ZombieBoy, como lo ha
bautizado el analista de seguridad James Quinn, es una nueva familia de malware
de minado de criptomonedas que utiliza la capacidad de procesamiento de tu
ordenador para obtener Moneros.
ZombieBoy tiene
características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y
propagarse. Para infectar a la víctima el virus utiliza la herramienta que le
da nombre: "ZombieBoyTools". Esta herramienta aprovecha dos conocidos
exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la
máquina de la víctima.
Una vez instalada la
DLL en la máquina, se descarga y ejecuta el binario "123.exe" desde
ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes
del malware:
"64.exe",
además de estar encriptado con el packet "Themida" implementa algunas
técnicas de evasión bastante sofisticadas. Se encarga de la propagación del
virus y de ejecutar el miner (XMRIG), para ello utiliza "WinEggDrop"
un escaner TCP que buscará víctimas potenciales contra las que ejecutar el
exploit DoublePulsar. Adicionalmente "64.exe" utiliza el software
XMRIG para minar Monero y enviarlo a las direcciones:
- 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
- 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ
El otro componente
descargado tiene el nombre de "74.exe". Se encarga de descargar y
ejecutar la DLL "NetSyst96.dll", heredada del RAT
"Gh0stRat", permitirá al administrador del malware realizar algunas
acciones sobre la máquina infectada de forma remota, como capturar la pantalla,
grabar sonidos o alterar el portapapeles de la víctima.
"84.exe" es
otro de los módulos droppeados por "123.exe". Al igual que
"74.exe" es un RAT utilizado para extraer información adicional sobre
la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además
añade una entrada al registro que sirve para comprobar si el malware se está
ejecutando por primera vez.
Para comprobar si
está infectado por ZombieBoy puede buscar si alguno de los binarios implicados
se encuentra entre sus procesos:
·
123.exe
·
64.exe
·
74.exe
·
84.exe
·
CPUinfo.exe
·
N.exe
·
S.exe
·
Svchost.exe
(OJO, siempre que no provenga de C:\Windows\System32)
Si es así debería
detener estos procesos y borrar los ficheros implicados, así como las entradas
al registro introducidas por el virus.
Entradas de registro maliciosas:
·
SYSTEM/CurrentControlSet/Services/Dazsks
Fsdgsdf
·
SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki
cmsuuc
Ficheros descargados por el malware:
·
C:\%WindowsDirectory%\sys.exe
·
C:\windows\%system%\boy.exe
·
C:\windows\IIS\cpuinfo.exe
·
C:\Program
Files(x86)\svchost.exe
·
C:\Program
Files\AppPatch\mysqld.dll
·
C:\Program
Files(x86)\StormII\mssta.exe
·
C:\Program
Files(x86)\StormII\*
·
C:\Archivos
de programa (x86)\svchost.exe
·
C:\Archivos
de programa\AppPatch\mysqld.dll
·
C:\Archivos
de programa (x86)\StormII\mssta.exe
·
C:\Archivos
de programa (x86)\StormII\*
Más información:
Fuente: Hispasec
