Ir para o conteúdo
ou

Software livre Brasil

 Voltar a Blogosfera d...
Tela cheia Sugerir um artigo

Rafael Gomes: Malware energizado

9 de Março de 2010, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 276 vezes

Um fato, no mínimo inusitado, ocorreu nos últimos dias, por algum motivo ainda não conhecido, um código malicioso estava sendo distribuído junto a um software da empresa Energizer. Esse software é responsável por monitorar o nível de carga do equipamento Energizer DUO para a plataforma Microsoft Windows.

De acordo com a US-CERT, o software instalado insere dois arquivos .dll no sistema hospedeiro (UsbCharger.dll e Arucer.dll). Após instalado o software utiliza UsbCharger.dll para prover comunicação com a porta USB, ela também é responsável por executar Arucer.dll via o mecanismo rundll32.exe do Windows .

Obs : O software \Windows\system32\rundll32.exe é um arquivo confiável do Windows, mas pode ser usado para fins não tão confiáveis, como é esse o caso.

Agora temos o segundo problema. Caso a maquina seja da versão XP SP2 ou superior, ele será provida de um firewall pessoal, porém esse firewall irá acusar que o rundll32.exe irá utilizar uma dll como um aplicativo, algo bastante utilizado por outros software relativamente confiáveis, mas não necessariamente correto (essa discussão fica pra outro post).

Caso o usuário escolha a opção de desbloquear, esse tipo de comportamento será aceitável, assim novos malwares que usam a mesma técnica não terão esse obstáculo. Cuidado!

Uma vez em execução como aplicativo, será aberta uma porta TCP 7777, que possibilitará que comandos possam ser enviados remotamente.

Vale atentar que a biblioteca Arucer.dll não é novidade, ela foi criada em 2007.

A empresa Energizer junto com a US-CERT trabalha com a hipótese de que o software foi modificado após liberado para download.

Caso você esteja com o software instalado, a empresa aconselha que o mesmo seja removido imediatamente, que o problema será resolvido, mas não é tão simples, procure e remova o arquivo Arucer.dll e reinicie a sua máquina para ter certeza que o malware seja removido.

Caso esteja com a opção de utilizar dll como aplicativo em seu firewall Windows, remova essa opção para evitar futuros ataques.

Você é um administrador de rede e deseja procurar se existe alguém infectado em sua rede? Use o nmap ou metasploit para esse trabalho.

Você tem um servidor SNORT em sua rede? Use as regras abaixo para verificar se existe algum infectado em sua rede:

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer Command Execution”; flow:established; content:”|C2 E5 E5 E5 9E DD A4 A3 D4 A6 D4 D3 D1 C8 A0 A7 A1 D3 C8 D1 87 D7 87 C8 A7 A6 D4 A3 C8 D3 D1 D3 D2 D1 A0 DC DD A4 D2 D4 D5 98 E5|”; classtype:trojan-activity; sid:1000004; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer DIR Listing”; flow:established; content:”|C2 E5 E5 E5 9E D5 D4 D2 D1 A1 D7 A3 A6 C8 D2 A6 A7 D3 C8 D1 84 D7 D7 C8 DD D2 A6 D2 C8 D2 A7 A7 D2 D7 A4 D6 D7 A3 D4 DC A3 98 E5|”; classtype:trojan-activity; sid:1000005; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer WRITE FILE command”; flow: established; content:”|C2 E5 E5 E5 9E DC DD A1 DC D0 DD A3 A6 C8 A1 D5 A4 D7 C8 D1 83 D4 86 C8 A7 DD D1 D4 C8 D7 D6 D7 A4 A7 D6 D0 D2 A0 D2 A6 DD 98 E5|”; classtype:trojan-activity; sid:1000006; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer READ FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E A3 D3 A6 D1 D6 A0 D4 A4 C8 D4 D0 D0 D4 C8 D1 D5 D5 D5 C8 A4 D1 DD D6 C8 A6 D6 D3 D4 DC D3 DC A4 A0 A6 D1 D4 98 E5|”; classtype:trojan-activity; sid:1000007; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer NOP Command”; flow:established; content:”|C2 E5 E5 E5 9E D2 DD D6 A0 A4 A6 A7 A3 C8 A0 A3 DD A7 C8 D1 DC DD 80 C8 A4 D5 D0 DC C8 A3 D5 A7 D0 A7 A1 D4 D7 D3 D1 D4 A0 98 E5|”; classtype:trojan-activity; sid:1000008; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer FIND FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E A0 A4 D2 A4 D7 A0 A7 D2 C8 D4 A0 D1 DC C8 D1 81 D0 83 C8 A7 D1 A1 DD C8 A1 D3 D3 D1 D0 A7 D2 D1 D1 D5 A0 D6 98 E5|”; classtype:trojan-activity; sid:1000009; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer YES Command”; flow:established; content:”|C2 E5 E5 E5 9E A0 D7 A4 A6 D0 D5 DD DC C8 D6 DD D7 D5 C8 D1 D6 83 80 C8 DD A4 D1 A1 C8 A4 D2 D5 D7 DD A3 A4 A1 DD A6 D7 DD 98 E5|”; classtype:trojan-activity; sid:1000010; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer ADD RUN ONCE Command”; flow:established; content:”|C2 E5 E5 E5 9E D6 DD D1 A0 A7 A0 D7 A6 C8 A3 DC A0 A4 C8 D1 83 D3 87 C8 DC D1 A0 A3 C8 A6 DC A1 D7 A1 A4 D0 DD A3 A1 D4 D6 98 E5|”; classtype:trojan-activity; sid:1000011; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 7777 (msg:”Arucer DEL FILE Command”; flow:established; content:”|C2 E5 E5 E5 9E D1 A3 D1 A3 D5 A1 DD DD C8 A0 D2 D4 D0 C8 D1 87 D4 83 C8 A7 D6 D4 D4 C8 D3 D4 A0 D0 D6 D5 A6 D7 A6 DD A3 A6 98 E5|”; classtype:trojan-activity; sid:1000012; rev:2;

Fonte : SANS Diary

Outras referências:

http://www.threatexpert.com/report.aspx?md5=3f4f10b927677e45a495d0cdd4390aaf

http://www.kb.cert.org/vuls/id/154421

http://www.marketwatch.com/story/energizer-announces-duo-charger-and-usb-charger-software-problem-2010-03-05


Fonte: http://techfree.com.br/wordpress/2010/03/09/malware-energizado/

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.

 Cancelar