Worm.Downadup.Gen

De Wiki
Saltar a: navegación, buscar

Win32.Worm.Downadup.Gen

(W32.Downadup, W32/Worm.AHGV, Net-Worm.Win32.Kido.bg)
Difusión: alta
Descargar herramienta de eliminación
Daño: medio
Tamaño: varía
Descubierto: 2008 31 de diciembre

Síntomas

    Tiempos de conexión a cabo al tratar de acceder a varios sitios web relacionados 

con antivirus. Windows Update ha sido deshabilitado.

    Presencia de los archivos autorun.inf en la raíz de las unidades asignadas que 

apunta a un archivo dll. dentro de la carpeta RECYCLER de la unidad.

Descripción Técnica

    Win32.Worm.Downadup es un gusano que se basa en la plataforma Microsoft Windows 

Server Service RPC Manejo de la vulnerabilidad de ejecución remota de código (MS08-67)

con el fin de difundir en otros equipos de la red local. Los autores tomaron 
diferentes enfoques para hacer de este malware especialmente rápida propagación y 
difícil de eliminar.
    Este malware siempre viene envuelto en una capa ofuscado que tiene por objeto 
disuadir a los análisis. La capa puede estar en dos sabores, ya sea mediante UPX 
envasados o no envasados, pero es siempre ofuscado y diversos usos apis rara vez 
se utiliza para romper los emuladores. El real de malware se encuentra en el interior
de forma encriptada. Se embala con una versión de UPX estándar, pero para disuadir a
desempacar nunca se escribe en el disco y no tiene el encabezado de PE que hace 
aparecer como un inválido ejecutable. Esto tiene el efecto secundario de ser indetectable
cuando se inyecta en otro proceso, sólo se ve como la página de la memoria global asignado.
    Un ordenador puede ser infectado por tres medios posibles:
       * Si no parcheadas con las últimas actualizaciones de seguridad (en este caso si 
MS08-67 no  es la vulnerabilidad parcheada), por un ordenador que ya están infectadas en 
la red local
       * Si la cuenta de administrador del equipo tiene una contraseña débil (la fuerza 
bruta ataque de diccionario contra la contraseña del administrador se utiliza)
       * Si el equipo tiene la función de reproducción automática habilitada y asignada 
una persona infectada / palo unidad extraíble conectado.  
Una vez adquirida la ejecución de este gusano realiza las acciones siguientes:
          * Ganchos NtQueryInformationProcess de ntdll.dll dentro del proceso que se ejecuta
          * Crea un mutex llamado basado en el nombre del equipo
          * Intself inyecta en uno de los siguientes procesos:
           * Explorer.exe
           * Svchost.exe
          * Utiliza la siguiente clave del registro para ocultar los archivos con atributos 
de oculto:
           * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ 
Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0"
          * Ejecuta el siguiente comando, que desactiva el autoajuste (detalles) opción 
en Windows Vista:
          * netsh interface tcp set global autotuninglevel = deshabilitado
          * Se copia en una o más de las siguientes ubicaciones:
           *%% Archivos de programa \ Internet Explorer \ [nombre al azar]. Dll
           *%% Archivos de programa \ Movie Maker \ [nombre al azar]. Dll
           * Documentos y configuración%%\All Users\Datos de programa\[nombre al azar]. Dll
           *% Temp% \ [nombre al azar]. Dll
           *% System32% \ [nombre al azar]. Dll
          * Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes API:
           * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la reinfección de
la máquina local desde otras computadoras infectadas
           * Sendto de ws2_dll.dll
          * Si reside en svchost.exe engancha las siguientes API
           * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para evitar la 
reinfección de la máquina local desde otras computadoras infectadas
           * DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll - esta API se
enganchan para restringir el acceso a varios sitios relacionados con compañías antivirus.
          * Establece el número máximo de conexiones simultáneas permitidas por hacer una de las
siguientes
           * Controlador Tcpip.sys parches, con un conductor que se baja (contenido en un
formulario no cifrado)
           * Ajuste HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ 
"TcpNumConnections" a "00FFFFFE"
          * Se inyecta en services.exe (Win2K)
          * Establece la siguientes claves del registro (si no se establecen ya), probablemente
como un marcador de infección:
           * HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0"
           * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "dl" = "0"
           * HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0"
           * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Applets \ \ "ds" = "0"
          * Se ha deshabilitado los siguientes servicios de Windows:
           * Antecedentes Servicio de transferencia inteligente (BITS)
           * Automáticas de Windows Update Service (wuauserv)
           * Establece la siguiente clave del registro para ocultar archivos con 
atributo oculto:
           * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ 
Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0"
          
