LockScreen es un código malicioso del tipo troyano ramsonware al cual hemos sometido a un proceso de análisis en nuestro laboratorio de ESET Latinoamérica,  para estudiar su comportamiento. Si bien su desarrollo no es complejo, presenta una serie de características que lo tornan molesto para el usuario, ya que puede hacer que el mismo crea que debe formatear su sistema como solución, siendo la misma mucho más sencilla.

Una vez que esta amenaza compromete el sistema operativo, lo bloquea de forma tal que impide el acceso al mismo, solicitando un número de serie para volver a su estado original (simulando un secuestro) y ofreciendo una supuesta “herramienta de recuperacion”. En la siguiente captura podemos observar el mensaje de alerta mediante el cual se bloquea el equipo,  junto a la clave que permite desbloquearlo:

La ruta donde se aloja es C:\Windows y el nombre que se le asigna al malware una vez infectado el sistema es benimServerim.Exe.

Además, escribe la siguiente clave en el registro, que le permite ejecutarse cada vez que el sistema se reinicie: HKLM\Software\Microsoft\Windows\CurrentVersion\Run benimAnahtar C:\WINDOWS\benimServerim.Exe

Una vez instalado, controla las siguientes teclas para evitar que su proceso pueda ser eliminado desde el Administrador de Tareas de Windows:

• VK_CONTROL (Control)
• VK_SHIFT (Shift)
• VK_MENU (Alt)
• VK_MBUTTON (botón del medio del mouse)
• VK_RBUTTON (botón derecho del mouse)
• VK_LBUTTON (botón izquierdo del mouse)

Al realizar un procedimiento de Ingeniería Reversa puede verse que el número de serie (visualizado previamente), está dentro del mismo ejecutable:

Este valor se compara contra la clave ingresada por el usuario utilizando la funcion Strcmp (función para comparar cadenas de caracteres). Si el valor ingresado no es el mismo que el esperado; es decir, el valor válido para desbloquear el equipo, redirecciona al usuario a una página web que ofrece la compra de un supuesto Anti-Spyware que en realidad es un rogue:

Si Ud. fue afectado por este troyano simplemente puede utilizar ESET NOD32 para eliminarlo o escribir la contraseña mencionada.

Juan Sacco
Analista de Malware

Categories: Análisis de malware, Malware
4 Comments »

En las últimas horas hemos encontrado numerosos casos de videos falsos del ataque que sufrió el Papa Benedicto XVI por parte de una mujer. Si el usuario realiza una búsqueda determinada, encontrará en las primeras posiciones de (cualquier) buscador supuestos videos que conducen al usuario a la descarga de rogue (falsos antivirus).

Si el usuario hace clic en los enlaces ofrecidos, será dirigido a un dominio desde donde se descarga un malware que ESET NOD32 detecta proactivamente como variantes del troyano Win32/Kryptik.BNZ. En caso de no contar con una protección proactiva, el sistema se infectará.

Este antivirus falso denominado Internet Security 2010 posteriormente descarga otros programas dañinos al sistema entre las que se encuentra:

• Agrega en el registro una llamada a su propio instalador en el directorio C:\Windows\System32\nombre_aleatorio.exe (es el mismo archivo descargado la primera vez).
• Agrega en el registro y en la ruta C:\Documents and Settings\All Users\Datos de programa\número_aleatorio\ un archivo ejecutable con nombre también aleatorio. En este caso se trata del adware Win32/Adware.SecurityTool.AA, el mismo propagado en el caso de Berlusconi.
• Instala un otro adware reconocido como Win32/Adware.AdvancedVirusRemover.B en los archivos temporales de Internet.
• Cuando se abre el navegador descarga una variante del troyano Win32/Daonol y también lo aloja en los archivos temporales de Internet. Este troyano monitorea el tráfico de Internet, roba credenciales de acceso y desactiva herramientas del sistema (administrador de tareas, registro, etc).
• Se instala como rootkit (otra variante Win32/Daonol) de a través de un archivo alojado en C:\Documents and Settings\Nombre_Usuario\Configuración local\Temp\nombre_aleatorio.tmp. Este programa se instala como driver en el sistema y puede ser el causante de numerosos pantallazos azules.

Luego de cada reinicio, intenta asustar al usuario mostrando el siguiente mensaje y comienza una exploración falsa del sistema:

Si su sistema se ha infectado con estas amenazas, puede utilizar ESET NOD32 para eliminarlas, como se puede ver a continuación:

La técnica de engaño utilizada para la infección es la misma que en el caso del video de Berlusconi y puede verse completo en el video de BlackHat SEO preparado por ESET Latinoamérica por ese motivo.

