SysValue, Consultoria, Integração e Segurança em Sistemas de

Informação S.A.
Av. Eng. Duarte Pacheco, 26 – Piso 7
1070-110 Lisboa, Portugal
Telefone: +351 213 405 250
FAX: +351 21 340 5259
www.sysvalue.com | info@sysvalue.com

Relatório de análise de malware

Código “ovofrito”
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Aviso de Informação Proprietária

A informação contida ou divulgada por este documento é confidencial e propriedade integral da

SysValue, Consultoria, Integração e Segurança em Sistemas S.A.

A informação aqui contida deverá ser mantida confidencial e utilizada apenas para os fins em que este
documento se insere. Nenhuma parte deste documento ou do seu conteúdo informativo pode ser
reproduzida, alterada, transmitida a terceiros ou utilizada fora do âmbito do projecto em que o
presente documento se insere, sem o consentimento expresso da SysValue, Consultoria, Integração
e Segurança em Sistemas S.A.

A SysValue, Consultoria, Integração e Segurança em Sistemas S.A. assegura que todos os dados fornecidos
pelo cliente serão mantidos confidenciais e utilizados apenas no âmbito do projecto em que se insere este
documento, não sendo transmitidos a terceiros sem a autorização expressa do cliente.

Versão Data Descrição Autores

1.0 12-05-2014 Versão final Tiago Pereira

Responsável de Projecto Assinaturas

Tiago Pereira
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Índice
1. INTRODUÇÃO ......................................................................................................................................................... 4

2. SUMÁRIO EXECUTIVO .......................................................................................................................................... 5

2.1 CONTEXTUALIZAÇÃO DA AMEAÇA ...................................................................................................................................................5

2.2 BANCOS AFECTADOS ...........................................................................................................................................................................5
2.3 MODO DE INFECÇÃO/PROPAGAÇÃO ...............................................................................................................................................5
2.4 MODO DE OPERAÇÃO DO MALWARE ...............................................................................................................................................5
2.4.1 Ataque através de configuração de proxy de rede ................................................................................................................5
2.4.2 Ataque manual através de popup de modulo de segurança .................................................................................................6
3. ANÁLISE DETALHADA.......................................................................................................................................... 7

3.1 IDENTIFICAÇÃO DO MALWARE..........................................................................................................................................................7

3.2 PROPAGAÇÃO .......................................................................................................................................................................................7
3.3 INFECÇÃO .............................................................................................................................................................................................8
3.3.1 Infecção inicial: ...........................................................................................................................................................................8
3.3.2 Auto-update .................................................................................................................................................................................8
3.4 COMANDO E CONTROLO ...................................................................................................................................................................9
3.5 CAPACIDADES DO MALWARE ............................................................................................................................................................9
3.6 MODO DE OPERAÇÃO ...................................................................................................................................................................... 11
3.6.1 Ataque através de configuração de proxy de rede ............................................................................................................. 11
3.6.2 Ataque manual através de popup de modulo de segurança .............................................................................................. 13
4. RECOMENDAÇÕES .............................................................................................................................................. 17

ANEXO A - DETECÇÃO POR SISTEMAS DE ANTIVÍRUS ..................................................................................... 18

ANEXO B - DEPENDÊNCIAS OPERACIONAIS/INDICADORES DE COMPROMISSO.................................... 20

4.1.1 Sistemas operativos ................................................................................................................................................................. 20

4.1.2 Ficheiros .................................................................................................................................................................................... 20
4.1.3 Chaves do Registry .................................................................................................................................................................. 20
4.1.4 Mutexes ..................................................................................................................................................................................... 20
4.1.5 Hosts.......................................................................................................................................................................................... 20
5. CONTACTOS .......................................................................................................................................................... 21
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

1. Introdução
A Sysvalue identificou um falso email da EDP como o provável veículo de propagação de malware tendo como alvo bancos
nacionais. Foi efectuada uma análise aos ficheiros distribuídos por este email, de forma a validar se estaríamos perante um
ataque aos utilizadores de serviços de banca online Portugueses, à semelhança do que tem acontecido no passado, por
exemplo com um email da EDP. Durante a análise, verificou-se que se trata de facto de um ataque com malware aos s
clientes de um conjunto de Bancos Portugueses.
Este documento está organizado da seguinte forma:
1. Introdução - A presente Introdução;
2. Sumário executivo – Um sumário executivo, contendo uma versão condensada dos resultados da análise;
3. Análise detalhada – Esta secção contem uma análise detalhada do malware analisado, e está organizada de acordo com o
cliclo de vida do malware:
• O método de propagação, ou seja, a forma como o malware chega ao sistema vítima (e.g. email, drive by
download, exploits de rede);
• O método de infecção, ou seja, a forma como, uma vez no sistema do utilizador, o malware de instala no sistema e
assegura a sua persistência (e.g. Análise da comunicação de rede efectuada durante a instalação, ficheiros criados,
chaves do registry alteradas);
• O método de Comando – Uma vez instalado no sistema, a forma como este comunica com o atacante para receber
comandos ou transmitir dados (identificação de servidores de comando e controlo, análise do protocolo de rede);
• As capacidades do malware – São através de engenharia reversa do malware e através de análise comportamental,
identificadas as funcionalidades presentes no malware (e.g. acesso remoto, Man in the browser, Proxy de rede,
roubo de credenciais);
• O modo de operação – Uma vez identificadas as capacidades do malware, é feita uma análise de como o atacante
utiliza o malware para atacar as vitimas. Esta secção sempre que possível terá exemplos gráficos do malware em
execução.
4. Recomendações – Esta secção contem um conjunto de recomendações de medidas que poderão ser aplicadas para
reduzir o impacto do ataque;
Anexo A - Este anexo contem o resumo da detecção por parte de sistemas antivírus utilizando a ferramenta virustotal;
Anexo B – Este anexo contem um resumo dos indicadores (e.g. ficheiros, chaves de registry, mutexes, hosts) que podem ser
utilizados para detectar este malware quando é analisado um sistema infectado ou através da análise de trafego de rede.
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

2. Sumário executivo
2.1 Contextualização da ameaça
Este malware é utilizado por um grupo de atacantes com origem no Brasil que tem vindo a atacar um conjunto de bancos
Portugueses com ataques de phishing, em que são enviadas mensagens de email falsas em nome dos bancos alvo e que
elevam os utilizadores a aceder a um site também falso, com a imagem do banco onde são levados a introduzir as suas
credenciais e autenticação.
A Sysvalue tem vindo a acompanhar as acções deste grupo de atacantes desde Outubro de 2013, tendo sido observado no
inicio do mês de Abril de 2014 uma alteração no modo de operação habitual do grupo, que consistia na realização de
ataques de phishing simples, para a utilização de malware que infecta os PC’s dos utilizadores com o objectivo de roubar
credenciais de acesso a sites bancários.
O malware utilizado por este grupo, ao qual foi atribuído o nome de código “ovofrito”, com base num excerto de texto
presente no ficheiro que faz o download do mesmo para o PC do utilizador foi analisado em detalhe para fornecer contexto
sobre esta nova ameaça.

2.2 Bancos afectados

Este malware actualmente afecta clientes dos bancos Caixa Geral de Depósitos, Montepio e Banif.

