Recursos afectados
Equipos con sistema operativo Windows xp, windows 7, windows 8
Solución
Para detectar si un equipo se encuentra infectado para un usuario concreto, bastaría con iniciar sesión con el mismo usuario y pulsar las teclas "Shift" + "Ctrl" + "Alt" + "F7" y comprobar si aparece una ventana que solicita contraseña. Dicha ventana es invocada por el propio virus y permite introducir una contraseña para detener las acciones del mismo en el sistema. En el caso de introducir una contraseña incorrecta 3 veces procede a apagar el equipo.
Por tanto, si se mostrara dicha ventana a la hora de pulsar la combinación de teclas descrita anteriormente, serían síntomas de infección.
Otra opción para detectar si su equipo está infectado es iniciar la utilidad de símbolo del sistema a (Inicio > Ejecutar > cmd) y ejecutar los siguientes comandos :
El segundo comando habrá que ejecutarlo en el caso de que el ordenador tenga más de una unidad: D:\, E:\, F:\, etc. Habría que cambiar la letra D:\ por la que corresponda.
En el caso de mostrar alguna salida los comandos anteriores, las cuales se corresponderían con las rutas en el sistema donde se encuentra almacenado el virus drmvclt.exe, se deberán anotar las mismas para posteriormente proceder a su eliminación.
Por tanto, si se mostrara dicha ventana a la hora de pulsar la combinación de teclas descrita anteriormente, serían síntomas de infección.
Otra opción para detectar si su equipo está infectado es iniciar la utilidad de símbolo del sistema a (Inicio > Ejecutar > cmd) y ejecutar los siguientes comandos :
- dir %SystemDrive%\ /a /b /s | findstr -i drmvclt.exe
- dir D:\ /a /b /s | findstr -i drmvclt.exe
En el caso de mostrar alguna salida los comandos anteriores, las cuales se corresponderían con las rutas en el sistema donde se encuentra almacenado el virus drmvclt.exe, se deberán anotar las mismas para posteriormente proceder a su eliminación.
Detalles
Se ha descubierto un nuevo virus que estaría programado para impedir la utilización del equipo el día 5 de Noviembre.
El virus es capaz de reproducirse a través de dispositivos extraíbles (pen drives, discos duros externos, etc.) pudiendo así infectar aquellos equipos en los que se conecta el dispositivo extraíble. Una vez infectado el equipo, el virus modifica su configuración (el registro de Windows) para garantizar su permanencia en él. Además, también es capaz de recopilar información sobre el ordenador comprometido (como por ejemplo el nombre, la fecha actual, etc.) para enviarla posteriormente a servidores remotos.
En el caso de conectar un dispositivo extraíble en un ordenador infectado (por ejemplo, un USB de almancenamiento), el virus lo infectará. Para ello, marcará todas las carpetas que encuentre en el directorio raíz del dispositivo como ocultas con el fin de que no sean visibles para el usuario. Además, creará tantas copias de sí mismo como carpetas haya encontrado manteniendo el nombre de las originales. De esta forma cuando un usuario conecte un dispositivo USB infectado en su ordenador no verá las carpetas originales sino las carpetas generadas por el virus. Estas carpetas son realmente una copia del virus (un fichero ejecutable) de forma que cuando se haga clic en alguna de ellas para ver su contenido, el virus infectará el equipo de forma totalmente transparente al usuario. Además, para evitar sospechas, una vez el usuario haga clic en la carpeta falsa, el virus mostrará el contenido del directorio legítimo.
Cuando el virus detecte la fecha del 5 de Noviembre mostrará multitud de botones de apagado en puntos aleatorios de la pantalla de forma que si el usuario pulsa en alguno de ellos el equipo se apaga. El virus también puede modificar el fondo de escritorio.
El código llega en un ejecutable llamado 5N.exe (Aunque podría cambiar). Cuando se instala, genera varios ficheros, siendo elñ principal drmvclt.exe. Este ejecutable, presenta un icono similar a una carpeta de Windows, con el fin de intentar pasar desapercibido en el equipo.
El codigo realiza las siguientes acciones:
La infección en el equipo se produce al ejecutar el fichero drmvclt.exe. Una vez ejecutado realiza las siguientes acciones en el equipo víctima:
1.- El gusano se copia a sí mismo en el sistema. El directorio depende de los permisos del usuario infectado, por lo que intenta copiarse en distintas rutas. En caso de no poder copiarse en la primera, lo intenta en la segunda, etc. Las posibles rutas en las que intenta copiarse son las siguientes (Y en este orden):
4.- Al inicio de su ejecución, el gusano recopila la siguiente información del equipo infectado:
De esta manera, si se infecta el equipo con un usuario con privilegios de administración la infección afectará a todos los usuarios que inicien sesión en el Sistema, y en cambio, si el usuario no tiene privilegios, sólo afectará a este usuario.
El archivo una vez enviado es finalmente eliminado por el propio código dañino.