          * Enumera todos los recursos compartidos de red disponibles ADMIN $ 
e intenta conectarse como un usuario existente mediante una lista de contraseñas débiles
(básicamente, hacer un ataque de diccionario de las contraseñas de usuario). Ejemplos de
 contraseñas de los que están disponibles:
           * El mundo académico
           * Acceso
           * Cuenta
           * Administrador
           * Admin
           * Admin1
           * Admin12
           * Admin123
           * Adminadmin
           * Administrador
           * Nada
           * Asddsa
           * Asdfgh
           * Asdsa
           * Asdzxc
           * Copia de seguridad
           * Boss123
          
Si este ataque tiene éxito, se copia en el directorio compartido:
            * NombreDeRecursoCompartido \ ADMIN $ \ [nombre al azar] System32 \. Dll
       Para asegurarse de que el archivo se ejecuta, crea una tarea programada en el servidor
atacado, lo que es correr todos los días. El trabajo es el siguiente:
           dll * rundll32.exe [nombre al azar]., [al azar String]        
          * Se conecta a la siguiente dirección URL para obtener la dirección de la máquina
infectada
           * Http://www.getmyip.org
           * Http://www.whatsmyipaddress.com
           * Http://getmyip.co.uk
           * Http://checkip.dyndns.org
       Esta dirección IP, junto con un número de puerto aleatorio, se utiliza para 
crear un servidor HTTP que es utilizado por el gusano para infectar utilizando la 
vulnerabilidad MS08-67. Las computadoras infectadas que se conectan a la IP y el 
puerto serán explotados y obligados a descargar una copia del malware oculto con un
nombre aleatorio y con una de las siguientes extensiones:
           * Png
           * Bmp
           * Jpg
           * Gif
          * Que supervisa las unidades de control remoto y extraíble para la infección 
mediante la función de reproducción automática:
           * Una copia del archivo se coloca dentro de una carpeta al azar (creado por
el programa malicioso):: \ RECYCLER \ S-% d-% d-% d-% d% d% d-% d% d% d-% d % d% d-% d \
[nombre al azar]. dll
           * Un archivo autorun.inf ofuscado se genera para el lanzamiento del malware
de la ubicación anterior. El archivo está ofuscado por la adición de comentarios al azar,
con una longitud de azar.
          * Utilización de la API enganchó desde Dnsapi.dll lo niega (error de tiempo 
de espera) el acceso a sitios que contengan alguna de las siguientes cadenas:
           * Virus
           * Spyware
           * Malware
           * Rootkit
           * Defensor
           * Microsoft
           * Symantec
           * Norton
           * McAfee
           * TrendMicro
           * Sophos
           * Panda
           * ETrust
           * Networkassociates
           * ComputerAssociates
           * F-Secure
           * Kaspersky
           * Jotti
           * F-prot
           * NOD32
           * ESET
           * Grisoft
           * Drweb
           * Centralcommand
           * AhnLab
           * ESafe
           * Avast
           * Avira
           * QuickHeal
           * Comodo
           * Clamav
           * Ewido
           * Fortinet
           * Gdata
           * Hacksoft
           * Hauri
           * Ikarus
           * K7computing
           * Norman
           * PCTools
           * Prevx
           * El aumento de
           * Securecomputing
           * Sunbelt
           * Emsisoft
           * Arcabit
           * Cpsecure
           * Spamhaus
           * CastleCops
           * ThreatExpert
           * Wilderssecurity
           * Windowsupdate
           * Nai.
           * Ca.
           * Avp.
           * Promedio.
           * Veterinario.
           * Bit9.
           * Sans.
           * Cert.
       * Se conecta a uno de los siguientes sitios para obtener la fecha actual 
(día y mes) (HTTP_QUERY_DATE)
           * W3.org
           * Ask.com
           * Yahoo.com
           * Google.com
           * Baidu.com
       * Utilizando la información recopilada en el paso anterior se genera una 
lista de sitios de actualización posible con este formato:
           * Http:// [Nombre Fecha Base]. [Al azar de dominio] / search? Q =% d
           * El nombre de dominio puede ser:
               *. Biz
               *. Info
               *. Org
               *. Netos
               *. Com
               *. Se
               *. Cn
               *. Cc
           * ejemplos de dominios generados para 09 de enero 2009
               * Opphlfoak.info
               * Mphtfrxs.net
               * Hcweu.org
               * Tpiesl.info
               * Bmqyp.com
               * Aqnjou.info
               * Kxxprzab.net
               * Gjbueqbdb.com
               * Qkccgprsp.net
               * Yjxraefn.org
               * Civmakjl.net
               * Ygmjyyzbj.info
               * Ulptholvr.org
               * Dqyusn.info
               * Gsvfy.org
               * Sjdvt.net
               * Tizkywcd.com
               * Bkqxwccwseo.org
               * Bmrmgxv.com
               * Xlkfp.org
               * Pvfesejm.com
              
