viernes, 17 de septiembre de 2010

Vídeo: Rogueware bloquea todos los ejecutables y utiliza descripciones de virus históricos realizadas por Kaspersky

Seguimos con la serie de vídeos sobre troyanos del tipo rogueware, con casos que nos resulten curiosos o llamativos por alguna razón. El espécimen que presentamos en el segundo vídeo resulta especialmente molesto para el usuario infectado, puesto que bloquea toda ejecución de cualquier programa, advirtiendo de que el fichero (ficticiamente) está a su vez infectado por nombres y descripciones reales de virus, tomados de Kaspersky.

El rogueware se ha convertido en toda una especialidad dentro del malware hoy en día. Se trata de troyanos (normalmente para Windows) que imitan antivirus u otro tipo de software con el fin último de robar a la víctima que queda infectada, obligándole a pagar con su tarjeta de crédito por un producto inútil. Habitualmente asustan al infectado con mensajes de infecciones ficticias.

Esta pieza simula ser un antivirus llamado "Security Tool", con una apariencia muy profesional. Bloquea la ejecución de todos los programas del sistema (incluso de sí mismo, en el caso de que volviera a ejecutarse) exceptuando Internet Explorer. Esto implica que no es posible lanzar el administrador de tareas, lo que hace más "complejo" el poder deshacerse de él. Otro dato interesante es que utiliza nombres y descripciones de virus reales... algunos históricos.

Invitamos al lector a visualizar el vídeo alojado en YouTube (6 minutos).



Curiosidades:

* Dice encontrar en el sistema virus con nombres como DOS.Fire.2682 (de 1998), Virus.DOS.Lemena.3544 (1997), Backdoor.WinCE.Brador.a (de 2004 y sí, para WindowsCE...), Virus.DOS.Guevara.1918 (1997), Vipdataend.ij (2006)... Todos reales.

* Las descripciones que acompañan a las supuestas infecciones también son reales, y están sacadas de http://www.securelist.com de Kasperksy.

* Cada vez que se lanza un ejecutable, es bloqueado y se muestra un mensaje con el siguiente texto (poniendo como ejemplo la calculadora):

"Calc.exe infectado [NOMBRE REAL DE VIRUS HISTÓRICO]. Este virus gusano intenta de enviar los datos de su tarjeta de crédito, usando calc.exe para conectarse a un host distante."

* El programa copia sus archivos al directorio: C:\Documents and Settings\[usuario]\Configuración local\Datos de programa (en el caso de XP).

* El instalador genera un .bat con nombre aleatorio para su instalación:
C:\Documents and Settings\usuario\Configuración local\Temp

<-- Contenido del BAT -->
:try
del C:\DOCUME~1\usuario\ESCRIT~1\rouge.exe
if exist C:\DOCUME~1\usuario\ESCRIT~1\rouge.exe goto try
del C:\DOCUME~1\usuario\MENINI~1\PROGRA~1\SECURI~1.LNK
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v rouge /f
start C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\519477~1.EXE -i
del C:\DOCUME~1\usuario\CONFIG~1\Temp\61861407.bat
<-- Fin del contenido del BAT -->

* Para asegurar su autoejecución en cada reinicio se añade bajo la siguiente clave de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

* Para eliminarlo, el truco consiste en renombrar al administrador de tareas al único proceso que permite iniciar en el sistema.

1) Renombrar el taskmgr.exe a iexplore.exe y matar el proceso del rogueware (que consistirá en un nombre numérico aleatorio con extensión .exe)

2) Borrar las claves de registro que hagan referencia a este malware.

3) Borrar los ficheros en la carpeta de datos de programa.


Sergio de los Santos
ssantos@hispasec.com
Alejandro Gomez
agomez@hispasec.com


Más información:

Análisis en VirusTotal
http://www.virustotal.com/file-scan/report.html?id=6c98b43081a5421d42d8c68049bfa0391bd70db6e254d050e7dd55646f1c7df6-1282919793

No hay comentarios:

Publicar un comentario en la entrada