2.3 Modo de infecção/propagação

A propagação do malware tem sido efectuada através do envio de um falso email da EDP com um link para o download de
uma factura electrónica. O esquema seguinte sumariza o processo de infecção:
1"
3"

cpl"
2"

4"

1. O atacante envia um falso email da EDP para o utilizador;

2. O utilizador clica no link do email, fazendo download de um arquivo .zip com uma suposta factura;
3. O utilizador descomprime o ficheiro de factura electrónica com a extensão .pdf.cpl contido no arquivo .zip (note-
se que, com as configurações por omissão do Windows, no sistema fica visível apenas um ficheiro com a extensão
.pdf);
4. O utilizador faz duplo clique no ficheiro .pdf.cpl infectando o seu PC com o malware;

2.4 Modo de operação do malware

Este malware tem dois possíveis modos de operação, descritos de seguida.
2.4.1 Ataque através de configuração de proxy de rede
Neste modo de operação, o malware altera as configurações de proxy do PC do utilizador, de forma a que o tráfego de rede
seja redireccionado para um servidor controlado pelo atacante. O esquema seguinte sumariza o método de ataque num PC
infectado:
1"

2"
X"

1. Caso o utilizador pretenda aceder a qualquer site na internet, que não o dos bancos alvo, o acesso é feito directamente
sem intercepção por parte do atacante;
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

2. Caso o utilizador pretenda aceder ao site do banco, a comunicação é redirecionada para um site falso site do banco
onde é levado a revelar os seus dados de autenticação (número de utilizador, PIN de acesso, password de segundo
nível, cartão matriz completo e número de telemóvel). Note-se que o URL visível pelo utilizador no web browser é de
facto o URL do banco, embora não esteja visível o cadeado indicando que o site foi autenticado através de SSL;
2.4.2 Ataque manual através de popup de modulo de segurança
Neste modo de operação, o malware aguarda que o utilizador tenha o browser aberto numa das páginas do banco e alerta o
atacante. O atacante despoleta a falsa instalação de um modulo de segurança do banco, de forma a levar o utilizador a
revelar as suas credenciais de acesso. O esquema seguinte sumariza o metido de ataque num PC infectado:
1"

2"
3"
5"
4"

1. O utilizador navega normalmente na internet. O malware está activamente a transmitir os títulos de todas as janelas
do utilizador para o servidor de comando e controlo;
2. Quando o utilizador acede ao site do Banco, o nome da janela é transmitido para o atacante;
3. O atacante despoleta a solicitação da instalação de um falso modulo de segurança no PC. O utilizador vê-se
obrigado a introduzir os dados pedidos pelo atacante para continuar a utilizar o PC, já que a instalação do modulo
de segurança impede a interacção com as restantes janelas do Windows.
4. O atacante utiliza os dados do utilizador para aceder ao site do banco em tempo real e realizar operações
fraudulentas. Note-se que o utilizador continua aguardando a finalização da instalação do modulo de segurança,
sendo possível que o atacante solicite em tempo real a introdução de informação de autenticação (e.g. posições
específicas do cartão matriz).
Foram identificadas duas variantes deste ataque que surgiram durante o mês de Abril, uma variante completa, que permite
os dois modos de operação acima descritos e uma variante que apenas altera o proxy do utilizador e não deixa qualquer
outro componente do malware em execução, não sendo por isso detectável por sistemas de antivírus após a execução inicial
do ataque. Esta análise refere-se apenas à variante mais complexa do malware (que permite os dois modos de
operação).
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

3. Análise detalhada
3.1 Identificação do malware
O malware é identificado pela maioria dos fabricantes de antivírus como uma ameaça genérica (O resultado da análise em
software antivírus pode ser consultado no Anexo A). No entanto, há diversas referencias na internet à utilização de ficheiros
com a extensão .cpl para propagação de trojans bancários em particular no Brasil.

3.2 Propagação
O malware é propaga-se através de um email falso com a imagem da EDP, que leva o utilizador a fazer o download de um
ficheiro indicando que se trata de uma factura electrónica. A imagem seguinte apresenta um exemplo do conteúdo do email.

