Una nueva versión de Sality anda suelta
El viernes pasado, los expertos de
Kaspersky Lab detectaron una nueva variante de Sality.aa, el virus
polimórfico más popular hoy en día. Sality.aa mutó por última vez hace
un año y el cambio no fue muy dramático. Pero este virus se ha mantenido
entre las 5 amenazas más detectadas en los ordenadores de los usuarios
en los últimos dos años. Las variantes previas de Sality no eran tan
populares. Después de Sality.aa apareció una nueva versión llamada
Sality.ae, que utiliza la técnica de infección EPO. Pero no tuvo grandes
logros porque los cibercriminales la utilizaban como un simple
algoritmo de decodificación y sus técnicas de infección eran
ineficientes. Las versiones siguientes del programa malicioso tampoco
fueron muy populares por la exagerada simplicidad de sus algoritmos de
codificación.
La variante recién descubierta fue nombrada Sality.ag. ¿Qué tiene de interesante esta variante? Contiene un algoritmo de decodificación completamente nuevo y aloja ‘características avanzadas’. Como vemos, la nueva variante tiene todas las posibilidades de reemplazar la anterior versión, Sality.aa, y ganar popularidad.
Sus características funcionales califican a este virus como una Puerta Trasera (Backdoor). Cuando ingresa al sistema, lo primero que Sality.ag hace es instalar su DLL y un controlador para filtrar el tráfico de Internet. El DLL se utiliza para repeler todos los programas de seguridad y cortafuegos.
A continuación vemos una captura de pantalla del DLL decodificado. Contiene líneas que demuestran la capacidad del virus de resistir los contraataques de los programas de seguridad: “avast! Self Protection”, “NOD32krn”, “Avira AntiVir Premium”, “DRWEBSCD” etc. Sality emplea una de las formas más simples de apagar un antivirus: Intenta cerrar todas las ventanas y acabar con todos los procesos con nombres asociados a productos de seguridad.
El virus también escribe informes adicionales al registro del sistema lo que terminaría TaskManager y UAC, y agrega el controlador a la rama del registro “System\CurrentControlSet\Control\SafeBoot”. Esto hace que el controlador reinicie el equipo en modo seguro.
El controlador crea un mecanismo llamado “amsint32” y se comunica con “\Device\IPFILTERDRIVER”, un controlador con filtrado de paquetes IP que puede filtrar cualquier tipo de tráfico Internet. El archivo del controlador está incluido en la DLL, dentro del cuerpo del virus y empaquetado con UPX.
Asimismo, el cuerpo del virus crea objetos sincronizados para detectar cuándo se ejecutan los archivos infectados “uxJLpe1m” y “Ap1mutx7”. También instala las DDL de arriba y descarga datos de servicio de las siguientes URLs:
http://sagocugenc.sa.funpic.de/images/*****.gif http://www.eleonuccorini.com/images/*****.gif
http://www.cityofangelsmagazine.com/images/*****.gif
http://www.21yybuyukanadolu.com/images/*****.gif
http://yucelcavdar.com/*****.gif
http://www.luster-adv.com/gallery/Fusion/images/*****.gif
Al terminar de realizar todas estas tareas, Sality intenta establecer una conexión a un servidor de comando y control y continúa operando como una puerta trasera común, ejecutando cualquier comando que reciba de este servidor.
La técnica de infección utilizada es similar a la de Sality.aa, la variante anterior. El código de acceso se reemplaza con una instrucción para saltar al cuerpo. La orden de realizar este salto es una instrucción común de "salto indirecto al registro" (jmp reg) que está muy ofuscada. El peso el cuerpo es de 0x11000 bytes y está ubicado al final de la última sección, que está expandida con este propósito. Se agregan a la sección las alertas “accesible para escribir” y “permite ejecución”. Los primeros 0x1000 bytes del código están muy ofuscados y decodifican el resto del código. Mientras que Sality.aa utiliza el algoritmo RC4, esta versión utiliza un algoritmo que descifra dos palabras dobles en un solo ciclo. Cada ciclo incluye 0x3F iteraciones que utilizan las operaciones "agregar", “eliminar” y “cambiar” e incluyen una tabla de palabras dobles al inicio de la porción infectada.
