This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

W32/VBNA-X se propaga rápidamente a través de redes y medios extraíbles

Filed Under: Botnet, Featured, Malware, SophosLabs, Windows

INF icon SophosLabs investigadores han notado un aumento significativo en la propagación de malware que llamamos W32/VBNA-X (entre otros nombres).

Varios otros proveedores, incluyendo McAfee (W32/Autorun.worm.aaeb) y Symantec (W32.ChangeUp), han venido alertando a sus clientes también. Mientras que los componentes básicos de este malware ha estado alrededor por algún tiempo, se ha vuelto mucho más agresivo en su última iteración.

Infección

W32/VBNA-X es un gusano, sino que también presenta características típicamente encontradas en un troyano. Su método más obvio de difusión parece ser a través del uso de los archivos autorun.inf lanzadas sobre los medios extraíbles y acciones de escritura de la red.

Uno esperaría que esta técnica no sería muy eficaz en los ordenadores de hoy en día, sin embargo. Microsoft lanzó actualizaciones para XP, 2003 y Vista en febrero de 2011 para deshabilitar la ejecución automática en todos los medios de comunicación aparte de "discos brillantes."

Todavía no es una mala idea para deshabilitar Autorun / Autoplay más completo, lo que es bastante fácil de hacer de acuerdo con Microsoft, instrucciones , que incluyen un "FixIt".

La mayoría de los PCs hará caso de los archivos autorun.inf en estos días, así que la gente debe hacer clic en el propio programa malicioso, pero ¿por qué?

Parece ser un cóctel de ingeniería inteligente social, ajustes predeterminados pobres y negligencia del usuario.

Después de crear el archivo autorun.inf para las víctimas sin parches, comienza a enumerar todos los nombres de archivo y carpeta en las acciones de escritura y dispositivos extraíbles.

Por ejemplo, supongamos que su disco E: es un recurso compartido de red con carpetas denominadas au yr y archivos con nombre as.txt y Adobe.pdf.

Creará todos ellos tengan el atributo oculto y establecer una clave del registro para asegurar que los archivos ocultos no se muestran.

A continuación, se crean copias de sí mismo llamado Porn.exe, Sexy.exe, Passwords.exe y Secret.exe además de crear una copia de sí mismo para cada archivo legítimo y actual carpeta en el volumen.

Los duplicados de las carpetas y archivos originales tendrán sus iconos establecido en el icono de carpeta estándar en Windows 7.

Captura de pantalla de recurso compartido de archivos infectados

Resultar

En esta captura de pantalla se pueden ver las carpetas originales en la parte superior que muestra sus iconos de Windows XP y los más clonados / troyanos con los iconos de Windows 7 más abajo.

El malware parece dar por supuesto que no se muestran las extensiones, que es el valor por defecto en todas las versiones de Windows.

Infected file share with extensions and hidden files shown Puedo ver fácilmente cómo la gente navegando por los archivos compartidos y unidades USB accidentalmente haga clic en la carpeta equivocada, especialmente si las carpetas reales se establecen en oculto.

Si nos muestre las extensiones y ver todos los archivos ocultos vemos un cuadro muy diferente.

Además de los archivos originales y sus impostores también hay archivos llamados .. exe y ... exe. El malware también se conoce para escribir un archivo de cero bytes llamado x.mpeg, aunque no lo hizo en este caso de prueba.

El malware se copia en el perfil del usuario con un nombre de archivo aleatorio y agrega una clave de registro para iniciar el malware en el arranque.

Algunas variantes son conocidas para desactivar Windows Update para evitar que la víctima reciba un parche o instrucciones actualizadas que podrá desactivarlo.

W32/VBNA-X también es polimórfico por lo que las sumas de comprobación SHA1 variar para algunos de los archivos:

 30582368427f752b7b6da4485db456de915101b2 SHA1 para Porn.exe
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 SHA1 para Sexy.exe
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 SHA1 de todo el resto 

Las claves de registro creado:

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% - Para la persistencia

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 - Para desactivar las actualizaciones

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 - Asegurar los elementos ocultos permanecer oculto 

Usted está infectado, ¿ahora qué pasa?

Estas muestras de seguir el procedimiento operativo estándar para el malware moderno. Una vez cargados los contactos W32/VBNA-X un comando y control (C & C) del servidor para recibir instrucciones para cargas útiles más para descargar.

El malware intenta contactar con el C & C en el puerto 9003 mediante HTTP, aunque McAfee ha informado de ver muestras de conexión al puerto 9004 también.

Muchos de los nombres DNS se aloja en el ddns #. Espacio de dominio eu, pero toda la lista es bastante extensa. Los administradores que desean controlar las infecciones podría controlar sus registros de cortafuegos para las conexiones a los puertos 900 [0-9].

Una vez que el servidor C & C se pone en contacto un comando y URL se pasa de nuevo al malware dándole instrucciones para descargar una carga útil llamado google.exe que se coloca en el directorio del perfil de los usuarios.

Los casos que investigamos descargar troyanos bancarios pertenecientes a la familia de Zeus / Zbot, pero con frecuencia se puede cambiar según la hora del día o de la ubicación geográfica.

Asesoramiento

Además de mantener su antivirus actualizado, hay varias cosas que usted puede hacer y se puede tener en cuenta.

  • Garantizar la ejecución automática está totalmente incapacitado en todos los sistemas operativos Windows.

  • Asegúrese de que sus imágenes estándar de Windows y las políticas de grupo se configura para mostrar las extensiones de archivo y los archivos ocultos.
  • Restringir los permisos de escritura a los archivos compartidos para permitir el acceso sólo cuando sea absolutamente necesario
  • Bloquear todas las conexiones salientes a puertos desconocidos y servicios en el portal de acceso y firewalls cliente.
  • Asegúrese de que las tecnologías de detección de comportamiento están habilitadas en su producto antivirus para detectar la adición de esquemas de persistencia de malware y la manipulación de actualización y configuración de antivirus.
Sophos Anti-Virus en todas las plataformas detecta y bloquea los diversos componentes de este malware de la siguiente manera:

* W32/VBNA-X: Detección específica para este fin (variantes incluyen W32/VBNA-U, W32/VBNA-Z, W32-VBNA AA-y W32/VBNA-AB)
* Mal / SillyFDC-Z detecciones de gusanos genéricos para archivos Autorun.inf (variantes incluyen Mal / Autorun-AX, W32/SillyFDC-IP y W32/AutoInf-DI)
* Troj / Tepfer-E cargas troyanos detectados en relación con este malware (variantes incluyen Troj / VB-GFM, W32/SillyFDC-IP y Mal / SillyFDC Z-)
* HIPS/RegMod-009 detección proactiva y la prevención de las modificaciones del registro y la persistencia

* Los clientes que utilicen Sophos Web Protection se impedirá el acceso a dominios se sabe están involucrados con este malware

Me gustaría extender un agradecimiento especial a todo el equipo de SophosLabs Vancouver y en especial Mike Wood, Peter Szabo y Lau Savio para pasar tanto tiempo extra para compartir esta información con nuestros lectores.


You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.