ZombieBoy, nuevo malware de minado de criptomonedas
Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com |
Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario “123.exe” desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:
“64.exe”, además de estar encriptado con el packet “Themida” implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza “WinEggDrop” un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente “64.exe” utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:
- 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
- 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ
El otro componente descargado tiene el nombre de “74.exe”. Se encarga de descargar y ejecutar la DLL “NetSyst96.dll”, heredada del RAT “Gh0stRat”, permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.
“84.exe” es otro de los módulos droppeados por “123.exe”. Al igual que “74.exe” es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.
Flujo de actividad. Fuente: www.alienvault.com |
Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:
- 123.exe
- 64.exe
- 74.exe
- 84.exe
- CPUinfo.exe
- N.exe
- S.exe
- Svchost.exe (OJO, siempre que no provenga de C:WindowsSystem32)
Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.
Entradas de registro maliciosas:
- SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
- SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
- C:%WindowsDirectory%sys.exe
- C:windows%system%boy.exe
- C:windowsIIScpuinfo.exe
- C:Program Files(x86)svchost.exe
- C:Program FilesAppPatchmysqld.dll
- C:Program Files(x86)StormIImssta.exe
- C:Program Files(x86)StormII*
- C:Archivos de programa (x86)svchost.exe
- C:Archivos de programaAppPatchmysqld.dll
- C:Archivos de programa (x86)StormIImssta.exe
- C:Archivos de programa (x86)StormII*
Powered by WPeMatico