XDocCrypt/Dorifel. ¿Hacia la unión del troyano bancario y ransomware? (I)

XdocCrypt/Dorifel está escrito en Delphi. Delphi es el lenguaje preferido de los creadores de malware brasileños, aunque este no parece el origen de Dorifel. Lo que caracteriza a este malware técnicamente es interesante.

Inyecta su código en ficheros Word y Excel. Los cifra y los convierte en ejecutables. Simplemente crea un nuevo fichero que contiene una primera parte que es el malware en sí. Luego el delimitador [+++scarface+++] y a continuación el fichero Word o Excel cifrado con RC4, y con la clave (hasta ahora) \x0d\x0a\x05\x0f\x59\x7b\x38\x5a\x5b\x36\x31\x69\x7e\x0d\x0d\x09.

Todo esto (código más el contenido cifrado del documento) lo guarda como un ejecutable con extensión .scr. Pero con una salvedad, y es que usa un «viejo truco«. Se ayuda de un carácter especial de la codificación Unicode. Unicode implementa una serie de códigos especiales llamados «Right to Left» (RTL). A todo lo escrito a partir de ese código Unicode, se le «dará la vuelta» cuando es representado, además de que el código en sí es invisible. Por ejemplo el malware crea un archivo «Presupuesto[U+202E]sxl.scr» (con extensión real .scr, o sea, ejecutable y carácter Unicode 202E insertado) que en el explorador aparecerá como «Presupuestoscr.xls«. De esto hablamos hace algún tiempo aquí (con ejemplos prácticos).

Además busca documentos en todas las unidades de red y fijas conectadas al sistema. Evita la unidad de sistema c:\, mirando que exista «System Volume Information«. Esto quiere decir que en las unidades donde exista ese directorio, no buscará documentos (lo que puede suponer un truco para evitar su expansión).

Se asegura su supervivencia creando en la rama del registro:

Un enlace al programa en la clave «Load«. (WinLockLess lo hubiera impedido).

Contacta con un centro de control remoto, pero por ahora no devuelve comandos. Esto da un indicio (veremos otro más) de que puede tratarse de una especie de ensayo.

Para recuperar los documentos, se pueden emplear multitud de herramientas que han creado las casas antivirus.

Esta es la parte más curiosa. Parece que el malware no ha aparecido principalmente como habitualmente ocurre: aprovechando alguna vulnerabilidad o a través de una campaña de spam en la que se le pide al usuario ejecutar un fichero (que también). Parece que ha sido otro malware el que lo ha descargado y lanzado en el sistema. En un principio solo los infectados por una variante de Citadel se han visto afectados por Dorifel.

Por tanto, la empresa (ha afectado principalmente a empresas) o usuario que haya visto sus documentos cifrarse mágicamente, probablemente tenga un problema más serio aún del que aparenta… podría haber estado infectado previamente por Citadel, un malware de la categoría de Zeus que le ha podido robar datos bancarios y que, obviamente (ha instalado otro malware) controla su equipo.

¿Cuál es el propósito de Dorifel? Lanzamos alguna teoría en la próxima entrega.

Inside a ‘Reveton’ Ransomware Operation

Práctico: Cómo ocultar las extensiones de ficheros gracias a la codificación Unicode.

 XDocCrypt/Dorifel – Document encrypting and network spreading virus

Sergio de los Santos

Twitter: @ssantosv