Ao clicar no link, o utilizador é encaminhado para o seguinte URL:

http://www.umc.co.sz/images/download.php?axx=d53fa2eecfaaf9f811d67fda96015dff/index.php

A partir do qual é feito o download de um ficheiro .zip com um ficheiro com a extensão .pdf.cpl no seu interior. A imagem
seguinte apresenta o resultado do download do ficheiro e extração do mesmo para o desktop do utilizador.

Como se pode observar, uma vez que por omissão, o sistema Microsoft esconde as extensões conhecidas, o ficheiro
aparente ter a extensão .pdf podendo no entanto um utilizador estranhar que este não apresente o ícone habitual deste tipo
de ficheiros.
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Os ficheiros .cpl, correspondem a ficheiros de instalação de componentes do Control Panel do Windows. Tratam-se de
ficheiros dll, que exportam um método especifico relacionado com o control pannel que permite sejam invocados pelo
sistema. Quando um utilizado faz duplo clique num deste ficheiros, o método exportado é invocado e a partir desse
momento são executados tal como se se tratasse de um ficheiro .dll ou .exe. Os autores de malware utilizam este tipo de
ficheiro se tratar na verdade de um formato executável e por não ser conhecido da maioria dos utilizadores como tal.

3.3 Infecção
Uma vez que o utilizador faça duplo clique no ficheiro .cpl o malware inicia o processo de instalação. Neste processo o
malware realiza as seguintes operações:

3.3.1 Infecção inicial:

O processo rundll32.exe é despoletado pelo dulplo clique no ficheiro .cpl e faz, através de HTTP, dowload do ficheiro:
http://www.saphumula.co.sz/images/logoa.gif

escrevendo-o em:
C:\ProgramData\NetDHCP1.exe;

Em seguida, faz uma sequencia de pedidos HTTP que resultam em redireccionamentos até chegar ao URL de uma imagem
alojada no sapo:
http://bit.ly/1iuYq2W -> http://p3q.qy.sl.pt/ -> http://www.sapo.pt/imgs/2011/transparent.png;

O malware faz então download desta imagem e escreve-a em:

C:\ProgramData\imagem.gif

Em seguida é executado o ficheiro:

C:\ProgramData\NetDHCP1.exe

Finalmente o processo runddl32.exe escreve a string “ZERO” no ficheiro:

C:\ProgramData\Conf.log

O processo NetDHCP1.exe faz um pedido HTTP, de onde obtém o número da versão mais recente do software (neste
caso a versão 11) ao ficheiro:
http://www.saphumula.co.sz/images/version.php

Em seguida cria uma chave de registry que assegura que em caso de reboot, o malware seja novamente executado:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NetDHCP -> “C:\WINDOWS\Win32\NetDHCP.exe”

E cria o ficheiro referenciado na chave do registry anterior:

C:\WINDOWS\Win32\NetDHCP.exe

Finalmente, o processo NetDHCP1.exe executa o ficheiro C:\WINDOWS\Win32\NetDHCP.exe

3.3.2 Auto-update
Em seguida, o processo NetDHCP.exe dá-se inicio o que aparenta ser um processo de upgrade para a ultima versão do
malware.
O processo NetDHCP.exe faz um pedido HTTP, de onde obtém o número da versão mais recente do software (neste caso
a versão 11) ao ficheiro:
http://www.saphumula.co.sz/images/version.php

Em seguida, o processo NetDHCP.exe faz, através de HTTP dowload do ficheiro:

http://www.saphumula.co.sz/images/logo2.gif

e escreve-o em
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

C:\WINDOWS\Win32\neopzl1_11.exe

O processo NetDHCP.exe executa então o ficheiro C:\ WINDOWS\Win32\neopzl1_11.exe, que faz um pedido HTTP,
de onde obtém o número da versão mais recente do software (neste caso a versão 11) ao ficheiro:
http://www.saphumula.co.sz/images/version.php

O processo neopzl1_11.exe apaga o ficheiro:

