Ayer miércoles, 9 de enero de 2002, las principales compañías
antivirus recibieron de la mano de su autor una muestra de W32/Donut,
el primer virus diseñado para afectar archivos con formato MSIL
(Microsoft Intermediate Language) de la plataforma .NET de Microsoft.
Con esta noticia se confirma el análisis publicado hace una semana por
Hispasec en el que pronosticamos lo que nos podía deparar el futuro
más inmediato en el terreno vírico.
«De momento nos quedamos con .NET y MSIL (Microsoft Intermediate
Language) como candidatos a caldo de cultivo para una nueva generación
de virus y gusanos.», con esta frase damos por concluida la trilogía
destinada a repasar la historia moderna de los gusanos de Internet
desde sus comienzos hasta nuestros días, incluida la última entrega
dedicada a pronosticar sobre el futuro más inmediato:
01/01/2002 – Gusanos de Internet: pasado, presente y futuro (III)
http://www.hispasec.com/unaaldia.asp?id=1164
«W32/Donut» es una prueba de concepto, un virus de laboratorio, que
no afectará a los usuarios, igual que ocurre con el reciente virus
destinado a infectar los archivos de Shockwave Flash. Sin embargo,
en este caso puede ser la primera semilla de una importante corriente
de virus y gusanos para la plataforma .NET, no en vano estamos
hablando de una tecnología de Microsoft que, como suele ocurrir, se
espera termine implantándose de forma global a casi todos los niveles,
de ahí su interés.
«W32/Donut» o «dotNET», nombre original con el que fue bautizado por
su autor, Benny del grupo 29A, es un infector de archivos EXE con
formato MSIL (Microsoft Intermediate Language). En realidad el virus
aprovecha una característica de estos ejecutables que, según
Microsoft, no se encontrará en la versión final. Así en la Beta 2 de
.NET, la utilizada por el autor del virus, los ejecutables MSIL
aun mantienen 5 bytes que no son independientes de la plataforma,
encargados de llamar a la función CorExeMain() de mscoree.dll para
dar paso a la interpretación del código en MSIL.
El virus aprovecha para modificar la instrucción existente en esos
5 bytes de forma que modifica el salto para que apunte a una
dirección en la última sección del ejecutable a partir de la cual
inserta el código del virus escrito en ensamblador, que se ejecutará
como aplicación Win32. «W32/Donut» recalcula y actualiza el campo donde
se recoge un checksum de la cabecera del ejecutable, de esta forma
consigue aparecer a todos los efectos como una imagen MSIL válida.
El virus también inserta una porción de código escrito en MSIL
encargado del payload o efecto, de forma que en 1 de cada 10
ejecuciones se visualiza una ventana con el siguiente texto:
.NET.dotNET by Benny/29A
This cell has been infected by dotNET virus!
En cada ejecución el virus crea una copia temporal del ejecutable
donde está hospedado, con el mismo nombre antecedido por un espacio,
que incluye la cabecera MSIL original, sin modificar. Este archivo
es el que ejecuta después del código vírico, de forma que la
aplicación original funcionará con total normalidad.
Como vemos el virus no explota las funcionalidades propias de la
tecnología .NET, sino que aprovecha una característica puntual de
una versión BETA para hacer un virus compatible capaz de infectar
ejecutables MSIL en Windows. De todas formas es un ejemplo claro de
que los ojos están puestos en esta nueva plataforma, de ahí que es
más que probable que surjan especímenes con nuevas técnicas de
infección y propagación más optimizadas.
bernardo@hispasec.com
Más información:
Virus Targets Microsoft Web Services Software
http://news1.iwon.com/article/id/200727|top|01-10-2002::00:09|reuters.html
Virus writers take an early crack at .Net
http://investor.cnet.com/investor/news/newsitem/0-9900-1028-8424382-0.html?tag=ats
NAi – W32/Donut
http://vil.nai.com/vil/virusSummary.asp?virus_k=99300
F-Secure Donut
http://www.f-secure.com/v-descs/dotnet.shtml
Symantec – W32.Donut
http://www.sarc.com/avcenter/venc/data/w32.donut.html
Computer Associates – W32.Donut
http://www3.ca.com/virus/virus.asp?ID=10759
Sophos – W32/Donut-A
http://www.sophos.com/virusinfo/analyses/w32donuta.html
Norman – W32/Donut.A
http://www.norman.com/virus_info/w32_celt_a.shtml
Panda Software – W32/Donut
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Donut
Gusanos de Internet: pasado, presente y futuro (III)
http://www.hispasec.com/unaaldia.asp?id=1164
Virus para Macromedia Shockwave Flash
http://www.hispasec.com/unaaldia.asp?id=1171
Deja una respuesta