Nueva amenaza que roba información confidencial
Diciembre 8, 2009 4:31 pmEn los últimos días hemos observado la propagación de una nueva amenazas desarrollada en Rusia pero con impacto en la región de América Latina. Se trata de un nuevo troyano detectado por ESET NOD32 como Win32/Spatet.A (la “A” indica que es la primera versión) y que busca robar información sensible.
Entre sus objetivos se encuentran las contraseñas utilizadas en el sistema operativo y particularmente en las conexiones del tipo RAS (Remote Access Service, en español Servicio de Acceso Remoto). Mediante una conexión de este tipo un usuario remoto puede conectarse a una red corporativa y por lo tanto este troyano representa un riesgo alto para las organizaciones que utilizan este tipo de conexiones.
La aplicación mencionada obtiene usuarios y contraseñas del sistema:
Luego escribe los datos obtenidos en un mutex que mas tarde enviara a la URL http://imagehost4u.[ELIMINADO].pl. Los objetos mutex se utilizan para proteger recursos compartidos desde accesos simultáneos desde múltiples threads o procesos.
EL malware queda residente en el sistema inyectando código en el proceso explorer.exe y monitoreando al usuario desde svchost.exe, como servicio de sistema:
Si se realiza una búsqueda de strings en el código del archivo dañino, podemos encontrarnos que también ¡tiene Copyright!
Una búsqueda posterior nos dice que son un grupo de usuarios rusos dedicados a desarrollar malware.
También podemos notar que las funciones y técnicas de evasión en este malware no están demasiado ofuscadas y es fácil comprender su objetivo:
En resumen, este es un malware dedicado a obtener información sensible de su víctima utilizando técnicas como keylogging y el análisis de archivos de contraseñas del usuario que luego los envía al delincuente, continuando residente en el sistema para seguir con su ciclo de vida.
Juan Sacco
Analista de Malware
Promedio: 1.76
14-12-2009 a las 6:31 pm
Hola Juan. Te agradezco que me hayas respondido. Me quedan un par de dudas:
1) Se lo que es un mutex (y de hecho hablando de Windows nos referimos a a un tipo de objeto de kernel, no a un algoritmo. Pero no responde mi pregunta… no se pueden enviar datos a un mutex, los objetos mutex son el equivalente a los locks de Unix y tienen solo dos operaciones, adquirir o liberar. Quizas te refieras a que hay un buffer de memoria compartida cuyo acceso esta serializado por el mutex?
3) Uno de los usos posibles de un mutex es crearlo con nombre (para que sea accesible desde otros procesos) y testear la presencia del mutex para saber si ya esta siendo ejecutada una instancia del mismo proceso. Aqui hay un ejemplo (ver el comentario, no el articulo que esta mal) http://www.codeproject.com/Messages/718238/Another-approach-using-mutexes.aspx
2 y 4) Comprendo, no me habia quedado claro leyendo el articulo.
14-12-2009 a las 11:16 am
Hola Tomas,
1) Los mutex son algoritmos de exclusión mutua (comúnmente abreviada como mutex por mutual exclusión) se usan en programación concurrente para evitar el uso simultáneo de recursos comunes, como variables globales, por fragmentos de código conocidos como secciones críticas.
2) Tiene relación indirecta con el log de RAS, pero no fue incluido el código del keylogger por motivos de espacio.
3) Los mutex no se pueden usar de otra forma. Son la forma más común de implementar la sincronización de threads y de proteger datos compartidos cuando acontecen multitud de escrituras sobre esos datos compartidos.
4) Al inyectar código en Explorer.exe y hacer un Hook a la API CreateProcess que a su vez inyecte el código en todo proceso que se cree, para así controlar procesos lanzados por otros procesos.
Para aclarar tus dudas sobre los mutex, te recomiendo leer: http://msdn.microsoft.com/en-us/library/ms686927%28VS.85%29.aspx
Saludos
Juan Sacco
Analista de Malware
13-12-2009 a las 9:35 pm
Hola Nicolas,
ESET NOD32 elimina el malware.
Cristian
12-12-2009 a las 11:52 pm
Hay algunas cosas que no entiendo.
1) Como es eso de “enviar datos” a un mutex? No sera parte de una URL lo que estamos viendo? Ademas hay otro string similar que dice “update”, eso parece ser un sistema de actualizacion del virus, seria interesante ver como funciona eso…
2) Como funciona exactamente el keylogger? Tiene relacion con el capturador de passwords de RAS?
En todo caso el codigo que se muestra aqui lo que esta haciendo es tomar dos punteros a variables locales en una funcion y verificando que no sean NULL – que por definicion es imposible, esto nos dice que el programador sabe mas bien poco de C.
3) Si realmente hay un mutex, mas probablemente sea para evitar que se ejecute mas de una instancia del virus en la misma maquina. De ser asi, estaria bien saber que nombre tiene el mutex, porque es una forma sencilla de detectar el virus en memoria.
Ademas queria agregar un comentario, el codigo de inyeccion que se muestra en verdad esta creando una instancia nueva de explorer.exe, no se esta inyectando a una instancia que ya exista. Eso me llama la atencion, puede ser que debajo de eso haya alguna llamada a WriteProcessMemory por ejemplo?
Un saludo.
12-12-2009 a las 2:25 pm
yo tengo ese viru y e echo hazta lo imposible por tratar de eliminarlo alguien me podria decir como porfavor
11-12-2009 a las 10:43 am
Hola Alicia,
Tal y como menciona Juan en el post, este malware es detectado y eliminado por ESET NOD32 como Win32/Spatet.A.
Cristian
11-12-2009 a las 12:30 am
Hola Cristian, muchas gracias por tu respuesta. Los consejos que dan habitualmente los tengo claros, pero yo me refería a este malware en particular.
10-12-2009 a las 5:36 pm
Hola Alicia,
Cada día desde aquí damos consejos para eso y también te recomendamos que utilices ESET NOD32 como antivirus.
Cristian
10-12-2009 a las 12:42 pm
Ver cómo funcionan estos malwares es muy interesante. Pero me gustaría saber qué podemos hacer para evitar infectarnos. Y si ya lo estamos cómo eliminar la alimaña. Muchas gracias