C:\WINDOWS\Win32\NetDHCP.exe

Em seguida cria uma chave de registry que assegura que em caso de reboot, o malware seja novamente executado:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NetDHCP -> “C:\WINDOWS\Win32\NetDHCP.exe”

E cria o ficheiro referenciado na chave do registry anterior:

C:\WINDOWS\Win32\NetDHCP.exe

Finalmente, executa o ficheiro C:\WINDOWS\Win32\NetDHCP.exe

O processo NetDHCP.exe faz um pedido HTTP, de onde obtém o número da versão mais recente do software (neste caso
a versão 11) ao ficheiro:
http://www.saphumula.co.sz/images/version.php

Uma vez que se trata da ultima versão do malware, este passa então para fase de comando e controlo:

3.4 Comando e Controlo

Uma vez instalada a ultima versão do malware e configurado o mecanismo de persistência, o processo do malware inicia
uma comunicação constante com o seguinte servidor num protocolo próprio no porto 6651:
IP: 74.63.255.179 TCP Port:6651

A imagem seguinte apresenta uma amostra da comunicação.

Como se pode observar, o cliente inicia a comunicação com a string <|PRINCIPAL|>, em seguida transmite alguma
informação relativamente ao sistema infectado na secção <|Info> <<| em seguida, o servidor inicia uma sequência de
pedidos nos quais solicita informação sobre qual o título da janela aberta com o comando <|PING|><|WINDOW|>.

3.5 Capacidades do Malware

Analisando estaticamente o binário do malware é possível, com base na estrutura do protocolo de comunicação recolhida
durante a análise do trafego de rede, identificar diversos comandos que evidenciam as funcionalidades do malware:
O malware tem uma funcionalidade de chat entre atacante e vítima, como evidenciado pelos seguintes comandos:
<|OpenChat|>
<|Chat|>
<|CloseChat|>

O malware tem uma funcionalidade de upload e download de ficheiros, como evidenciado pelos seguintes comandos::
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

<|DOWNLOAD|>
<|DownloadFile|>
<|Enviado|>
<|Files|>
<|first|>
<|Folder|>
<|UPLOAD|>
<|UploadFile|>

O malware tem uma funcionalidade que permite ao atacante aceder remotamente ao PC da vítima e controlar o rato e o
teclado:
<|Desktop|>
<|KEYBOARD|>
<|REQUESTKEYBOARD|>
<|MouseDC|>
<|MouseLD|>
<|MouseLU|>
<|MousePos|>
<|MouseRD|>
<|MouseRU|>

O malware tem uma funcionalidade que permite a definição de um proxy no PC do utilizador:

<|Proxy|>

Existem ainda diversas strings de comandos que revelam quais os bancos afectados e quais as capacidades do malware:
FAKE|BANIF|
FAKE|BANIF|ACTUALIZACAO
FAKE|BANIF|EXPIRARSESSAO
FAKE|CGD|
FAKE|CGD|ACTUALIZACAO
FAKE|CGD|ACTUALIZARCARTAO
FAKE|CGD|CARTAOMATRIZ
FAKE|CGDEMPRESA|
FAKE|CGDEMPRESA|ACTUALIZACAO
FAKE|CGDEMPRESA|ACTUALIZARCARTAO
FAKE|CGDEMPRESA|CARTAOMATRIZ
FAKE|CGDEMPRESA|EXPIRARSESSAO
FAKE|CGD|EXPIRARSESSAO
FAKE|DESATIVAR
FAKE|MONT|
FAKE|MONT|ACTUALIZACAO
FAKE|MONT|ACTUALIZARCARTAO
FAKE|MONT|CARTAOMATRIZ
FAKE|MONTEMPRESA|
FAKE|MONTEMPRESA|ACTUALIZACAO
FAKE|MONTEMPRESA|ACTUALIZARCARTAO
FAKE|MONTEMPRESA|CARTAOMATRIZ
FAKE|MONTEMPRESA|EXPIRARSESSAO
FAKE|MONT|EXPIRARSESSAO
FAKE|START|OK