Estos dominios muy probablemente contienen actualizaciones del gusano u 
otro malware está relacionado con él.
           * En versiones recientes ha habido una mayor funcionalidad que permite 
al gusano que se actualice u otra carga descargado a través de conexión remota a 
otros equipos. El mecanismo se basa en un tubo bidireccional con nombre (en cada 
equipo una canalización con nombre se crea con el nombre de "\ \. \ Pipe \ System_ 
[COMPUTER_NAME] 7") que se utiliza para la comunicación entre dos ordenadores infectados.
Al recibir una cadena terminada en nulo, que lo interpreta como una dirección URL
y trata de descargar. Al término de la descarga, el archivo se comprueba mediante
una RC4 y un algoritmo de cifrado asimétrico y si se considera válida se ejecuta.
Esto puede ser visto como una técnica empleada por los autores para asegurarse de
que no carga extranjera se inyecta en el proceso de descarga.
           * Elimina todos los puntos de restauración del sistema antes de la infección.
           * El gusano se protege de la eliminación mediante la eliminación de todos
los permisos de archivos NTFS, con excepción de ejecutar y salto de directorio, de
todos los usuarios.
              
El 7 de marzo de 2009 una nueva variante se observó en las modificaciones
de menor importancia wild.While fueron vistos antes, esta variante es muy diferente
y había claros indicios de la ruta tomada por los escritores a mantener ya los
ordenadores infectados y desactivación de herramientas de extracción realizada por
la empresa AV .
         Esta versión tiene el siguiente comportamiento una vez ejecutado:
   * * Controles para detectar la presencia de sí mismo utilizando un mutex creados
a partir de Identificación del proceso. Si el mutex se crea sale ya mismo.
   * * Ganchos NtQueryInformationProcess de ntdll.dll
   * * Crea dos exclusiones mutuas longitud aleatorios basados en nombre del equipo.
Estos se utilizan para más adelante.
   * * Si rundll32.exe de ejecución mediante semáforos y encima se han creado con
éxito, entonces trata de inyectar en cualquiera: svchost.exe o explorer.exe.
A continuación, elimina la tarea programada para ejecutarse.
   * * Utiliza la siguiente clave del registro para ocultar los archivos con 
atributos de oculto:
                 * HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \
Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ "CheckedValue" = "0"
   * * Si reside en la aplicación services.exe (Win2K) se engancha en las siguientes
API:
                 * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para
evitar la reinfección de la máquina local desde otras computadoras infectadas
                 * Sendto de ws2_dll.dll
   * * Si reside en svchost.exe engancha las siguientes API
                 * NetpwPathCanonicalize de netapi32.dll - Esta API se usa para
evitar la reinfección de la máquina local desde otras computadoras infectadas
                 * DnsQuery_A, DnsQuery_W, DnsQuery_UTF8, Query_Main de Dnsapi.dll
- esta API se enganchan para restringir el acceso a varios sitios relacionados con
compañías antivirus.
   * * Modo de error se establece para que en caso de una excepción no controlada
no hay información se muestra al usuario. Esto puede ser visto como un método de
seguridad para mantener el malware sigiloso, incluso en caso de errores desconocidos.
   * * Ganchos función InternetGetConnectedState de wininet.dll.
   * * Se copia en system32 y el directorio temporal
   * * Deshabilita los siguientes servicios
                 * Wscsvc (Windows Security Center)
                 * WinDefender (servicio de Windows Defender)
                 * Wuauserv (automáticas de Windows Update Service)
                 * BITS (Background Servicio de transferencia inteligente)
                 * ERSvc (Servicio de informe de errores)
                 * WerSvc (error de Windows Servicio de Información)
   * * Borra la ventana clave de inicio Defensor
   * * Eliminar HKLM \ SYSTEM \ CurrentControlSet \ Control SafeBoot \ lo que no
permite jugar la máquina infectada a un arranque seguro
   * * Crea un hilo que cada segundo mata a los procesos que tienen nombres que
contienen uno de la siguiente cadena
                 * Autoruns
                 * Vengador
                 * Confick
                 * Downad
                 * Filemon
                 * GMER
                 * Revisión
                 * Kb890
                 * Kb958
                 * Kido
                 * Klwk
                 * MBSA
                 * Mrt.
                 * Mrtstub
                 * MS08-06
                 * Procexp
                 * Procmon
                 * Regmon
                 * Scct_
                 * SysClean
                 * TCPView
                 * Unlocker
                 * Wireshark
Alguien con experiencia en análisis de malware de inmediato verá que el gusano intenta
cerrar cualquier herramienta que podría utilizarse en el análisis de su comportamiento,
así como cualquier herramienta que podría utilizarse para desinfectar un equipo infectado
   * * Si una conexión a Internet está disponible intenta actualizarse a sí mismo.
Este proceso ha cambiado, que genera 50 mil el número de dominios al azar e intenta
conectarse a 500 de ellos al azar. Otro cambio es el hecho de que ahora hay 116 posible
extensiones de dominios que se pueden utilizar.
   * Los sitios que contienen una de las siguientes cadenas están bloqueadas:
       * Agnitum
       * AhnLab
       * anti-
       * Antivir
       * Arcabit
       * Avast
       * Avgate
       * Avira
       * Bothunter
       * CastleCops
       * Ccollomb
       * Centralcommand
       * Clamav
       * Comodo
       * ComputerAssociates
       * Conficker
       * Cpsecure
       * Ciber-ta
       * Defensor
       * Downad
       * Drweb
       * Dslreports
       * Emsisoft
       * ESafe
       * ESET
       * ETrust
       * Ewido
       * F-prot
       * F-Secure
       * Fortinet
       * Libre av
       * Freeav
       * Gdata
       * Grisoft
       * HackerWatch
       * Hacksoft
       * Haur
       * Ikarus
       * Jotti
       * K7computing
       * Kaspersky
       * Kido
       * Malware
       * McAfee
       * Microsoft
       * Espejismo
       * Msftncsi
       * Msmvps
       * Mtc.sri
       * Networkassociates
       * NOD32
       * Norman
       * Norton
       * OneCare
       * Panda
       * PCTools
       * Prevx
       * Ptsecurity
       * QuickHeal
       * Eliminación
       * El aumento de
       * Rootkit
       * Safety.live
       * Securecomputing
       SecureWorks *
       * Sophos
       * Spamhaus
       * Spyware
       * Sunbelt
       * Symantec
       * Technet
       * Amenaza
       * ThreatExpert
       * TrendMicro
       * Troyano
       * Virscan
       * Virus
       * Wilderssecurity
       * Windowsupdate
       * Promedio
       * Avp
       * Bit9
       * Ca
       * Cert
       * GMER
       * Kav
       * LLNW
       * Llnwd
       * MSDN
       * Msft
       * Nai
       * Sans
   * * Si un sitio se encuentra en ejecución, el gusano descarga el archivo y 
comprueba si es válida una carga útil: esto se hace utilizando la criptografía 
asimétrica para probar el origen y la integridad. Si todo está bien, la carga 
útil ejecutable es descifrado y ejecutado.


