elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Rootkit Sality		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Rootkit Sality  (Leído 7,380 veces)
m0sh

Desconectado Desconectado

Mensajes: 13


Ver Perfil WWW
Rootkit Sality
« en: 19 Enero 2013, 00:25 am »
Hola a todos

Encontre una nueva version de este virus, si alguien necesita el archivo por favor enviar un correo.

Descripcion
El virus Sality ha evolucionado desde el año 2003, es un malware que infecta los archivos del sistema y se replica a través de la red, uniendo la maquina afectada a una red peer-to-peer la cual es usada para distribuir más contenido malicioso y programas usados para el envío de spam, robo de información privada, infectar servidores web o para realizar tareas de computo distribuido como el Password Cracking. Además de estas características también bloquea el acceso de algunos antivirus a los servidores de actualización por medio del filtrado IP.

Analisis
Al ejecutar el archivo se obtiene un mensaje que demuestra que el virus esta empaquetado con el software Themida; el cual es útil para impedir el análisis de ingeniería inversa. Realiza importantes cambios en el registro del sistema para disminuir los niveles de seguridad que existan en el mismo: Cambios como deshabilitar el Firewall, el antivirus, el sistema de actualizaciones de Windows, el UAC entre otros.

Código:
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Type: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Start: 0x00000003
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ImagePath: "\??\C:\WINDOWS\system32\drivers\kroir.sys"
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\DisplayName: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Control\ActiveService: "amsint32"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Service: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control\ActiveService: "IpFilterDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Service: "IpFilterDriver"

HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA: 0x00000000

 


Como se puede ver en las llaves de registro también se instala así mismo como un servicio con el nombre amsint32 el cual a su vez extrae y ejecuta un driver (rootkit) en el Kernel que nos es posible identificar debido a que está oculto.






Para encontrar el driver fue necesario conectar un debugger al Kernel del sistema operativo y revisar la lista de módulos en ejecución. Una vez que está identificado el nombre del driver y del servicio (device) es posible encontrar la posición de memoria donde se encuentra ubicado y posteriormente revisar su estructura.





Despues de revisar el codigo se encontro una funcion en la posicion de memoria (0xf7bcab50), al revisar dicho sector se encontraron los strings de los antivirus a los cuales se les impide realizar conexiones con sus servidores de actualización





Salu2
« Última modificación: 19 Enero 2013, 19:28 pm por m0sh » En línea
www.NYXBONE.com
Twiter: @nyxbone
0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Rootkit Sality
« Respuesta #1 en: 19 Enero 2013, 21:05 pm »
Muy bueno, particularmente no me interesa mucho porque no uso ni programo para windows, pero supongo que muchos usuarios echan en falta mas posts asi en este subforo.

Saludos.
En línea
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Rootkit Sality
« Respuesta #2 en: 19 Enero 2013, 23:28 pm »
Buen análisis :) Ojalá hubiesen más aportaciones así ;)

Cada vez hay menos malware para ring0 por culpa de lo difícil que es cargar el driver sin que esté firmado >:D
En línea
Danyfirex


Desconectado Desconectado

Mensajes: 493


My Dear Mizuho


Ver Perfil
Re: Rootkit Sality
« Respuesta #3 en: 20 Enero 2013, 01:23 am »
Excelente Análisis gracias por compartirlo.
En línea
m0sh

Desconectado Desconectado

Mensajes: 13


Ver Perfil WWW
Re: Rootkit Sality
« Respuesta #4 en: 25 Enero 2013, 19:49 pm »
Gracias por los comentarios ;)
En línea
www.NYXBONE.com
Twiter: @nyxbone
xibiru

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Rootkit Sality
« Respuesta #5 en: 9 Febrero 2014, 21:44 pm »
Hola.

Estoy tratando de conseguir una muestra de este virus, para poder analizar en un entorno de pruebas controladas como funciona, ya que estoy interesado en aprender a  desarrollar vacunas.

Seria posible que me proporcionarais el código fuente o un archivo de muestra infectado para poder ejecutarlo?

Gracias.
En línea
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Rootkit Sality
« Respuesta #6 en: 11 Febrero 2014, 06:08 am »
Cita de: xibiru en  9 Febrero 2014, 21:44 pm
Hola.

Estoy tratando de conseguir una muestra de este virus, para poder analizar en un entorno de pruebas controladas como funciona, ya que estoy interesado en aprender a  desarrollar vacunas.

Seria posible que me proporcionarais el código fuente o un archivo de muestra infectado para poder ejecutarlo?

Gracias.

¿algun hash en especial?
En línea
OSCAR HINOSTROZA

Desconectado Desconectado

Mensajes: 1


Fanatico de UNIX.


Ver Perfil WWW
Re: Rootkit Sality
« Respuesta #7 en: 22 Abril 2014, 07:12 am »
Oye tienes los archivos....me intereso este tema...

saludos.. :D
En línea
General Dmitry Vergadoski


Desconectado Desconectado

Mensajes: 881


General de División.


Ver Perfil
Re: Rootkit Sality
« Respuesta #8 en: 22 Abril 2014, 16:10 pm »
este bicho es bastante malo daña los .exe es muy comun todavia en pendrives yo me he infectado mucho con el, y al parecer esta variante es aun peor mi pregunta es:
ya existe la vacuna de esta variante?
En línea
Primero mártir que arrodillado frente una dictadura.
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Rootkit Sality
« Respuesta #9 en: 23 Abril 2014, 04:47 am »
Cita de: shitoman en 22 Abril 2014, 16:10 pm
este bicho es bastante malo daña los .exe es muy comun todavia en pendrives yo me he infectado mucho con el, y al parecer esta variante es aun peor mi pregunta es:
ya existe la vacuna de esta variante?
A qué te referis con 'vacuna'? A la desinfección de los archivos que infecta? Si es así, lo dudo que todos los antivirus incluyan un
algoritmo para cada variante de este virus.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda! Virus Sality
Seguridad 		DefaultUser 2 2,390 Último mensaje 3 Septiembre 2012, 17:47 pm
por r32
Muestra de virus Polimorfico Sality.
Análisis y Diseño de Malware 		**Aincrad** 2 2,073 Último mensaje 15 Agosto 2020, 23:39 pm
por **Aincrad**
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines