Malware alojado en dominios .hk

Durante estos días un corre basura inunda nuestros correos y, por extensión, el de algunos millones de usuarios. Se trata de un spam que intenta infectar al que visita un enlace en su interior. Nada nuevo excepto por la insistencia de variantes del correo (decenas al día) y el método de direcciones dinámicas que utiliza para alojar el malware. Todo un sistema que lo hace imposible de localizar en un punto concreto.

Desde hace unos días estamos recibiendo decenas de correos con esta estructura:

Asunto: “Hello”, “Hello, Bud” o “Hello, Pal”Cuerpo: read ithttp://xxxxx.hk

Donde XXXXX oculta dominios cortos, normalmente mezcla de letras sin sentido. Lo primero que llama la atención es el carácter dinámico de los dominios. Cuando son resueltos responden cada vez con una dirección IP distinta, lo que significa que el dominio apunta a un lugar diferente en cada petición. Esto lo convierte en algo extraordinariamente complicado de rastrear. Las IP son en su mayoría estadounidenses (muy probablemente sistemas de usuarios comprometidos) pero se pueden observar de muchos otros países. El sistema está montado sobre decenas de servidores DNS cambiantes, y los registros tienen un tiempo de vida (timeout) de cero, para que nunca queden en caché de quien los consulte y resulte así en una nueva resolución cada vez que se realiza una petición.

Cuando el usuario visita esta página en el dominio .hk, (aparte de ir a parar a un IP distinta en cada ocasión) recibe un insistente ataque que intenta infectarlo por varias vías conocidas. El índice de esta página contiene JavaScript ofuscado que intenta:

* Aprovechar la famosa vulnerabilidad ANI, conocida y parcheada, que permite ejecución de código con solo visitar la página.* Contiene iframes que también intentan aprovechar distintos fallos en Internet Explorer, todos ya conocidos.* Independientemente del éxito de las operaciones anteriores, muestra un mensaje con un enlace a una descarga directa que apunta a http://YYYYY.hk/fun.exe y pide que sea descargado.

Donde YYYYY es otro dominio con las mismas características. Fun.exe resulta ser un “downloader”. Descarga un nuevo fichero desde http://12.34.56.78/aff/dir/alt.exe (IP simulada).

Alt.exe es un “spambot” que, si es ejecutado con permisos de administrador, comienza a enviar correo basura casi inmediatamente. Además es un cliente de DDoS, o sea, está preparado para lanzar peticiones contra servidores cuando el master de la botnet se lo ordene. El sistema víctima se convierte así en un zombie.

Algunos antivirus pueden detectar las páginas con el JavaScript como peligrosas, aun estando ofuscadas. Fun.exe, el encargado de descargar el “payload” del ataque, es reconocido por nueve antivirus en VirusTotal.com, con firma genérica.

Alt.exe sigue a día de hoy perfectamente accesible a través de la web y los resultados proporcionados por VirusTotal.com a fecha de 16 de junio de 2007, a las 15:00 hora española son:

TR/Small.DBY.DB (AntiVir), Suspicious (CAT-QuickHeal), Trojan.Small-267 (ClamAV), Trojan.Packed.139 (DrWeb), Suspicious Trojan/Worm (eSafe), Tibs.gen108 (F-Secure), Tibs.gen108 (Norman), Suspicious file (Panda), Mal/EncPk-E (Sophos), Trojan.Small.DBY.DB (Webwasher-Gateway)

Los dominios .hk (Hong Kong) son relativamente fáciles de comprar sin levantar sospechas. Lo sorprendente de este ataque es la infraestructura empleada. Decenas de dominios .hk, un método de resolución de nombres complejo y dinámico, un sistema de alojamiento múltiple de payloads y downloaders, una insistencia enfermiza a la hora de intentar la infección automática y como última instancia la “manual” (pidiendo abiertamente la descarga)… toda una inversión de recursos con el fin de convertir a la víctima en parte de un botnet. Y lo peor, es que las páginas que intentan aprovechar los fallos parecen estar alojadas en ordenadores de usuarios ya comprometidos en todo el mundo.