Em particular, o malware tem a capacidade de solicitar a actualização de dados, a actualização do cartão matriz e a
introdução de posições do cartão matriz e afecta os bancos CGD, Montepio e Banif.
De forma a reforçar as conclusões obtidas através da análise de strings no ficheiro, foram extraídas diversas imagens que
estão contidas nos resources do executável que revelam que este malware apresenta uma janela, independente do web
browser, que solicita a introdução de credenciais de utilizador:
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Para além destas imagens, existem ainda outras strings que revelam detalhes adicionais relativamente ao modo de operação
do ataque:

Como se pode observar, o malware permite a solicitação de todas as posições do cartão matriz ou de apenas algumas
posições, sugerindo que o atacante tem a capacidade de interagir com o utilizador em tempo real, sabendo quais as posições
do cartão matriz são pedidas pela aplicação de home banking num determinado momento.

3.6 Modo de operação

Em seguida descreve-se sumariamente a metodologia utilizada para a realização de ataques aos utilizadores de sistemas de
banca online com recurso a este malware em particular. Este malware tem dois possíveis modos de operação que permitem
atacar os utilizadores dos PC’s infectados:
3.6.1 Ataque através de configuração de proxy de rede
Neste modo de operação o atacante envia, através do comando <|proxy|> a definição de um proxy para configuração. As
imagens seguintes apresentam o código assembly responsável pela configuração introdução do proxy no sistema em função
do comando proxy:
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Como se pode observar, o malware configura o proxy submetido pelo atacante nos sistema Windows, bem como nos
browsers Firefox e Opera.
A imagem seguinte apresenta o resultado desta operação num sistema infectado, verificando-se facilmente que as
configurações do proxy estão de facto alteradas.

A imagem seguinte apresenta um exemplo do ficheiro de configuração utilizado. Como se pode observar, o proxy é
utilizado apenas para o acesso aos sites alvo do ataque, todos os restantes são acedidos directamente sem recurso a proxy.
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

A imagem seguinte apresenta o ataque em execução no site do Banco Montepio. Note-se que, na barra de endereços está o
domínio correcto para acesso ao Banco. No entanto, a indicação de que se trata de uma página PHP é suspeita, já que esta
não é a tecnologia utilizada no site real.

3.6.2 Ataque manual através de popup de modulo de segurança

Neste modo de operação o atacante aguarda que o utilizador aceda ao site do banco, e quando este o faz, o atacante
despoleta manualmente um processo que maximiza a janela do browser do utilizador e é criada uma layer adicional sobre a
janela do browser onde, sob o pretexto da instalação de um componente de segurança adicional, são solicitadas as
credenciais de autenticação do utilizador.
A imagem seguinte apresenta o conteúdo da comunicação entre o PC infectado e o servidor de comando.
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Como se pode observar, o servidor de comando está constantemente a pedir ao sistema infectado qual o nome da janela
com foco em cada momento através do comando <|PING|><|WINDOW|>. Esta informação é utilizada para identificar
que o PC infectado se encontra a aceder ao site do banco de forma a despoletar o inicio do ataque, que neste caso se inicia
com o comando FAKE|BANIF|ATUALIZACAO.
Uma vez no site do banco, o browser do utilizador é maximizado e é criada uma janela/layer transparente sobre a janela do
web browser indicando que o banco está a proceder a uma actualização de segurança, como mostra a imagem seguinte.

Ao iniciar o processo, são solicitadas as credenciais de acesso, como mostram as imagens seguintes.
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Após a introdução de cada uma das credenciais solicitadas, o processo de instalação da actualização de segurança pede ao
utilizador que aguarde, apresentando uma barra de progresso que vai avançando muito lentamente, como mostra a imagem
seguinte.

