había hecho del ejecutable malicioso sin que pudiese debuggearlo y realizar la vacuna correspondiente, por lo tanto si tienes una muestra por ahí, no dudes en enviármela.

Tienen alguna "buena obra del día?" suelen hacerlas seguido o simplemente pasan del tema? sera un placer leer las historias que tengan.

Saludos!