Escrito íntegramente en ensamblador este espécimen combina la
capacidad de infectar ficheros Windows con formato PE con la de
propagarse a través de mensajes de correo electrónico y redes locales.
Lo peor está aun por llegar, en su interior contiene varios efectos
que se disparan pasado un tiempo de la infección, entre los que
destacan el sobrescribir todos los discos duros y unidades de red a
las que tiene acceso, así como el borrado de la CMOS y la Flash BIOS
en los sistemas Win9x. En España ya se han detectado las primeras
infecciones.
¿Como podemos detectar que llega a nuestro ordenador?
Cuando de i-worms (gusanos de Internet) se trata en muchas ocasiones
podemos avisar bajo que nombre de fichero se esconde o el texto que
aparece en el asunto del mensaje donde se adjunta y autodistribuye
a través del correo electrónico. En esta ocasión el reconocimiento a
primera vista resulta algo más complicado, ya que Magistr utiliza
varias técnicas para cambiar su aspecto más superficial.
En primer lugar tanto el asunto como el cuerpo del mensaje lo
construye de forma aleatoria buscando palabras y frases que busca en
documentos (.DOC) y ficheros de texto (.TXT) del sistema infectado
(incluyendo todos los discos duros y unidades de red). Además posee
una lista interna de posibles asuntos en Español, Francés e Inglés
que puede escoger al azar. El nombre de fichero donde se esconde
también cambia ya que puede ser uno cualquiera de los que se
encuentren en el sistema y haya infectado, por lo que la única pista
que podemos tener es que se trata de un ejecutable (.EXE).
Por si fuera poco el gusano también tiene la habilidad de adjuntar
otros ficheros (.DOC, .TXT o .JS) del sistema junto con el ejecutable
infectado, de esta forma puede confundir aun más al que recibe el
mensaje y, además, implica que puede estar enviando información
sensible del usuario infectado de forma indiscriminada.
La cosa no acaba aquí, Magistr también tiene la capacidad de modificar
la dirección de respuesta del remitente, añadiendo o eliminando
caracteres, por lo que si recibimos el gusano y lo detectamos tal vez
no podamos avisar al remitente de que está infectado. En cuanto a las
direcciones de e-mail a las que se envía, el gusano es capaz de
recolectarlas de las libretas y bandejas de varios clientes de correo.
Además de la vía de propagación masiva que supone el autoenvío a
través del correo electrónico, no debemos olvidar que Magistr puede
llegar a nosotros a través de la red local o infectarnos como si de
un virus tradicional se tratara al ejecutar aplicaciones desde CDs o
discos ya contaminados.
Aun hay más…
En la descripción anterior sólo se encuentran algunas de las
características más superficiales de Magistr. En su interior nos
encontramos con un elaborado código con rutinas polimórficas y
técnicas anti-debugging que intentan dificultar su estudio.
Desde Hispasec procederemos a una segunda entrega sobre Magistr con
una descripción completa y análisis al detalle, si bien consideramos
lanzar esta primera alerta para que los usuarios tomen precauciones
al respecto.
Medidas a tomar
En primer lugar seguir la regla básica que siempre debemos tener
presente: no abrir los ficheros adjuntos en mensajes de correo
electrónico que no hayamos solicitado, en caso de duda confirmar con
el remitente antes de abrirlo. En segundo lugar, recordamos a los
usuarios de antivirus que deben mantenerlos actualizados de forma
permanente, de forma especial aconsejamos que lo hagan cuando lean
estas líneas, ya que la mayoría de las casas antivirus disponen ya
de la actualización para detectar a Magistr.
bernardo@hispasec.com
Deja un comentario