O utilizador é impedido de fechar a actualização, aceder ao browser ou utilizar qualquer outra aplicação até que esteja
terminado o processo de actualização. Esta pode ser uma forma de “ganhar tempo”, enquanto o atacante valida as
credenciais já submetidas ou prepara a realização de uma transferência fraudulenta. A existência de um modo em que são
solicitadas apenas a introdução de posições específicas do cartão confirma esta suspeita.
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Finamente, existe a possibilidade de solicitar o preenchimento de todo o cartão matriz, como mostra a imagem seguinte:
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

4. Recomendações
Recomenda-se a realização das seguintes acções:
• Alertar os clientes para a nova ameaça – Recomenda-se ainda sejam utilizados os canais habituais para a divulgação de
alertas desta natureza e que seja inserido em local visível do site de banca online uma mensagem com detalhes da nova
ameaça, de como pode ser detectada e do que deve ser feito pelos utilizadores.
• Submissão de samples de malware para fabricantes de segurança – Recomenda-se que as amostras de malware sejam
submetidas para o maior número possível de fabricantes de antivírus para que a detecção do malware seja mais alargada.
• Monitorização activa da bot-net – Recomenda-se ainda que enquanto esta não esteja completamente encerrada, se
proceda a uma monitorização activa do comportamento da bot-net de forma a identificar eventuais alterações no
comportamento que possam ser relevantes (e.g. novos endereços de controlo).
• Shutdown de endereços IP e domínios utilizados pelo Malware – Recomenda-se que seja solicitado o encerramento
dos servidores utilizados para o controlo e disseminação do malware junto dos ISP’s envolvidos. O anexo B contem a
listagem dos hosts utilizados pelo malware e cujo encerramento deverá ser solicitado.
• Submissão de endereços IP e domínios utilizados para fabricantes de segurança – Recomenda-se que os endereços
sejam também reportados a fabricantes de antivírus, de equipamentos de filtragem de trafego e de fornecedores de feeds de
security intelligence, para que passem a ser bloqueados nestes mecanismos de segurança. O anexo B contem a listagem dos
hosts utilizados pelo malware que poderão ser submetidos para fabricantes de segurança.
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Anexo A - Detecção por sistemas de antivírus

O ficheiro .zip descarregado a partir do falso site da EDP contem no seu interior um ficheiro .clp, que é utilizado para
instalar o malware no PC do utilizador. Este ficheiro foi submetido para o site virustotal pela primeira vez no dia 23 de Abril
de 2014 tendo sido identificado como malicioso por 28 dos 51 antivírus testados como uma ameaça genérica. Em seguida
apresentam-se os resultados de detecção em cada um dos sistemas de antivírus.

