Diferencia entre revisiones de «Worm.Downadup.Gen»
De Wiki
(→Descripción Técnica) |
|||
| (No se muestran 7 ediciones intermedias del mismo usuario) | |||
| Línea 8: | Línea 8: | ||
==Síntomas== | ==Síntomas== | ||
| − | Tiempos de conexión a cabo al tratar de acceder a varios sitios web relacionados | + | Tiempos de conexión a cabo al tratar de acceder a varios sitios web relacionados |
| − | con antivirus. Windows Update ha sido deshabilitado. | + | con antivirus. Windows Update ha sido deshabilitado. |
| − | Presencia de los archivos autorun.inf en la raíz de las unidades asignadas que | + | Presencia de los archivos autorun.inf en la raíz de las unidades asignadas que |
| − | apunta a un archivo dll. dentro de la carpeta RECYCLER de la unidad. | + | apunta a un archivo dll. dentro de la carpeta RECYCLER de la unidad. |
==Descripción Técnica== | ==Descripción Técnica== | ||
Win32.Worm.Downadup es un gusano que se basa en la plataforma Microsoft Windows | Win32.Worm.Downadup es un gusano que se basa en la plataforma Microsoft Windows | ||
| − | Server Service RPC Manejo de la vulnerabilidad de ejecución remota de código (MS08-67) | + | Server Service RPC Manejo de la vulnerabilidad de ejecución remota de código (MS08-67) |
con el fin de difundir en otros equipos de la red local. Los autores tomaron | con el fin de difundir en otros equipos de la red local. Los autores tomaron | ||
diferentes enfoques para hacer de este malware especialmente rápida propagación y | diferentes enfoques para hacer de este malware especialmente rápida propagación y | ||
difícil de eliminar. | difícil de eliminar. | ||
| − | |||
Este malware siempre viene envuelto en una capa ofuscado que tiene por objeto | Este malware siempre viene envuelto en una capa ofuscado que tiene por objeto | ||
disuadir a los análisis. La capa puede estar en dos sabores, ya sea mediante UPX | disuadir a los análisis. La capa puede estar en dos sabores, ya sea mediante UPX | ||
| Línea 28: | Línea 27: | ||
aparecer como un inválido ejecutable. Esto tiene el efecto secundario de ser indetectable | aparecer como un inválido ejecutable. Esto tiene el efecto secundario de ser indetectable | ||
cuando se inyecta en otro proceso, sólo se ve como la página de la memoria global asignado. | cuando se inyecta en otro proceso, sólo se ve como la página de la memoria global asignado. | ||
| − | + | Un ordenador puede ser infectado por tres medios posibles: | |
| − | |||
* Si no parcheadas con las últimas actualizaciones de seguridad (en este caso si | * Si no parcheadas con las últimas actualizaciones de seguridad (en este caso si | ||
MS08-67 no es la vulnerabilidad parcheada), por un ordenador que ya están infectadas en | MS08-67 no es la vulnerabilidad parcheada), por un ordenador que ya están infectadas en | ||
| Línea 36: | Línea 34: | ||
bruta ataque de diccionario contra la contraseña del administrador se utiliza) | bruta ataque de diccionario contra la contraseña del administrador se utiliza) | ||
* Si el equipo tiene la función de reproducción automática habilitada y asignada | * Si el equipo tiene la función de reproducción automática habilitada y asignada | ||
| − | una persona infectada / palo unidad extraíble conectado. | + | una persona infectada / palo unidad extraíble conectado. |
| − | |||
Una vez adquirida la ejecución de este gusano realiza las acciones siguientes: | Una vez adquirida la ejecución de este gusano realiza las acciones siguientes: | ||
| − | + | * Ganchos NtQueryInformationProcess de ntdll.dll dentro del proceso que se ejecuta | |
| − | + | * Crea un mutex llamado basado en el nombre del equipo | |
| − | + | * Intself inyecta en uno de los siguientes procesos: | |
* Explorer.exe | * Explorer.exe | ||
* Svchost.exe | * Svchost.exe | ||
| − | + | * Utiliza la siguiente clave del registro para ocultar los archivos con atributos | |
| − | |||
de oculto: | de oculto: | ||
| − | * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0" | + | * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ |
| − | + | Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0" | |
| − | + | * Ejecuta el siguiente comando, que desactiva el autoajuste (detalles) opción | |
| − | en Windows Vista: | + | en Windows Vista: |
* netsh interface tcp set global autotuninglevel = deshabilitado | * netsh interface tcp set global autotuninglevel = deshabilitado | ||
| − | |||
* Se copia en una o más de las siguientes ubicaciones: | * Se copia en una o más de las siguientes ubicaciones: | ||
*%% Archivos de programa \ Internet Explorer \ [nombre al azar]. Dll | *%% Archivos de programa \ Internet Explorer \ [nombre al azar]. Dll | ||
*%% Archivos de programa \ Movie Maker \ [nombre al azar]. Dll | *%% Archivos de programa \ Movie Maker \ [nombre al azar]. Dll | ||
| − | * Documentos y configuración%% \ All Users \ Datos de programa \ [nombre al azar]. Dll | + | * Documentos y configuración%%\All Users\Datos de programa\[nombre al azar]. Dll |
*% Temp% \ [nombre al azar]. Dll | *% Temp% \ [nombre al azar]. Dll | ||
*% System32% \ [nombre al azar]. Dll | *% System32% \ [nombre al azar]. Dll | ||
| − | |||
* Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes API: | * Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes API: | ||
| − | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la reinfección de la máquina local desde otras computadoras infectadas | + | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la reinfección de |
| + | la máquina local desde otras computadoras infectadas | ||
* Sendto de ws2_dll.dll | * Sendto de ws2_dll.dll | ||
| − | |||
* Si reside en svchost.exe engancha las siguientes API | * Si reside en svchost.exe engancha las siguientes API | ||
| − | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la reinfección de la máquina local desde otras computadoras infectadas | + | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la |
| − | * DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll - esta API se enganchan para restringir el acceso a varios sitios relacionados con compañías antivirus. | + | reinfección de la máquina local desde otras computadoras infectadas |
| − | + | * DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll - esta API se | |
| − | * Establece el número máximo de conexiones simultáneas permitidas por hacer una de las siguientes | + | enganchan para restringir el acceso a varios sitios relacionados con compañías antivirus. |
| − | * Controlador Tcpip.sys parches, con un conductor que se baja (contenido en un formulario no cifrado) | + | * Establece el número máximo de conexiones simultáneas permitidas por hacer una de las |
| − | * Ajuste HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ "TcpNumConnections" a "00FFFFFE" | + | siguientes |
| − | + | * Controlador Tcpip.sys parches, con un conductor que se baja (contenido en un | |
| + | formulario no cifrado) | ||
| + | * Ajuste HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ | ||
| + | "TcpNumConnections" a "00FFFFFE" | ||
* Se inyecta en services.exe (Win2K) | * Se inyecta en services.exe (Win2K) | ||
| − | + | * Establece la siguientes claves del registro (si no se establecen ya), probablemente | |
| − | * Establece la siguientes claves del registro (si no se establecen ya), probablemente como un marcador de infección: | + | como un marcador de infección: |
* HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0" | * HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0" | ||
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0" | * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0" | ||
* HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0" | * HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0" | ||
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0" | * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0" | ||
| − | + | * Se ha deshabilitado los siguientes servicios de Windows: | |
| − | |||
* Antecedentes Servicio de transferencia inteligente (BITS) | * Antecedentes Servicio de transferencia inteligente (BITS) | ||
* Automáticas de Windows Update Service (wuauserv) | * Automáticas de Windows Update Service (wuauserv) | ||
| + | * Establece la siguiente clave del registro para ocultar archivos con | ||
| + | atributo oculto: | ||
| + | * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ | ||
| + | Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0" | ||
| − | + | * Enumera todos los recursos compartidos de red disponibles ADMIN $ | |
| − | + | e intenta conectarse como un usuario existente mediante una lista de contraseñas débiles | |
| − | + | (básicamente, hacer un ataque de diccionario de las contraseñas de usuario). Ejemplos de | |
| − | + | contraseñas de los que están disponibles: | |
* El mundo académico | * El mundo académico | ||
* Acceso | * Acceso | ||
| Línea 106: | Línea 106: | ||
* Boss123 | * Boss123 | ||
| − | + | Si este ataque tiene éxito, se copia en el directorio compartido: | |
* NombreDeRecursoCompartido \ ADMIN $ \ [nombre al azar] System32 \. Dll | * NombreDeRecursoCompartido \ ADMIN $ \ [nombre al azar] System32 \. Dll | ||
| − | Para asegurarse de que el archivo se ejecuta, crea una tarea programada en el servidor atacado, lo que es correr todos los días. El trabajo es el siguiente: | + | Para asegurarse de que el archivo se ejecuta, crea una tarea programada en el servidor |
| − | dll * rundll32.exe [nombre al azar]., [al azar String] | + | atacado, lo que es correr todos los días. El trabajo es el siguiente: |
| − | + | dll * rundll32.exe [nombre al azar]., [al azar String] | |
| − | + | * Se conecta a la siguiente dirección URL para obtener la dirección de la máquina | |
| + | infectada | ||
* Http://www.getmyip.org | * Http://www.getmyip.org | ||
* Http://www.whatsmyipaddress.com | * Http://www.whatsmyipaddress.com | ||
* Http://getmyip.co.uk | * Http://getmyip.co.uk | ||
* Http://checkip.dyndns.org | * Http://checkip.dyndns.org | ||
| − | + | Esta dirección IP, junto con un número de puerto aleatorio, se utiliza para | |
| − | Esta dirección IP, junto con un número de puerto aleatorio, se utiliza para crear un servidor HTTP que es utilizado por el gusano para infectar utilizando la vulnerabilidad MS08-67. Las computadoras infectadas que se conectan a la IP y el puerto serán explotados y obligados a descargar una copia del malware oculto con un nombre aleatorio y con una de las siguientes extensiones: | + | crear un servidor HTTP que es utilizado por el gusano para infectar utilizando la |
| + | vulnerabilidad MS08-67. Las computadoras infectadas que se conectan a la IP y el | ||