Cristian Borghello
Director de Educación

Categories: Alertas, Análisis de malware, Malware, Rogue
2 Comments »

En los últimos días hemos observado la propagación de una nueva amenazas desarrollada en Rusia pero con impacto en la región de América Latina. Se trata de un nuevo troyano detectado por ESET NOD32 como Win32/Spatet.A (la “A” indica que es la primera versión) y que busca robar información sensible.

Entre sus objetivos se encuentran las contraseñas utilizadas en el sistema operativo y particularmente en las conexiones del tipo RAS (Remote Access Service, en español Servicio de Acceso Remoto). Mediante una conexión de este tipo un usuario remoto puede conectarse a una red corporativa y por lo tanto este troyano representa un riesgo alto para las organizaciones que utilizan este tipo de conexiones.

La aplicación mencionada obtiene usuarios y contraseñas del sistema:

Luego escribe los datos obtenidos en un mutex que mas tarde enviara a la URL http://imagehost4u.[ELIMINADO].pl. Los objetos mutex se utilizan para proteger recursos compartidos desde accesos simultáneos desde múltiples threads o procesos.

EL malware queda residente en el sistema inyectando código en el proceso explorer.exe y monitoreando al usuario desde svchost.exe, como servicio de sistema:

Si se realiza una búsqueda de strings en el código del archivo dañino, podemos encontrarnos que también ¡tiene Copyright!

Una búsqueda posterior nos dice que son un grupo de usuarios rusos dedicados a desarrollar malware.

También podemos notar que las funciones y técnicas de evasión en este malware no están demasiado ofuscadas y es fácil comprender su objetivo:

En resumen, este es un malware dedicado a obtener información sensible de su víctima utilizando técnicas como keylogging y el análisis de archivos de contraseñas del usuario que luego los envía al delincuente, continuando residente en el sistema para seguir con su ciclo de vida.

Juan Sacco
Analista de Malware

Categories: Análisis de malware, Malware
9 Comments »

En las últimas horas ha habido un gran revuelo basado en el gusano (que no es un virus) Koobface o Knobface. Pero, ¿de qué se trata realmente Koobface? ¿vale la pena crear tanto revuelo por este gusano?

Detectado por ESET NOD32 como Win32/Koobface (un anagrama de la conocida red social Facebook) es un gusano orientado a propagarse por la red social del mismo nombre y Myspace, dependiendo de la versión que se trate. Su origen se remonta a agosto de 2008 y para nada se trata de un gusano de reciente aparición o de algo especial que las empresas antivirus deban tratar con cuidado.

Sus características son las siguientes:

• Como cualquier gusano, busca alojarse y permanecer en el sistema del usuario, controlando ciertas acciones que en este caso es el login en una de las redes sociales mencionadas y la obtención de credenciales del usuario.
• Se copia al sistema con distintos nombres según la versión analizada.
• No tiene características de rootkit o alguna otra que dificulte su remoción.
• Busca cookies y credenciales de login a las redes sociales.
• Modifica la clave RUN del registro para autoejecutarse al encender el equipo.
• Al instalarse por primera vez en el sistema, muestra un mensaje en inglés sobre la invalidez de un codec (“Error installing Codec. Please contact support”) y luego se autoelimina.
• Si el usuario ingresa a una de las redes sociales mencionadas el gusano envía un mensaje a todos los contactos del mismo, con un enlace a un Youtube falso como se ve a continuación.



• El contacto que caiga en la trampa e ingrese al sitio web verá un mensaje mencionado la falta de un codec y al descargarlo se infectará, continuando la cadena. Como puede verse este punto es el único que hace que el gusano tenga relación con una red social.

¿Por qué Koobface no representa el peligro con el cual lo anuncian?

• Koobface no es un virus, es un gusano
• Koobface no infecta redes sociales, porque eso no es posible. Como siempre, los infectados son los usuarios en dichas redes y utiliza a los contactos para continuar la propagación.
• No sólo los usuarios de Facebook deben tener cuidado, sino también los de Myspace y cualquier otra red ya que Koobface podría ser modificado en el futuro cercano.
• El gusano no representa peligro alguna para la red social.
• Cualquier antivirus actual es capaz de detectarlo y eliminarlo.
• Cualquier usuario puede darse cuenta del engaño al ver un mensaje como el mostrado en la imagen.

En este caso la noticia se está exagerando al punto de llegar a la Wikipedia y como siempre debemos tener cuidado, informarnos y no tener miedo. Facebook también ha publicado información al respecto y desde ESET Latinoamérica hemos preparado el documento Koobface, utilizando redes sociales para propagar malware en donde se analiza este malware.

Cristian

Categories: Análisis de malware, Malware
1 Comment »