Esta amenaza hace uso del protocolo IRC para enviar y recibir comandos. Lo llamativo de este caso es que, además del protocolo, también usa directamente el conocido cliente de IRC mIRC con algunas modificaciones en el ejecutable.
El mIRC tuvo gran popularidad a finales de los 90 y principios del 2000 como herramienta de chat. Si bien hoy en día existen otras alternativas más utilizadas para comunicarse online, aun sigue vigente. El método de propagación del malware es mediante una campaña de spam via email en el que informan que un conocido diseñador de modas rumano llamado Cătălin Botezatu tuvo un accidente automovilístico:
El cuerpo del e-mail contiene un link al código malicioso que, una vez ejecutado, crea varios archivos pertenecientes al mIRC modificado en el directorio %WINDIR%\Temp\Cookies
Dwm.exe es el archivo principal de la amenaza, el cual mediante una modificación en el registro de la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, procede a ejecutarse cada vez que se inicie sesión en Windows. Este archivo se trata de una versión modificada de la interfaz del mIRC, en funcionalidades es exactamente igual, sin embargo no posee interfaz para interactuar con el usuario.
Baga.exe y scoate.exe son dos archivos creados para modificar los atributos del código malicioso. Uno de ellos establece el parámetro de oculto y el otro lo vuelve a su estado original.
Esta amenaza le permite tomar el control de la máquina infectada al botmaster haciendo uso de un cliente IRC modificado. Muchas veces se encuentran programas que simulan ser una aplicación legitima para engañar al usuario pero que su código es totalmente diferente. No obstante, en el caso de esta variante de IRC/Cloner.CA
Fuente: Indetectables
No hay comentarios:
Publicar un comentario