   Una nueva variante del gusano ha sido detectado recientemente en la naturaleza.
Una de las primeras cuestiones que el gusano actualización abordó fue la restricción del
acceso al recurso http://bdtools.net depósito utilizado por BitDefender a suministrar 
herramientas de extracción para el gusano. Además, las herramientas utilizadas para la
eliminación de las variantes anteriores del gusano han sido inútiles, ya que el malware
podría bloquear cualquier archivo con el nombre bd_rem_tool.exe.
   * Las siguientes palabras se utilizan para negar el acceso a los dominios web y
aplicaciones que puede eliminar el malware:
   * Precisesecurity
   * Ms-mvp
   * Mitra
   * Enigma
   * Bdtools
   * Av-sc
   * Adware
   * Activescan
   * Aguijón
   * Matar
   * Cfremo
   * Bd_rem

Instrucciones de eliminación

     Para quitar Win32.Worm.Downadup.Gen por favor siga las siguientes instrucciones:
         * Desactivar la función Restaurar sistema
         * Desconecte el cable de red desde la máquina infectada
         * MS08-67 descargar vulnerabilidad fijar, de acuerdo con la versión del
sistema operativo desde el siguiente enlace:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
         * La herramienta de eliminación de ejecución adjunta
         * Reiniciar el ordenador
         * enchufe en el cable de red
         * Actualizar las definiciones de virus de BitDefender
         * Realizar BitDefender completo sistema de escaneado.


Teniendo en cuenta el hecho de que los bloques de la herramienta de eliminación de software
malicioso por su nombre, sólo tiene que cambiar el nombre de nuestra herramienta de eliminación 
previa a cualquier otra cosa excepto bd_rem_tool pasaría por alto el algoritmo de bloqueo.