| + | puerto serán explotados y obligados a descargar una copia del malware oculto con un | ||
| + | nombre aleatorio y con una de las siguientes extensiones: | ||
* Png | * Png | ||
* Bmp | * Bmp | ||
* Jpg | * Jpg | ||
* Gif | * Gif | ||
| − | + | * Que supervisa las unidades de control remoto y extraíble para la infección | |
| − | + | mediante la función de reproducción automática: | |
| − | * Una copia del archivo se coloca dentro de una carpeta al azar (creado por el programa malicioso):: \ RECYCLER \ S-% d-% d-% d-% d% d% d-% d% d% d-% d % d% d-% d \ [nombre al azar]. dll | + | * Una copia del archivo se coloca dentro de una carpeta al azar (creado por |
| − | * Un archivo autorun.inf ofuscado se genera para el lanzamiento del malware de la ubicación anterior. El archivo está ofuscado por la adición de comentarios al azar, con una longitud de azar. | + | el programa malicioso):: \ RECYCLER \ S-% d-% d-% d-% d% d% d-% d% d% d-% d % d% d-% d \ |
| − | + | [nombre al azar]. dll | |
| − | + | * Un archivo autorun.inf ofuscado se genera para el lanzamiento del malware | |
| + | de la ubicación anterior. El archivo está ofuscado por la adición de comentarios al azar, | ||
| + | con una longitud de azar. | ||
| + | * Utilización de la API enganchó desde Dnsapi.dll lo niega (error de tiempo | ||
| + | de espera) el acceso a sitios que contengan alguna de las siguientes cadenas: | ||
* Virus | * Virus | ||
* Spyware | * Spyware | ||
| Línea 188: | Línea 196: | ||
* Sans. | * Sans. | ||
* Cert. | * Cert. | ||
| − | + | * Se conecta a uno de los siguientes sitios para obtener la fecha actual | |
| − | + | (día y mes) (HTTP_QUERY_DATE) | |
| − | |||
| − | * Se conecta a uno de los siguientes sitios para obtener la fecha actual (día y mes) (HTTP_QUERY_DATE) | ||
* W3.org | * W3.org | ||
* Ask.com | * Ask.com | ||
| Línea 197: | Línea 203: | ||
* Google.com | * Google.com | ||
* Baidu.com | * Baidu.com | ||
| − | + | * Utilizando la información recopilada en el paso anterior se genera una | |
| − | * Utilizando la información recopilada en el paso anterior se genera una lista de sitios de actualización posible con este formato: | + | lista de sitios de actualización posible con este formato: |
* Http:// [Nombre Fecha Base]. [Al azar de dominio] / search? Q =% d | * Http:// [Nombre Fecha Base]. [Al azar de dominio] / search? Q =% d | ||
* El nombre de dominio puede ser: | * El nombre de dominio puede ser: | ||
| Línea 209: | Línea 215: | ||
*. Cn | *. Cn | ||
*. Cc | *. Cc | ||
| − | |||
* ejemplos de dominios generados para 09 de enero 2009 | * ejemplos de dominios generados para 09 de enero 2009 | ||
* Opphlfoak.info | * Opphlfoak.info | ||
| Línea 233: | Línea 238: | ||
* Pvfesejm.com | * Pvfesejm.com | ||
| − | + | Estos dominios muy probablemente contienen actualizaciones del gusano u | |
| + | otro malware está relacionado con él. | ||
| − | * En versiones recientes ha habido una mayor funcionalidad que permite al gusano que se actualice u otra carga descargado a través de conexión remota a otros equipos. El mecanismo se basa en un tubo bidireccional con nombre (en cada equipo una canalización con nombre se crea con el nombre de "\ \. \ Pipe \ System_ [COMPUTER_NAME] 7") que se utiliza para la comunicación entre dos ordenadores infectados. Al recibir una cadena terminada en nulo, que lo interpreta como una dirección URL y trata de descargar. Al término de la descarga, el archivo se comprueba mediante una RC4 y un algoritmo de cifrado asimétrico y si se considera válida se ejecuta. Esto puede ser visto como una técnica empleada por los autores para asegurarse de que no carga extranjera se inyecta en el proceso de descarga. | + | * En versiones recientes ha habido una mayor funcionalidad que permite |
| − | + | al gusano que se actualice u otra carga descargado a través de conexión remota a | |
| + | otros equipos. El mecanismo se basa en un tubo bidireccional con nombre (en cada | ||
| + | equipo una canalización con nombre se crea con el nombre de "\ \. \ Pipe \ System_ | ||
| + | [COMPUTER_NAME] 7") que se utiliza para la comunicación entre dos ordenadores infectados. | ||
| + | Al recibir una cadena terminada en nulo, que lo interpreta como una dirección URL | ||
| + | y trata de descargar. Al término de la descarga, el archivo se comprueba mediante | ||
| + | una RC4 y un algoritmo de cifrado asimétrico y si se considera válida se ejecuta. | ||
| + | Esto puede ser visto como una técnica empleada por los autores para asegurarse de | ||
| + | que no carga extranjera se inyecta en el proceso de descarga. | ||
* Elimina todos los puntos de restauración del sistema antes de la infección. | * Elimina todos los puntos de restauración del sistema antes de la infección. | ||
| − | + | * El gusano se protege de la eliminación mediante la eliminación de todos | |
| − | * El gusano se protege de la eliminación mediante la eliminación de todos los permisos de archivos NTFS, con excepción de ejecutar y salto de directorio, de todos los usuarios. | + | los permisos de archivos NTFS, con excepción de ejecutar y salto de directorio, de |
| + | todos los usuarios. | ||
| − | + | El 7 de marzo de 2009 una nueva variante se observó en las modificaciones | |
| + | de menor importancia wild.While fueron vistos antes, esta variante es muy diferente | ||
