Nuevamente podemos observar que la técnica de Ingeniería Social sigue siendo la manera preferida a la hora de infectar grandes cantidades de victimas. Se ha identificado una nueva amenaza de infección, la cual se está trasmitiendo por mensajería instantánea. En este caso es a través del mensajero Windows Live Messenger, aunque también utiliza la famosa red social Facebook con el objetivo de que a la víctima se le genere confianza al acceder a este sitio, para luego descargar el malware.

El enlace nos lleva a una página oficial de Facebook, donde esta nos advierte que nos encontramos saliendo del dominio del mismo. Vale destacar que esto ocurre, tanto si el usuario está logado como si no… Posteriormente, se advierte sobre los peligros de seguridad del redireccionamiento.

Si el usuario avanza, se llega a una página de un scam de Facebook, en el cual aparece una supuesta foto, y se ofrece la descarga de un archivo de nombre “image96523489?, el cual es detectado con el nombre de Worm/Win32.Yahos:

File name: nvsvc32.exe
Submission date: 2010-12-23 05:51:56 (UTC)
Current status: finished
Result: 27 /43 (62.8%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.23.01 2010.12.22 Worm/Win32.Yahos
AntiVir 7.11.0.144 2010.12.22 TR/Agent.65024.47
Antiy-AVL 2.0.3.7 2010.12.23 Worm/Win32.Yahos.gen
Avast 4.8.1351.0 2010.12.22 Win32:Malware-gen
Avast5 5.0.677.0 2010.12.22 Win32:Malware-gen
AVG 9.0.0.851 2010.12.23 Crypt.AEVO
BitDefender 7.2 2010.12.23 Worm.FaceBlocker.B
CAT-QuickHeal 11.00 2010.12.23 –
ClamAV 0.96.4.0 2010.12.23 –
Command 5.2.11.5 2010.12.23 –
Comodo 7155 2010.12.22 P2PWorm.Win32.Palevo.GZA
DrWeb 5.0.2.03300 2010.12.23 Trojan.Siggen2.12244
Emsisoft 5.1.0.1 2010.12.23 Win32.SuspectCrc!IK
eSafe 7.0.17.0 2010.12.22 –
eTrust-Vet 36.1.8055 2010.12.22 –
F-Prot 4.6.2.117 2010.12.22 –
F-Secure 9.0.16160.0 2010.12.23 Worm.FaceBlocker.B
Fortinet 4.2.254.0 2010.12.21 –
GData 21 2010.12.23 Worm.FaceBlocker.B
Ikarus T3.1.1.90.0 2010.12.23 IM-Worm.Win32.Yahos
Jiangmin 13.0.900 2010.12.22 –
K7AntiVirus 9.74.3319 2010.12.22 –
Kaspersky 7.0.0.125 2010.12.23 IM-Worm.Win32.Yahos.gc
McAfee 5.400.0.1158 2010.12.23 Generic.dx!vgs
McAfee-GW-Edition 2010.1C 2010.12.22 Generic.dx!vgs
Microsoft 1.6402 2010.12.22 Worm:Win32/Slenfbot
NOD32 5726 2010.12.22 Win32/Yimfoca.AA
Norman 6.06.12 2010.12.23 –
nProtect 2010-12-22.01 2010.12.22 –
Panda 10.0.2.7 2010.12.22 Trj/CI.A
PCTools 7.0.3.5 2010.12.23 Malware.Yimfoca
Prevx 3.0 2010.12.23 –
Rising 22.79.02.01 2010.12.23 Trojan.Win32.Generic.525303F9
Sophos 4.60.0 2010.12.23 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2010.12.23 Trojan.Agent/Gen-FakeAlert
Symantec 20101.3.0.103 2010.12.23 W32.Yimfoca
TheHacker 6.7.0.1.104 2010.12.21 –
TrendMicro 9.120.0.1004 2010.12.23 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.23 –
VBA32 3.12.14.2 2010.12.21 Malware-Cryptor.Inject.gen
VIPRE 7768 2010.12.23 Trojan.Win32.Generic.pak!cobra
ViRobot 2010.12.23.4215 2010.12.23 Trojan.Win32.Agent.65024.BA
VirusBuster 13.6.108.0 2010.12.22 –
Additional informationShow all
MD5 : 4f2fa7233465d8800be0497aa8a871ed
SHA1 : ff4fabffd4389fec8b2897d84d8448f13aac9bbc

File size : 65024 bytes

Estos son los datos del archivo en cuestión:

Nombre del archivo: image96523489
Tamaño del archivo: 65.024 bytes
MD5: 4f2fa7233465d8800be0497aa8a871ed

Una vez que el archivo está en ejecución, el malware realiza una copia de sí mismo con el nombre nvsvc32.exe y este crea las siguientes claves de registros haciendo alusión a la compañía NVIDIA (para evitar que el usuario las considere sospechosas):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: “c:\windows\nvsvc32.exe”
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: “c:\windows\nvsvc32.exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ NVIDIA driver monitor: “c:\windows\nvsvc32.exe”
Continuando con la infección, el malware se añade en la siguiente clave de registro, en la lista de excepciones del firewall de Windows:

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Usuario\Escritorio\image96523489.exe: “c:\windows\nvsvc32.exe:*:Enabled:NVIDIA driver monitor”

Fijarse que la ruta donde se instala es en C:\windows\nvsvc32.exe, mientras que el driver de NVIDIA del mismo nombre suele instalarse en la carpeta de sistema, C:\windows\system32\nvsvc32.exe

Finalmente, como parte del proceso de infección, el malware inyecta código en otros procesos de Windows tales como:

iexplorer.exe
svchost.exe

De momento lo podemos ya detectar con el EliMD5.EXE entrando su hash:

4f2fa7233465d8800be0497aa8a871ed

Fuente