Al ejecutarse, lo primero que hace el programa es comprobar si se está ejecutando en el directorio raíz de una unidad extraíble y si existe una carpeta con el mismo nombre que el archivo ejecutable, en cuyo caso abre una instancia del explorador de Windows con el contenido de dicha carpeta. Con ello el código dañino simula la apertura normal de las carpetas de los dispositivos infectados, pasando así inadvertida la infección del equipo a los ojos del usuario.
Posteriormente comprueba si ya existe otro proceso del propio código dañino ejecutándose en el sistema, en cuyo caso finaliza la ejecución. Para ello consulta los nombres de los procesos en ejecución, y los compara con las cadenas ‘drmvclt’, ‘5N’ y ‘5N.vshost’. Además, en caso de estar ejecutándose desde el directorio/carpeta raíz de una unidad extraíble, los compara también con los nombres de las carpetas existentes en el directorio/carpeta raíz de dicha unidad.
A continuación recopila la información del sistema, almacenándola en un archivo que posteriormente envía mediante FTP al servidor "ftp.drivehq.com", tal y como se explicó anteriormente.
El gusano está en todo momento monitorizando los eventos de conexión/desconexión de dispositivos extraíbles, para proceder o no a la infección del dispositivo extraíble.
El código dañino contiene una serie de temporizadores, componentes que ejecutan una función concreta cada cierto tiempo. A continuación se indican las funciones de los temporizadores más relevantes que se han encontrado dentro del código dañino:
El virus es capaz de reproducirse a través de dispositivos extraíbles (pen drives, discos duros externos, etc.) pudiendo así infectar aquellos equipos en los que se conecta el dispositivo extraíble. Una vez infectado el equipo, el virus modifica su configuración (el registro de Windows) para garantizar su permanencia en él. Además, también es capaz de recopilar información sobre el ordenador comprometido (como por ejemplo el nombre, la fecha actual, etc.) para enviarla posteriormente a servidores remotos.
En el caso de conectar un dispositivo extraíble en un ordenador infectado (por ejemplo, un USB de almancenamiento), el virus lo infectará. Para ello, marcará todas las carpetas que encuentre en el directorio raíz del dispositivo como ocultas con el fin de que no sean visibles para el usuario. Además, creará tantas copias de sí mismo como carpetas haya encontrado manteniendo el nombre de las originales. De esta forma cuando un usuario conecte un dispositivo USB infectado en su ordenador no verá las carpetas originales sino las carpetas generadas por el virus. Estas carpetas son realmente una copia del virus (un fichero ejecutable) de forma que cuando se haga clic en alguna de ellas para ver su contenido, el virus infectará el equipo de forma totalmente transparente al usuario. Además, para evitar sospechas, una vez el usuario haga clic en la carpeta falsa, el virus mostrará el contenido del directorio legítimo.
Subrutina de fecha:
.text:004022FC ; ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ S U B R O U T I N E
¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦
.text:004022FC
.text:004022FC ; Attributes: thunk
.text:004022FC
.text:004022FC ; int __stdcall GetDateFormatA(LCID
Locale,DWORD dwFlags,const SYSTEMTIME *lpDate,LPCSTR lpFormat,LPSTR
lpDateStr,int cchDate)
.text:004022FC GetDateFormatA proc near ; CODE XREF: sub_401250+2C0p
.text:004022FC ;
sub_401250+2D9p
.text:004022FC jmp ds:__imp_GetDateFormatA
.text:004022FC GetDateFormatA endp
Kernel
call:
.idata:00405238 ; int __stdcall
__imp_GetDateFormatA(LCID Locale,DWORD dwFlags,const SYSTEMTIME *lpDate,LPCSTR
lpFormat,LPSTR lpDateStr,int cchDate)
.idata:00405238 extrn
__imp_GetDateFormatA:dword
.idata:00405238 ; DATA
XREF: GetDateFormatAr
Con
esto asegura que:
Los
ataques comenzaran desde el día 5 de noviembre 2012El código llega en un ejecutable llamado 5N.exe (Aunque podría cambiar). Cuando se instala, genera varios ficheros, siendo elñ principal drmvclt.exe. Este ejecutable, presenta un icono similar a una carpeta de Windows, con el fin de intentar pasar desapercibido en el equipo.
El codigo realiza las siguientes acciones:
- Crea una serie de archivos en el sistema comprometido.
- Crea una en el registro de Windows para garantizar su permanencia en cada reinicio.
- Obtiene datos de la instalación del sistema.
- Se conecta al dominio ftp.drivehq.com para enviar la información capturada.
- Infecta todos los dispositivos extraíbles que se conecten al equipo.
- Impide la utilización normal del equipo los días 5 de noviembre.
La infección en el equipo se produce al ejecutar el fichero drmvclt.exe. Una vez ejecutado realiza las siguientes acciones en el equipo víctima:
- Se copia a sí mismo en el sistema.
- Modifica el registro de Windows para iniciarse de forma automática en el arranque del sistema.
- Infecta los dispositivos extraíbles insertados para infectar otros equipos.