| + | y había claros indicios de la ruta tomada por los escritores a mantener ya los | ||
| + | ordenadores infectados y desactivación de herramientas de extracción realizada por | ||
| + | la empresa AV . | ||
Esta versión tiene el siguiente comportamiento una vez ejecutado: | Esta versión tiene el siguiente comportamiento una vez ejecutado: | ||
| − | * * Controles para detectar la presencia de sí mismo utilizando un mutex creados a partir de Identificación del proceso. Si el mutex se crea sale ya mismo. | + | * * Controles para detectar la presencia de sí mismo utilizando un mutex creados |
| + | a partir de Identificación del proceso. Si el mutex se crea sale ya mismo. | ||
* * Ganchos NtQueryInformationProcess de ntdll.dll | * * Ganchos NtQueryInformationProcess de ntdll.dll | ||
| − | * * Crea dos exclusiones mutuas longitud aleatorios basados en nombre del equipo. Estos se utilizan para más adelante. | + | * * Crea dos exclusiones mutuas longitud aleatorios basados en nombre del equipo. |
| − | * * Si rundll32.exe de ejecución mediante semáforos y encima se han creado con éxito, entonces trata de inyectar en cualquiera: svchost.exe o explorer.exe. A continuación, elimina la tarea programada para ejecutarse. | + | Estos se utilizan para más adelante. |
| − | * * Utiliza la siguiente clave del registro para ocultar los archivos con atributos de oculto: | + | * * Si rundll32.exe de ejecución mediante semáforos y encima se han creado con |
| − | * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0" | + | éxito, entonces trata de inyectar en cualquiera: svchost.exe o explorer.exe. |
| − | * * Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes API: | + | A continuación, elimina la tarea programada para ejecutarse. |
| − | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la reinfección de la máquina local desde otras computadoras infectadas | + | * * Utiliza la siguiente clave del registro para ocultar los archivos con |
| + | atributos de oculto: | ||
| + | * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ | ||
| + | Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0" | ||
| + | * * Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes | ||
| + | API: | ||
| + | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para | ||
| + | evitar la reinfección de la máquina local desde otras computadoras infectadas | ||
* Sendto de ws2_dll.dll | * Sendto de ws2_dll.dll | ||
* * Si reside en svchost.exe engancha las siguientes API | * * Si reside en svchost.exe engancha las siguientes API | ||
| − | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la reinfección de la máquina local desde otras computadoras infectadas | + | * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para |
| − | * DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll - esta API se enganchan para restringir el acceso a varios sitios relacionados con compañías antivirus. | + | evitar la reinfección de la máquina local desde otras computadoras infectadas |
| − | * * Modo de error se establece para que en caso de una excepción no controlada no hay información se muestra al usuario. Esto puede ser visto como un método de seguridad para mantener el malware sigiloso, incluso en caso de errores desconocidos. | + | * DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll |
| + | - esta API se enganchan para restringir el acceso a varios sitios relacionados con | ||
| + | compañías antivirus. | ||
| + | * * Modo de error se establece para que en caso de una excepción no controlada | ||
| + | no hay información se muestra al usuario. Esto puede ser visto como un método de | ||
| + | seguridad para mantener el malware sigiloso, incluso en caso de errores desconocidos. | ||
* * Ganchos función InternetGetConnectedState de wininet.dll. | * * Ganchos función InternetGetConnectedState de wininet.dll. | ||
* * Se copia en system32 y el directorio temporal | * * Se copia en system32 y el directorio temporal | ||
| Línea 267: | Línea 299: | ||
* WerSvc (error de Windows Servicio de Información) | * WerSvc (error de Windows Servicio de Información) | ||
* * Borra la ventana clave de inicio Defensor | * * Borra la ventana clave de inicio Defensor | ||
| − | * * Eliminar HKLM \ SYSTEM \ CurrentControlSet \ Control SafeBoot \ lo que no permite jugar la máquina infectada a un arranque seguro | + | * * Eliminar HKLM \ SYSTEM \ CurrentControlSet \ Control SafeBoot \ lo que no |
| − | * * Crea un hilo que cada segundo mata a los procesos que tienen nombres que contienen uno de la siguiente cadena | + | permite jugar la máquina infectada a un arranque seguro |
| + | * * Crea un hilo que cada segundo mata a los procesos que tienen nombres que | ||
| + | contienen uno de la siguiente cadena | ||
* Autoruns | * Autoruns | ||
* Vengador | * Vengador | ||
| Línea 292: | Línea 326: | ||
* Unlocker | * Unlocker | ||
* Wireshark | * Wireshark | ||
| − | Alguien con experiencia en análisis de malware de inmediato verá que el gusano intenta cerrar cualquier herramienta que podría utilizarse en el análisis de su comportamiento, así como cualquier herramienta que podría utilizarse para desinfectar un equipo infectado | + | Alguien con experiencia en análisis de malware de inmediato verá que el gusano intenta |
