• Viernes 8 de Noviembre de 2024, 15:48

Autor Tema:  Virux  (Leído 1810 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Virux
« en: Viernes 13 de Febrero de 2009, 15:01 »
0
Información extraida de Alerta Antivirus

Datos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:13-02-2009
Última Actualización:13-02-2009
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:   Alto
Nombre completo: Virus.W32/Virux
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:PE_VIRUX.A (Trend Micro), Win32/Virut.E (AhnLab), Win32/Virut.17408.A virus (Computer Associates), Win32.Virut.56 (Doctor Web), W32/Virut.AI (FRISK Software), Virus:Win32/Virut.BM (Microsoft), W32/Scribble-A (Sophos)
Detalles
Método de Infección/Efectos

El virus crea el evento Vx_5. Ajustando los privilegios del sistema para darse a sí mismo privilegios de depuración (debug).

Se inyecta en el proceso WINLOGON.EXE. Creando un hilo de ejecución para ejecutar su rutina de puerta trasera y deshabilitar la protección de archivos de Windows.

Crea la siguiente entrada de registro:

Clave: HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionExplorer
Valor: "UpdateHost = "{valor binario aleatorio}""

También crea la siguiente entrada de registro para evitar el cortafuegos de Windows:

Clave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess

ParametersFirewallPolicyDomainProfileAuthorizedApplicationsList

Valor: "??%System%winlogon.exe = "??%System%winlogon.exe:*:enabled:@shell32.dll,-1""

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

Esta rutina permite hacer descargas desde el servidor IRC al que se conecte.

Puede deshabilitar el System File Checker(SFC) del sistema. SFC es una característica de seguridad para Windows, para revertir modificaciones no autorizadas realizadas en archivos críticos del sistema. Deshabilitar este servicio SFC permite a este virus infectar archivos críticos del sistema y/o aplicaciones.

El virus infecta los archivos del sistema añadiendo su código. Mapea NTOSKRNL.EXE en memoria para permitirse a sí mismo enganchar los procesos de creación de APIs.

Infecta archivos del siguiente tipo:

    * .EXE
    * .SRC

No infecta archivos que contengan las siguientes cadenas de carácteres en su nombre:

    * OTSP
    * WC32
    * WCUN
    * WINC

No infecta archivos con las siguientes características:

    * archivos .DLL
    * archivos PE con una sección llamada "_win"
    * archivos ejecutables MZ con una marca de infección en el offset 0x20 o 0x1c

Infecta archivos de secuencias de comandos si la extensión es:

    * .ASP
    * .HTM
    * .PHP

Una vez que encuentra un archivo de sencuencia de comandos crea una marca para infectarlo con un iFrame. Abre los archivos marcados y comprueba que exista una cierta cadena de caracteres. Si encuentra la cadena infecta el archivo.

Busca la cadena </BODY> en un archivo de secuencia de comandos. Si la encuentra, infecta el achivo insertando código iFrame malicioso con el siguiente códgigo:

 <iframe src="http://[eliminado].pl/rc" with=1 height=2 style="border:0"></iframelt>

Los archivos infectados son localizados como copias del virus y los archivos de secuencia de comandos como HTML_IFRAME.NV.

Monitoriza la siguientes APIs para conectar todas las instancias de NTDLL.DLL

    * CreateFile
    * CreateProcess
    * CreateProcessEx
    * OpenFile
    * QueryInformationProcess

Esta API es utilizada para ejecutar o acceder al archivo, así un fichero será infectado si es ejecutado o leído.

Infecta los archivos ejecutables de varias formas: Anexándose al principio del fichero ejecutable, anexándose al final, introduciendo sus tipos de código en las partes sin contenido del fichero (conocido por infección de cavidad) o por ocultación del punto de entrada (del inglés, Entry Point Ofuscation, EPO). También usa una rutina de encriptación multicapa.

Se conecta a uno de los siguientes servidores IRC usanco el puerto 80:

    * [eliminado]f.pl
    * [eliminado].ircgalaxy.pl

Esta rutina se ejecuta cada 30 segundos, generando un NICK y USER aleatorio por cada intento.

Una vez conectado, se une a un canal que recibe y ejectua comandos en el sistema afectado, por lo que el ordenador infectado puede llegar a funcionar como una BotNet.

El atacante remoto ejecuta comandos en el sistema infectado para descargar y ejecutar código maliciosos de las siguietes URL:

    * http://[eliminado].cn/ex/0032.exe - detectado como TROJ_INJECTOR.AR

Esta rutina efectivamente compromete el sistema de seguridad del sistema afectado. La URL a la que se conecta, y el malware descargado puede cambiar dependiendo de las solicitudes del usuario remoto.

El virus modifica el archivo HOST, insertando la siguiente entrada al principo del fichero

    * 127.0.0.1 [eliminado]F.pl

NOTA: El fichero "Hosts" normalmente se encuentra ubicado en "%System%driversetc".
Método de Propagación

El virus se propaga dejando copias de sí mismo en varios ficheros ejecutables .EXE y .SCR.

Puede llegar al sistema al ejecutar un fichero infectado, o desde Internet al visitar una página Web que contiene un iframe que enlaza a una página maliciosa.
El pasado son solo recuerdos, el futuro son solo sueños