Autor
Encontre una nueva version de este virus, si alguien necesita el archivo por favor enviar un correo.
Descripcion
El virus Sality ha evolucionado desde el año 2003, es un malware que infecta los archivos del sistema y se replica a través de la red, uniendo la maquina afectada a una red peer-to-peer la cual es usada para distribuir más contenido malicioso y programas usados para el envío de spam, robo de información privada, infectar servidores web o para realizar tareas de computo distribuido como el Password Cracking. Además de estas características también bloquea el acceso de algunos antivirus a los servidores de actualización por medio del filtrado IP.
Analisis
Al ejecutar el archivo se obtiene un mensaje que demuestra que el virus esta empaquetado con el software Themida; el cual es útil para impedir el análisis de ingeniería inversa. Realiza importantes cambios en el registro del sistema para disminuir los niveles de seguridad que existan en el mismo: Cambios como deshabilitar el Firewall, el antivirus, el sistema de actualizaciones de Windows, el UAC entre otros.
Código:
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Type: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Start: 0x00000003
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ImagePath: "\??\C:\WINDOWS\system32\drivers\kroir.sys"
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\DisplayName: "amsint32"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Control\ActiveService: "amsint32"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Service: "amsint32"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control\ActiveService: "IpFilterDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Service: "IpFilterDriver"
HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA: 0x00000000
Como se puede ver en las llaves de registro también se instala así mismo como un servicio con el nombre amsint32 el cual a su vez extrae y ejecuta un driver (rootkit) en el Kernel que nos es posible identificar debido a que está oculto.
Para encontrar el driver fue necesario conectar un debugger al Kernel del sistema operativo y revisar la lista de módulos en ejecución. Una vez que está identificado el nombre del driver y del servicio (device) es posible encontrar la posición de memoria donde se encuentra ubicado y posteriormente revisar su estructura.
Despues de revisar el codigo se encontro una funcion en la posicion de memoria (0xf7bcab50), al revisar dicho sector se encontraron los strings de los antivirus a los cuales se les impide realizar conexiones con sus servidores de actualización
Salu2
En línea
Ojalá hubiesen más aportaciones así 