| − | * * Si una conexión a Internet está disponible intenta actualizarse a sí mismo. Este proceso ha cambiado, que genera 50 mil el número de dominios al azar e intenta conectarse a 500 de ellos al azar. Otro cambio es el hecho de que ahora hay 116 | + | cerrar cualquier herramienta que podría utilizarse en el análisis de su comportamiento, |
| + | así como cualquier herramienta que podría utilizarse para desinfectar un equipo infectado | ||
| + | * * Si una conexión a Internet está disponible intenta actualizarse a sí mismo. | ||
| + | Este proceso ha cambiado, que genera 50 mil el número de dominios al azar e intenta | ||
| + | conectarse a 500 de ellos al azar. Otro cambio es el hecho de que ahora hay 116 posible | ||
| + | extensiones de dominios que se pueden utilizar. | ||
* Los sitios que contienen una de las siguientes cadenas están bloqueadas: | * Los sitios que contienen una de las siguientes cadenas están bloqueadas: | ||
* Agnitum | * Agnitum | ||
| Línea 388: | Línea 427: | ||
* Sans | * Sans | ||
| − | * * Si un sitio se encuentra en ejecución, el gusano descarga el archivo y comprueba si es válida una carga útil: esto se hace utilizando la criptografía asimétrica para probar el origen y la integridad. Si todo está bien, la carga útil ejecutable es descifrado y ejecutado. | + | * * Si un sitio se encuentra en ejecución, el gusano descarga el archivo y |
| + | comprueba si es válida una carga útil: esto se hace utilizando la criptografía | ||
| + | asimétrica para probar el origen y la integridad. Si todo está bien, la carga | ||
| + | útil ejecutable es descifrado y ejecutado. | ||
| − | Una nueva variante del gusano ha sido detectado recientemente en la naturaleza. Una de las primeras cuestiones que el gusano actualización abordó fue la restricción del acceso al recurso http://bdtools.net depósito utilizado por BitDefender a suministrar herramientas de extracción para el gusano. Además, las herramientas utilizadas para la eliminación de las variantes anteriores del gusano han sido inútiles, ya que el malware podría bloquear cualquier archivo con el nombre bd_rem_tool.exe. | + | Una nueva variante del gusano ha sido detectado recientemente en la naturaleza. |
| + | Una de las primeras cuestiones que el gusano actualización abordó fue la restricción del | ||
| + | acceso al recurso http://bdtools.net depósito utilizado por BitDefender a suministrar | ||
| + | herramientas de extracción para el gusano. Además, las herramientas utilizadas para la | ||
| + | eliminación de las variantes anteriores del gusano han sido inútiles, ya que el malware | ||
| + | podría bloquear cualquier archivo con el nombre bd_rem_tool.exe. | ||
| − | * Las siguientes palabras se utilizan para negar el acceso a los dominios web y aplicaciones que puede eliminar el malware: | + | * Las siguientes palabras se utilizan para negar el acceso a los dominios web y |
| + | aplicaciones que puede eliminar el malware: | ||
* Precisesecurity | * Precisesecurity | ||
| Línea 412: | Línea 460: | ||
* Desactivar la función Restaurar sistema | * Desactivar la función Restaurar sistema | ||
* Desconecte el cable de red desde la máquina infectada | * Desconecte el cable de red desde la máquina infectada | ||
| − | * MS08-67 descargar vulnerabilidad fijar, de acuerdo con la versión del sistema operativo desde el siguiente enlace: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx | + | * MS08-67 descargar vulnerabilidad fijar, de acuerdo con la versión del |
| + | sistema operativo desde el siguiente enlace: | ||
| + | http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx | ||
* La herramienta de eliminación de ejecución adjunta | * La herramienta de eliminación de ejecución adjunta | ||
* Reiniciar el ordenador | * Reiniciar el ordenador | ||
| Línea 420: | Línea 470: | ||
| − | Teniendo en cuenta el hecho de que los bloques de la herramienta de eliminación de software malicioso por su nombre, sólo tiene que cambiar el nombre de nuestra herramienta de eliminación previa a cualquier otra cosa excepto bd_rem_tool pasaría por alto el algoritmo de bloqueo. | + | Teniendo en cuenta el hecho de que los bloques de la herramienta de eliminación de software |
| + | malicioso por su nombre, sólo tiene que cambiar el nombre de nuestra herramienta de eliminación | ||
| + | previa a cualquier otra cosa excepto bd_rem_tool pasaría por alto el algoritmo de bloqueo. | ||
Revisión actual del 15:39 24 feb 2011
Win32.Worm.Downadup.Gen
(W32.Downadup, W32/Worm.AHGV, Net-Worm.Win32.Kido.bg) Difusión: alta Descargar herramienta de eliminación Daño: medio Tamaño: varía Descubierto: 2008 31 de diciembre
Síntomas
Tiempos de conexión a cabo al tratar de acceder a varios sitios web relacionados
con antivirus. Windows Update ha sido deshabilitado.
Presencia de los archivos autorun.inf en la raíz de las unidades asignadas que
apunta a un archivo dll. dentro de la carpeta RECYCLER de la unidad.
Descripción Técnica
Win32.Worm.Downadup es un gusano que se basa en la plataforma Microsoft Windows
Server Service RPC Manejo de la vulnerabilidad de ejecución remota de código (MS08-67)
con el fin de difundir en otros equipos de la red local. Los autores tomaron
diferentes enfoques para hacer de este malware especialmente rápida propagación y
difícil de eliminar.