- Recopila información del sistema y la manda a un servidor remoto
1.- El gusano se copia a sí mismo en el sistema. El directorio depende de los permisos del usuario infectado, por lo que intenta copiarse en distintas rutas. En caso de no poder copiarse en la primera, lo intenta en la segunda, etc. Las posibles rutas en las que intenta copiarse son las siguientes (Y en este orden):
- C:\WINDOWS\system32
- C:\Documents and Settings\All Users\
- %USERPROFILE%\
- D:\
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\"drmvclt"="[RUTA_EJECUTABLE]"
- HKCU\SOFTWARE\ Microsoft\Windows\CurrentVersion\run\"drmvclt"="[RUTA_EJECUTABLE]"
4.- Al inicio de su ejecución, el gusano recopila la siguiente información del equipo infectado:
- Nombre de equipo
- ProductId
- ProductName
- RegisteredOrganization
- RegisteredOwner
- Fecha actual
- C:\[ProductId]_[NombreEquipo].cfg
- D:\[ProductId]_[NombreEquipo].txt
De esta manera, si se infecta el equipo con un usuario con privilegios de administración la infección afectará a todos los usuarios que inicien sesión en el Sistema, y en cambio, si el usuario no tiene privilegios, sólo afectará a este usuario.
El archivo una vez enviado es finalmente eliminado por el propio código dañino.
Funcionamiento detallado
Al ejecutarse, lo primero que hace el programa es comprobar si se está ejecutando en el directorio raíz de una unidad extraíble y si existe una carpeta con el mismo nombre que el archivo ejecutable, en cuyo caso abre una instancia del explorador de Windows con el contenido de dicha carpeta. Con ello el código dañino simula la apertura normal de las carpetas de los dispositivos infectados, pasando así inadvertida la infección del equipo a los ojos del usuario.
Posteriormente comprueba si ya existe otro proceso del propio código dañino ejecutándose en el sistema, en cuyo caso finaliza la ejecución. Para ello consulta los nombres de los procesos en ejecución, y los compara con las cadenas ‘drmvclt’, ‘5N’ y ‘5N.vshost’. Además, en caso de estar ejecutándose desde el directorio/carpeta raíz de una unidad extraíble, los compara también con los nombres de las carpetas existentes en el directorio/carpeta raíz de dicha unidad.
A continuación recopila la información del sistema, almacenándola en un archivo que posteriormente envía mediante FTP al servidor "ftp.drivehq.com", tal y como se explicó anteriormente.
El gusano está en todo momento monitorizando los eventos de conexión/desconexión de dispositivos extraíbles, para proceder o no a la infección del dispositivo extraíble.
El código dañino contiene una serie de temporizadores, componentes que ejecutan una función concreta cada cierto tiempo. A continuación se indican las funciones de los temporizadores más relevantes que se han encontrado dentro del código dañino:
- TIMER1Se activa durante la carga inicial del programa. Comprueba si la fecha actual del equipo es 5 de noviembre y si el identificador de producto "ProductId "del sistema es distinto de ‘55274-641-6828477-23781’, en cuyo caso llama al proceso ‘destino_final’, que activa los temporizadores 3, 4 y 6 (Timer3, Timer4 y Timer6), reproduciendo a continuación la música que se encuentra contenida en el ejecutable de manera cíclica hasta que se apague el equipo.
Por otra parte, monitoriza si el usuario realiza la pulsación conjunta de las teclas ‘Ctrl’ + ‘Alt’ + ‘Shift’ + ‘F7’, en cuyo caso muestra una ventana de acceso en la que pide una contraseña, deteniendo el temporizador Timer5.
En caso de introducir la contraseña ‘dpmjaca’, activa Timer3, Timer4 y Timer6. En caso de introducir la contraseña ‘dpmjaca57’ se cierra el programa, y en caso de introducir 3 veces una contraseña no contemplada, procede a apagar el equipo. - TIMER2Tiene como función la de asegurarse la permanencia del código dañino en el sistema. Para ello se intenta copiar a sí mismo en las rutas ya mencionadas, e intenta crear las claves de registro necesarias para su inicio automático con el sistema.
- TIMER3Se activa cuando se cumplen las condiciones impuestas por Timer1, siendo su función la de guardar la imagen que se encuentra contenida en el ejecutable (que presenta una careta de Anonymous) en una de las siguientes rutas, según los permisos del usuario, y de sustituir el fondo de escritorio por dicha imagen.
- C:\WINDOWS\system32
- C:\Documents and Settings\All Users\
- %USERPROFILE%\
- D:\
- TIMER4Su función es la de monitorizar la lista de procesos en ejecución y eliminar todos aquellos procesos cuyo nombre sea ‘taskmgr’, cerrando así la ventana de administración de tareas de Windows. De esta manera evita que el usuario elimine y/o vea el proceso correspondiente al código dañino.
- TIMER5Tiene como función la de mostrar repetidamente botones de apagado del sistema en puntos aleatorios de la pantalla o/y en aquellos lugares donde se encuentra posicionado el puntero del ratón, de tal forma que si el usuario pulsa alguno de ellos el equipo se apaga.
- TIMER6Se encarga de iniciar y detener Timer5, así como cambiar sus intervalos de actuación de manera cíclica, provocando que los botones creados por Timer5 se generen a distintos intervalos de tiempo.
No hay comentarios:
Publicar un comentario