Nuevas versiones del malware de la policía y cómo eludirlas

Nuevas versiones del malware de la policía y cómo eludirlas

http://feedproxy.google.com/~r/hispasec/rhmq/~3/GKONrIfTlUE/nuevas-versiones-del-malware-de-la.html

Sí,
el
virus de la policía sigue activo e infectado a usuarios. Lo interesante es
que continúa evolucionando. Veremos en esta entrada qué novedades traen las últimas versiones, y cómo recuperar el control
del sistema de manera muy sencilla si ha quedado infectado.

El malware
de este tipo que secuestra el sistema, parece dar pasos en falso. A veces avanzan
las técnicas de manera muy efectiva, y otras simplemente empeoran la
efectividad de su producto. Veremos ahora algunos ejemplos.

La nueva moda es distribuir este
tipo de troyanos en forma de DLL.
Una librería de Windows no es más que un ejecutable, en realidad. De hecho, su “magic number” es el mismo, MZ.
¿Cómo se ejecuta una DLL? Existen dos formas, con regsvr32.exe (pasándole como
parámetro la DLL)
o con rundll32.exe, pasándole como parámetro la DLL y además, una función que se encuentre
dentro.

¿Y si no conocemos la función
dentro de la DLL?
No importa. Se invocará al main (la rutina de iniciación principal) de la DLL y ejecutará su código
igualmente. Por tanto, realmente el segundo parámetro de rundll32, en este
caso, da igual. Para una víctima, esto es irrelevante puesto que todo el código
(sea en forma de ejecutable o DLL) se ejecutará
a través de vulnerabilidades.

Una vez lanzado el malware, se
copia a la carpeta de inicio del usuario. En ella introduce un enlace (.lnk)
que apunta al lanzamiento de la
DLL.

No os dejéis engañar por la
extensión (modificada por el troyano). Police.exe sigue siendo una DLL, no un
ejecutable. Posicionándose en la carpeta de inicio, es fácilmente eludible,
puesto que simplemente se puede arrancar con otro usuario o bien en modo a
prueba de fallos. Pero veremos otra manera de eludir el troyano más adelante.

¿Por qué distribuirse en forma de DLL?

Puede tratarse de un intento de despiste para los antivirus. Al ser
lanzado como parámetro de un programa legítimo (rundll32.exe, que seguro se
encuentra en las listas blancas de todos los motores), cabe la posibilidad de
que algún antivirus se “relaje”.
Una vez en memoria, el troyano estará a salvo del antivirus.

Otra razón que se nos ocurre es
por intentar evitar las sandboxes
que ejecutan automáticamente malware. Casas antivirus, investigadores, sandoboxes
públicas, etc, suelen contar con máquinas que lanzan automáticamente los
ejecutables con la idea de estudiarlos y tener una primera aproximación del
comportamiento de la muestra. Si es sospechoso pasa a un análisis manual. En
principio, una DLL con extensión de ejecutable daría error de ejecución, y por
tanto se tomaría de forma automática como ejecutable corrupto, a no ser que el
sistema esté específicamente diseñado para comprobar que se trata de una DLL y lanzarla
como tal, cosa que no ocurre normalmente……

Internet Explorer en modo kiosko, cómo eludirlo

Una vez lanzado el malware,
encontramos otra novedad. Ahora, en vez de mostrar una aplicación sin bordes
que ocupe toda la pantalla, o un BMP que impide acceder al escritorio, se
cierran todas las aplicaciones abiertas y se
lanza un Internet Explorer en modo kiosko. Esta es una opción legítima del
navegador, diferente a pantalla completa, que permite navegar sin acceso al
sistema y con muchas otras restricciones. Cualquiera puede probarlo lanzando en
el sistema el comando:

C:\Program Files\Internet
Explorer>iexplore.exe -k

Desde este punto, escapar del
troyano se reduce a intentar escapar del
modo kiosko. El troyano, aunque intenta restringir de varias formas el acceso
a la máquina, no lo consigue. De hecho, es perfectamente posible escapar con
sencillos pasos. Algo que que se puede hacer es desconectar la máquina de Internet,
para que la visita a la web que aloja la imagen que bloquea el sistema no pueda
ser accedida. De esta manera Internet Explorer dará un error de conexión. En XP, por ejemplo, se puede aprovechar el
diagnóstico de conexión, en el apartado de más información.

Aunque, a causa de las
restricciones impuestas por el troyano, no se podrá acceder al disco
libremente.

Aun así, poco después de aparecer
este error, Internet Explorer dejará de funcionar, se podrá recuperar el
escritorio.

En Windows 7 todavía es más sencillo. Se puede usar por ejemplo el
menú contextual del envío de correo por Mail.

Y, en ese nuevo navegador, ir
hacia c:\windows\system32 y ejecutar un explorador.

Más información:

una-al-dia (21/06/2011) Vídeo:
Troyano secuestra el ordenador en nombre de la policía nacional acusando al
usuario de terrorista zoofílico

http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html

una-al-dia (28/02/2012) Vuelve el
troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html

una-al-dia (02/03/2012) El virus
de la policía “evoluciona” e impide el acceso en modo seguro

http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html

una-al-dia (06/03/2012) Más
información sobre el virus de la policía

http://unaaldia.hispasec.com/2012/03/mas-informacion-sobre-el-virus-de-la.html

una-al-dia (09/03/2012) El
malware de la policía aprovecha un exploit de Java “in-the-wild” y el
secreto su “éxito”

http://unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un.html

una-al-dia (18/03/2012)
WhitePaper: Estudio técnico del troyano de la policía

http://unaaldia.hispasec.com/2012/03/whitepaper-estudio-tecnico-del-troyano.html

Sergio de los Santos

ssantos@hispasec.com

Twitter: @ssantosv

Sent by gReader

Anuncios
Esta entrada fue publicada en security. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s