Este malware siempre viene envuelto en una capa ofuscado que tiene por objeto
disuadir a los análisis. La capa puede estar en dos sabores, ya sea mediante UPX
envasados o no envasados, pero es siempre ofuscado y diversos usos apis rara vez
se utiliza para romper los emuladores. El real de malware se encuentra en el interior
de forma encriptada. Se embala con una versión de UPX estándar, pero para disuadir a
desempacar nunca se escribe en el disco y no tiene el encabezado de PE que hace
aparecer como un inválido ejecutable. Esto tiene el efecto secundario de ser indetectable
cuando se inyecta en otro proceso, sólo se ve como la página de la memoria global asignado.
Un ordenador puede ser infectado por tres medios posibles:
* Si no parcheadas con las últimas actualizaciones de seguridad (en este caso si
MS08-67 no es la vulnerabilidad parcheada), por un ordenador que ya están infectadas en
la red local
* Si la cuenta de administrador del equipo tiene una contraseña débil (la fuerza
bruta ataque de diccionario contra la contraseña del administrador se utiliza)
* Si el equipo tiene la función de reproducción automática habilitada y asignada
una persona infectada / palo unidad extraíble conectado.
Una vez adquirida la ejecución de este gusano realiza las acciones siguientes:
* Ganchos NtQueryInformationProcess de ntdll.dll dentro del proceso que se ejecuta
* Crea un mutex llamado basado en el nombre del equipo
* Intself inyecta en uno de los siguientes procesos:
* Explorer.exe
* Svchost.exe
* Utiliza la siguiente clave del registro para ocultar los archivos con atributos
de oculto:
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0"
* Ejecuta el siguiente comando, que desactiva el autoajuste (detalles) opción
en Windows Vista:
* netsh interface tcp set global autotuninglevel = deshabilitado
* Se copia en una o más de las siguientes ubicaciones:
*%% Archivos de programa \ Internet Explorer \ [nombre al azar]. Dll
*%% Archivos de programa \ Movie Maker \ [nombre al azar]. Dll
* Documentos y configuración%%\All Users\Datos de programa\[nombre al azar]. Dll
*% Temp% \ [nombre al azar]. Dll
*% System32% \ [nombre al azar]. Dll
* Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes API:
* NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la reinfección de
la máquina local desde otras computadoras infectadas
* Sendto de ws2_dll.dll
* Si reside en svchost.exe engancha las siguientes API
* NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la
reinfección de la máquina local desde otras computadoras infectadas
* DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll - esta API se
enganchan para restringir el acceso a varios sitios relacionados con compañías antivirus.
* Establece el número máximo de conexiones simultáneas permitidas por hacer una de las
siguientes
* Controlador Tcpip.sys parches, con un conductor que se baja (contenido en un
formulario no cifrado)
* Ajuste HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \
"TcpNumConnections" a "00FFFFFE"
* Se inyecta en services.exe (Win2K)
* Establece la siguientes claves del registro (si no se establecen ya), probablemente
como un marcador de infección:
* HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0"
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0"
* HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0"
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0"
* Se ha deshabilitado los siguientes servicios de Windows:
* Antecedentes Servicio de transferencia inteligente (BITS)
* Automáticas de Windows Update Service (wuauserv)
* Establece la siguiente clave del registro para ocultar archivos con
atributo oculto:
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0"
* Enumera todos los recursos compartidos de red disponibles ADMIN $
e intenta conectarse como un usuario existente mediante una lista de contraseñas débiles
(básicamente, hacer un ataque de diccionario de las contraseñas de usuario). Ejemplos de
contraseñas de los que están disponibles:
* El mundo académico
* Acceso
* Cuenta
* Administrador
* Admin
* Admin1
* Admin12
* Admin123
* Adminadmin
* Administrador
* Nada
* Asddsa
* Asdfgh
* Asdsa
* Asdzxc
* Copia de seguridad
* Boss123
Si este ataque tiene éxito, se copia en el directorio compartido:
* NombreDeRecursoCompartido \ ADMIN $ \ [nombre al azar] System32 \. Dll
Para asegurarse de que el archivo se ejecuta, crea una tarea programada en el servidor
atacado, lo que es correr todos los días. El trabajo es el siguiente:
dll * rundll32.exe [nombre al azar]., [al azar String]
* Se conecta a la siguiente dirección URL para obtener la dirección de la máquina
infectada
* Http://www.getmyip.org
* Http://www.whatsmyipaddress.com
* Http://getmyip.co.uk
* Http://checkip.dyndns.org
Esta dirección IP, junto con un número de puerto aleatorio, se utiliza para
crear un servidor HTTP que es utilizado por el gusano para infectar utilizando la
vulnerabilidad MS08-67. Las computadoras infectadas que se conectan a la IP y el
puerto serán explotados y obligados a descargar una copia del malware oculto con un
nombre aleatorio y con una de las siguientes extensiones:
* Png
* Bmp
* Jpg
* Gif
* Que supervisa las unidades de control remoto y extraíble para la infección
mediante la función de reproducción automática:
* Una copia del archivo se coloca dentro de una carpeta al azar (creado por
el programa malicioso):: \ RECYCLER \ S-% d-% d-% d-% d% d% d-% d% d% d-% d % d% d-% d \
[nombre al azar]. dll
* Un archivo autorun.inf ofuscado se genera para el lanzamiento del malware
de la ubicación anterior. El archivo está ofuscado por la adición de comentarios al azar,
con una longitud de azar.