Ad-Aware Gen:Variant.Symmi.21751 12.0.163.0 20140423

AegisLab - 1.5 20140423
Agnitum - 5.5.1.3 20140423
AhnLab-V3 - None 20140423
AntiVir TR/Dldr.Small.AP.498 7.11.144.234 20140423
Antiy-AVL Trojan/Win32.Badur 0.1.0.1 20140423
Avast Win32:Malware-gen 8.0.1489.320 20140423
AVG FakeAlert 13.0.0.3169 20140423
Baidu-International Trojan.Win32.Banload.THW 3.5.1.41473 20140423
BitDefender Gen:Variant.Symmi.21751 7.2 20140423
Bkav - 1.3.0.4959 20140423
ByteHero - 1.0.0.1 20140423
CAT-QuickHeal - 12.00 20140423
ClamAV - 0.97.3 20140422
CMC - 1.1.0.977 20140422
Commtouch - 5.4.1.7 20140423
Comodo - 18153 20140423
DrWeb - 7.00.9.04080 20140423
Emsisoft Gen:Variant.Symmi.21751 (B) 3.0.0.596 20140423
ESET-NOD32 Win32/TrojanDownloader.Banload.THW 9711 20140423
F-Prot - 4.7.1.166 20140423
F-Secure Gen:Variant.Symmi.21751 11.0.19100.45 20140423
Fortinet W32/Badur.HMPS!tr 4 20140422
GData Gen:Variant.Symmi.21751 24 20140423
Ikarus Trojan-Dropper.Delfi.DF T3.1.6.1.0 20140423
Jiangmin - 16.0.100 20140423
K7AntiVirus Riskware ( 0040eff71 ) 9.176.11847 20140422
K7GW Riskware ( 0040eff71 ) 9.176.11847 20140422
Kaspersky Trojan.Win32.Badur.hmps 12.0.0.1225 20140423
Kingsoft - 2013.04.09.267 20140423
Malwarebytes Trojan.Banker 1.75.0001 20140423
McAfee Artemis!26998AEF4BCD 6.0.4.564 20140423
McAfee-GW-Edition Artemis!26998AEF4BCD 2013 20140422
Microsoft TrojanDownloader:Win32/Small.gen!AP 1.10502 20140423
MicroWorld-eScan Gen:Variant.Symmi.21751 12.0.250.0 20140423
NANO-Antivirus - 0.28.0.59492 20140423
Norman Troj_Generic.TPMDB 7.03.02 20140423
nProtect - 2014-04-23.01 20140423
Panda Suspicious file 10.0.3.5 20140423
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Qihoo-360 Win32/Trojan.9cb 1.0.0.1015 20140423

Rising - 25.0.0.11 20140423
Sophos Mal/Generic-S 4.98.0 20140423
SUPERAntiSpyware - 5.6.0.1032 20140423
Symantec Trojan.Gen.2 20131.1.5.61 20140423
TheHacker - None 20140423
TotalDefense - 37.0.10894 20140423
TrendMicro - 9.740-1012 20140423
TrendMicro-HouseCall TROJ_GE.27B9406F 9.700-1001 20140423
VBA32 - 3.12.26.0 20140423
VIPRE Trojan-Downloader.Win32.Small 28534 20140423
ViRobot - 2011.4.7.4223 20140423
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

Anexo B - Dependências operacionais/Indicadores de compromisso

Esta secção pretende apresentar uma listagem resumida das dependências operacionais do malware (e.g. ficheiros, chaves do
registry, mutexes, hosts) que podem ser utilizadas como indicadores de compromisso de um sistema. Estes indicadores
poderão ser utilizados para a geração de assinaturas para sistemas IDS, sistemas de filtragem de comunicação Web e email e
sistemas de detecção de malware.
4.1.1 Sistemas operativos
O malware afecta o sistema operativo Microsoft Windows.
4.1.2 Ficheiros
Os seguintes ficheiros são criados no sistema operativo durante a instalação do malware:
C:\ProgramData\NetDHCP1.exe
C:\ProgramData\imagem.gif
C:\ProgramData\Conf.log
C:\WINDOWS\Win32\NetDHCP.exe
C:\WINDOWS\Win32\neopzl1_11.exe

4.1.3 Chaves do Registry

As seguintes chaves do registry são criadas durante a instalação do malware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NetDHCP -> “C:\WINDOWS\Win32\NetDHCP.exe”

4.1.4 Mutexes
Não foram identificados mutexes específicos para este malware.
4.1.5 Hosts
Os seguintes hosts são utilizados pelo malware:
www.saphumula.co.sz IP: 41.215.144.42 Local: Swaziland
www.umc.co.sz IP: 41.215.144.42 Local: Swaziland
177.67.82.33 Local: Brasil
74.63.255.179 Local: USA
 ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014

5. Contactos
Forensics Services Manager
Tiago Pereira
Email: tpereira@sysvalue.com
Telefone: +351 960 067 957

SysValue
Avenida Duarte Pacheco, 26 - Piso 7
1070-110 Lisboa
Portugal

Telefone: +351 213 405 250

FAX: +351 213 405 259