Autor: Vyacheslav Zakorzhevsky
Fuente: Viruslist
La variante recién descubierta fue nombrada Sality.ag. ¿Qué tiene de interesante esta variante? Contiene un algoritmo de decodificación completamente nuevo y aloja ‘características avanzadas’. Como vemos, la nueva variante tiene todas las posibilidades de reemplazar la anterior versión, Sality.aa, y ganar popularidad.
Sus características funcionales califican a este virus como una Puerta Trasera (Backdoor). Cuando ingresa al sistema, lo primero que Sality.ag hace es instalar su DLL y un controlador para filtrar el tráfico de Internet. El DLL se utiliza para repeler todos los programas de seguridad y cortafuegos.
A continuación vemos una captura de pantalla del DLL decodificado. Contiene líneas que demuestran la capacidad del virus de resistir los contraataques de los programas de seguridad: “avast! Self Protection”, “NOD32krn”, “Avira AntiVir Premium”, “DRWEBSCD” etc. Sality emplea una de las formas más simples de apagar un antivirus: Intenta cerrar todas las ventanas y acabar con todos los procesos con nombres asociados a productos de seguridad.
Captura de
pantalla de parte del DLL decodificado de Sality.ag
El virus también escribe informes adicionales al registro del sistema lo que terminaría TaskManager y UAC, y agrega el controlador a la rama del registro “System\CurrentControlSet\Control\SafeBoot”. Esto hace que el controlador reinicie el equipo en modo seguro.
El controlador crea un mecanismo llamado “amsint32” y se comunica con “\Device\IPFILTERDRIVER”, un controlador con filtrado de paquetes IP que puede filtrar cualquier tipo de tráfico Internet. El archivo del controlador está incluido en la DLL, dentro del cuerpo del virus y empaquetado con UPX.
Asimismo, el cuerpo del virus crea objetos sincronizados para detectar cuándo se ejecutan los archivos infectados “uxJLpe1m” y “Ap1mutx7”. También instala las DDL de arriba y descarga datos de servicio de las siguientes URLs:
http://sagocugenc.sa.funpic.de/images/*****.gif http://www.eleonuccorini.com/images/*****.gif
http://www.cityofangelsmagazine.com/images/*****.gif
http://www.21yybuyukanadolu.com/images/*****.gif
http://yucelcavdar.com/*****.gif
http://www.luster-adv.com/gallery/Fusion/images/*****.gif
Al terminar de realizar todas estas tareas, Sality intenta establecer una conexión a un servidor de comando y control y continúa operando como una puerta trasera común, ejecutando cualquier comando que reciba de este servidor.
La técnica de infección utilizada es similar a la de Sality.aa, la variante anterior. El código de acceso se reemplaza con una instrucción para saltar al cuerpo. La orden de realizar este salto es una instrucción común de "salto indirecto al registro" (jmp reg) que está muy ofuscada. El peso el cuerpo es de 0x11000 bytes y está ubicado al final de la última sección, que está expandida con este propósito. Se agregan a la sección las alertas “accesible para escribir” y “permite ejecución”. Los primeros 0x1000 bytes del código están muy ofuscados y decodifican el resto del código. Mientras que Sality.aa utiliza el algoritmo RC4, esta versión utiliza un algoritmo que descifra dos palabras dobles en un solo ciclo. Cada ciclo incluye 0x3F iteraciones que utilizan las operaciones "agregar", “eliminar” y “cambiar” e incluyen una tabla de palabras dobles al inicio de la porción infectada.
Autor: Vyacheslav Zakorzhevsky
Fuente: Viruslist
Bien, y todo eso para los "pegaos" en informática ¿como se traduce? ¿Hay alguna herramienta para contrarrestar este virus?
ResponderBorrarHola bandido,
ResponderBorrarLa herramienta para que no ingrese es la misma de siempre, un antivirus actualizado, prácticas seguras de correo y navegación, tener parches al día de el SO y todas las aplicaciones, un firewall.
Un procedimiento para eliminarlo se puede ver en:
http://support.kaspersky.com/faq/?qid=208279889
Saludos,
Raúl