* Utilización de la API enganchó desde Dnsapi.dll lo niega (error de tiempo
de espera) el acceso a sitios que contengan alguna de las siguientes cadenas:
* Virus
* Spyware
* Malware
* Rootkit
* Defensor
* Microsoft
* Symantec
* Norton
* McAfee
* TrendMicro
* Sophos
* Panda
* ETrust
* Networkassociates
* ComputerAssociates
* F-Secure
* Kaspersky
* Jotti
* F-prot
* NOD32
* ESET
* Grisoft
* Drweb
* Centralcommand
* AhnLab
* ESafe
* Avast
* Avira
* QuickHeal
* Comodo
* Clamav
* Ewido
* Fortinet
* Gdata
* Hacksoft
* Hauri
* Ikarus
* K7computing
* Norman
* PCTools
* Prevx
* El aumento de
* Securecomputing
* Sunbelt
* Emsisoft
* Arcabit
* Cpsecure
* Spamhaus
* CastleCops
* ThreatExpert
* Wilderssecurity
* Windowsupdate
* Nai.
* Ca.
* Avp.
* Promedio.
* Veterinario.
* Bit9.
* Sans.
* Cert.
* Se conecta a uno de los siguientes sitios para obtener la fecha actual
(día y mes) (HTTP_QUERY_DATE)
* W3.org
* Ask.com
* Yahoo.com
* Google.com
* Baidu.com
* Utilizando la información recopilada en el paso anterior se genera una
lista de sitios de actualización posible con este formato:
* Http:// [Nombre Fecha Base]. [Al azar de dominio] / search? Q =% d
* El nombre de dominio puede ser:
*. Biz
*. Info
*. Org
*. Netos
*. Com
*. Se
*. Cn
*. Cc
* ejemplos de dominios generados para 09 de enero 2009
* Opphlfoak.info
* Mphtfrxs.net
* Hcweu.org
* Tpiesl.info
* Bmqyp.com
* Aqnjou.info
* Kxxprzab.net
* Gjbueqbdb.com
* Qkccgprsp.net
* Yjxraefn.org
* Civmakjl.net
* Ygmjyyzbj.info
* Ulptholvr.org
* Dqyusn.info
* Gsvfy.org
* Sjdvt.net
* Tizkywcd.com
* Bkqxwccwseo.org
* Bmrmgxv.com
* Xlkfp.org
* Pvfesejm.com
Estos dominios muy probablemente contienen actualizaciones del gusano u
otro malware está relacionado con él.
* En versiones recientes ha habido una mayor funcionalidad que permite
al gusano que se actualice u otra carga descargado a través de conexión remota a
otros equipos. El mecanismo se basa en un tubo bidireccional con nombre (en cada
equipo una canalización con nombre se crea con el nombre de "\ \. \ Pipe \ System_
[COMPUTER_NAME] 7") que se utiliza para la comunicación entre dos ordenadores infectados.
Al recibir una cadena terminada en nulo, que lo interpreta como una dirección URL
y trata de descargar. Al término de la descarga, el archivo se comprueba mediante
una RC4 y un algoritmo de cifrado asimétrico y si se considera válida se ejecuta.
Esto puede ser visto como una técnica empleada por los autores para asegurarse de
que no carga extranjera se inyecta en el proceso de descarga.
* Elimina todos los puntos de restauración del sistema antes de la infección.
* El gusano se protege de la eliminación mediante la eliminación de todos
los permisos de archivos NTFS, con excepción de ejecutar y salto de directorio, de
todos los usuarios.
El 7 de marzo de 2009 una nueva variante se observó en las modificaciones
de menor importancia wild.While fueron vistos antes, esta variante es muy diferente
y había claros indicios de la ruta tomada por los escritores a mantener ya los
ordenadores infectados y desactivación de herramientas de extracción realizada por
la empresa AV .
Esta versión tiene el siguiente comportamiento una vez ejecutado:
* * Controles para detectar la presencia de sí mismo utilizando un mutex creados
a partir de Identificación del proceso. Si el mutex se crea sale ya mismo.
* * Ganchos NtQueryInformationProcess de ntdll.dll
* * Crea dos exclusiones mutuas longitud aleatorios basados en nombre del equipo.
Estos se utilizan para más adelante.
* * Si rundll32.exe de ejecución mediante semáforos y encima se han creado con
éxito, entonces trata de inyectar en cualquiera: svchost.exe o explorer.exe.
A continuación, elimina la tarea programada para ejecutarse.
* * Utiliza la siguiente clave del registro para ocultar los archivos con
atributos de oculto:
* HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \
Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0"
* * Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes
API:
* NetpwPathCanonicalize de netapi32.dll - Esta API se usa para
evitar la reinfección de la máquina local desde otras computadoras infectadas
* Sendto de ws2_dll.dll
* * Si reside en svchost.exe engancha las siguientes API
* NetpwPathCanonicalize de netapi32.dll - Esta API se usa para
evitar la reinfección de la máquina local desde otras computadoras infectadas
* DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll
- esta API se enganchan para restringir el acceso a varios sitios relacionados con
compañías antivirus.
* * Modo de error se establece para que en caso de una excepción no controlada
no hay información se muestra al usuario. Esto puede ser visto como un método de
seguridad para mantener el malware sigiloso, incluso en caso de errores desconocidos.
* * Ganchos función InternetGetConnectedState de wininet.dll.
* * Se copia en system32 y el directorio temporal
* * Deshabilita los siguientes servicios
* Wscsvc (Windows Security Center)
* WinDefender (servicio de Windows Defender)
* Wuauserv (automáticas de Windows Update Service)
* BITS (Background Servicio de transferencia inteligente)
* ERSvc (Servicio de informe de errores)
* WerSvc (error de Windows Servicio de Información)
* * Borra la ventana clave de inicio Defensor
* * Eliminar HKLM \ SYSTEM \ CurrentControlSet \ Control SafeBoot \ lo que no
permite jugar la máquina infectada a un arranque seguro
* * Crea un hilo que cada segundo mata a los procesos que tienen nombres que
contienen uno de la siguiente cadena
* Autoruns
* Vengador
* Confick
* Downad
* Filemon
* GMER
* Revisión
* Kb890
* Kb958
* Kido
* Klwk
* MBSA
* Mrt.
* Mrtstub
* MS08-06
* Procexp
* Procmon
* Regmon
* Scct_
* SysClean
* TCPView
* Unlocker
* Wireshark
Alguien con experiencia en análisis de malware de inmediato verá que el gusano intenta
cerrar cualquier herramienta que podría utilizarse en el análisis de su comportamiento,
así como cualquier herramienta que podría utilizarse para desinfectar un equipo infectado
* * Si una conexión a Internet está disponible intenta actualizarse a sí mismo.
Este proceso ha cambiado, que genera 50 mil el número de dominios al azar e intenta
conectarse a 500 de ellos al azar. Otro cambio es el hecho de que ahora hay 116 posible
extensiones de dominios que se pueden utilizar.
* Los sitios que contienen una de las siguientes cadenas están bloqueadas:
* Agnitum
* AhnLab
* anti-
* Antivir
* Arcabit
* Avast
* Avgate
* Avira
* Bothunter
* CastleCops
* Ccollomb
* Centralcommand
* Clamav
* Comodo
* ComputerAssociates
* Conficker
* Cpsecure
* Ciber-ta
* Defensor
* Downad
* Drweb
* Dslreports
* Emsisoft
* ESafe
* ESET
* ETrust
* Ewido
* F-prot
* F-Secure
* Fortinet
* Libre av
* Freeav
* Gdata
* Grisoft
* HackerWatch
* Hacksoft
* Haur
* Ikarus
* Jotti
* K7computing
* Kaspersky
* Kido
* Malware
* McAfee
* Microsoft
* Espejismo
* Msftncsi
* Msmvps
* Mtc.sri
* Networkassociates
* NOD32
* Norman
* Norton
* OneCare
* Panda
* PCTools
* Prevx
* Ptsecurity
* QuickHeal
* Eliminación
* El aumento de
* Rootkit
* Safety.live
* Securecomputing
SecureWorks *
* Sophos
* Spamhaus
* Spyware
* Sunbelt
* Symantec
* Technet
* Amenaza
* ThreatExpert
* TrendMicro
* Troyano
* Virscan
* Virus
* Wilderssecurity
* Windowsupdate
* Promedio
* Avp
* Bit9
* Ca
* Cert
* GMER
* Kav
* LLNW
* Llnwd
* MSDN
* Msft
* Nai
* Sans
* * Si un sitio se encuentra en ejecución, el gusano descarga el archivo y comprueba si es válida una carga útil: esto se hace utilizando la criptografía asimétrica para probar el origen y la integridad. Si todo está bien, la carga útil ejecutable es descifrado y ejecutado.
Una nueva variante del gusano ha sido detectado recientemente en la naturaleza. Una de las primeras cuestiones que el gusano actualización abordó fue la restricción del acceso al recurso http://bdtools.net depósito utilizado por BitDefender a suministrar herramientas de extracción para el gusano. Además, las herramientas utilizadas para la eliminación de las variantes anteriores del gusano han sido inútiles, ya que el malware podría bloquear cualquier archivo con el nombre bd_rem_tool.exe.
* Las siguientes palabras se utilizan para negar el acceso a los dominios web y aplicaciones que puede eliminar el malware:
* Precisesecurity * Ms-mvp * Mitra * Enigma * Bdtools * Av-sc * Adware * Activescan * Aguijón * Matar * Cfremo * Bd_rem
Instrucciones de eliminación
Para quitar Win32.Worm.Downadup.Gen por favor siga las siguientes instrucciones:
* Desactivar la función Restaurar sistema
* Desconecte el cable de red desde la máquina infectada
* MS08-67 descargar vulnerabilidad fijar, de acuerdo con la versión del
sistema operativo desde el siguiente enlace:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
* La herramienta de eliminación de ejecución adjunta
* Reiniciar el ordenador
* enchufe en el cable de red
* Actualizar las definiciones de virus de BitDefender
* Realizar BitDefender completo sistema de escaneado.
Teniendo en cuenta el hecho de que los bloques de la herramienta de eliminación de software malicioso por su nombre, sólo tiene que cambiar el nombre de nuestra herramienta de eliminación previa a cualquier otra cosa excepto bd_rem_tool pasaría por alto el algoritmo de bloqueo.
