This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

W32/VBNA-X se espalha rapidamente através das redes e mídias removíveis

by Chester Wisniewski on November 30, 2012 | Leave a comment

Filed Under: Botnet, Featured, Malware, SophosLabs, Windows

INF icon SophosLabs pesquisadores notaram um aumento significativo na propagação de malware que chamamos W32/VBNA-X (entre outros nomes).

Vários outros fornecedores, incluindo McAfee (W32/Autorun.worm.aaeb) e Symantec (W32.ChangeUp), têm vindo a alertar seus clientes também. Enquanto os componentes básicos deste malware foram em torno de algum tempo, tornou-se consideravelmente mais agressivo em sua última iteração.

Infecção

W32/VBNA-X é um verme, mas também exibe características tipicamente encontrados em um Trojan. Seu método mais óbvio de espalhar parece ser através do uso de arquivos autorun.inf caiu em uma mídia removível e compartilhamentos de rede graváveis.

Você esperaria que esta técnica não seria muito eficaz em PCs de hoje, no entanto. A Microsoft lançou atualizações para o XP, 2003 e Vista, em fevereiro de 2011 para desabilitar o Autorun em todas as mídias além de "discos brilhantes."

Ainda não é uma má idéia para desabilitar o Autorun / Autoplay mais completamente, que é bastante fácil de fazer conforme a Microsoft instruções , que incluem uma "FixIt".

A maioria dos PCs vai ignorar arquivos autorun.inf estes dias, para que as pessoas devem ser clicando sobre o malware em si, mas por quê?

Parece ser um coquetel de engenharia social inteligente, as configurações padrão pobres e descuido do usuário.

Depois de criar o arquivo autorun.inf para as vítimas sem correção, ele começa a enumerar todos os nomes de arquivos e pastas em partes graváveis ​​e dispositivos removíveis.

Por exemplo, dizer que a sua unidade E: é um compartilhamento de rede com pastas nomeadas au e r e arquivos nomeados as.txt e Adobe.pdf.

Ele irá definir tudo isso para ter o atributo oculto e definir uma chave de registro para garantir que os arquivos ocultos não são exibidos.

Em seguida, ele irá criar cópias de si mesmo chamado Porn.exe, Sexy.exe, Passwords.exe e Secret.exe além de criar uma cópia de si mesmo para cada arquivo legítimo e presente pasta no volume.

As duplicatas das pastas e arquivos originais terão seus ícones definido para o ícone de pasta padrão no Windows 7.

Captura de tela do compartilhamento de arquivos infectados

Resultar

Nesta tela você pode ver as pastas originais no topo mostrando seus ícones do Windows XP e os clonados / trojan com o Windows 7 ícones mais abaixo.

O malware parece assumir que você não está mostrando as extensões, que é o padrão em todas as versões do Windows.

Infected file share with extensions and hidden files shown Eu posso facilmente ver como as pessoas vendo compartilhamentos de arquivos e drives USB pode acidentalmente clicar na pasta errada, especialmente se as pastas reais são definidos como ocultos.

Se nós mostrarmos a extensões e ver todos os arquivos ocultos vemos um quadro muito diferente.

Além dos arquivos originais e seus impostores também existem arquivos chamados .. exe e ... exe. O malware também é conhecido por escrever um arquivo byte zero chamado x.mpeg, apesar de não fazê-lo neste caso teste.

O malware se copia para o perfil do usuário usando um nome de arquivo aleatório e adiciona uma chave do Registro para iniciar o malware na inicialização.

Algumas variantes são conhecidos para desabilitar o Windows Update para impedir a vítima de receber um patch ou instruções atualizadas que podem desativá-lo.

W32/VBNA-X é também polimórfico para o SHA1 checksums variar para alguns dos arquivos: 

 30582368427f752b7b6da4485db456de915101b2 SHA1 para Porn.exe
7ff75f92c5461cc221cb3ab914592bd2a5db6e15 SHA1 para Sexy.exe
d71a89c085ffbb62f4e222fb2f42d7e2271e4642 SHA1 de todo o resto

As chaves do Registro criado: 

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun%random% %UserProfile%%random% /%randomletter% - Para a persistência

HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU NoAutoUpdate = 1 - Para desativar as atualizações

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden = 0 - Para garantir itens escondidos ficar escondido

Você está infectado, agora o que acontece?

Estas amostras de seguir o procedimento operacional padrão para o malware moderno. Uma vez carregadas contatos W32/VBNA-X um comando e controle de servidor (C & C) para receber instruções para cargas adicionais para download.

O malware tenta contatar o C & Cs na porta 9003 usando HTTP, embora a McAfee informou ter visto amostras de conexão para a porta 9004 também.

Muitos dos nomes de DNS estão hospedados no espaço de domínio ddns #. UE, mas toda a lista é bastante extensa. Administradores que desejam monitorar infecções podem deseja monitorar seus registros de firewall para conexões com portas 900 [0-9].

Uma vez que o servidor C & C está em contato com um comando e URL é passado de volta para o malware instruindo-o a baixar uma carga chamado google.exe que é colocado no diretório de perfil de usuários.

Os casos que nós investigamos baixado Trojans bancários pertencentes à família Zeus / Zbot, mas pode mudar frequentemente de base na hora do dia ou da localização geográfica.

Conselho

Além de manter o seu anti-vírus atualizado há várias coisas que você pode fazer e pode assistir.

  • Certifique-Autorun é totalmente desativado em todos os sistemas operacionais Windows.

  • Certifique-se de suas imagens padrão do Windows e políticas de grupo são configurados para mostrar as extensões de arquivo e arquivos ocultos.
  • Restringir permissões de gravação para arquivar ações para permitir o acesso apenas quando for absolutamente necessário
  • Bloquear todas as conexões de saída para os portos desconhecidos e serviços em seu gateway e firewall do cliente.
  • Garantir tecnologias de detecção de comportamento são habilitados em seu produto anti-vírus para detectar adição de sistemas de persistência de malware e adulteração de atualização e configurações de anti-vírus.
Sophos Anti-Virus em todas as plataformas detecta e bloqueia os vários componentes deste malware como segue:

* W32/VBNA-X: detecção específica para este worm (variantes incluem W32/VBNA-U, W32/VBNA-Z, W32-VBNA-AA e W32/VBNA-AB)
* Mal / SillyFDC-Z detecções genéricas para vermes arquivos Autorun.inf (variantes incluem Mal / Autorun-AX, W32/SillyFDC-IP e W32/AutoInf-DI)
* Cargas Troj / Tepfer-E Tróia detectado em relação a este malware (variantes incluem Troj / VB-GFM, W32/SillyFDC-IP e Mal / SillyFDC-Z)
* Detecção proativa HIPS/RegMod-009 e prevenção para modificações no registro e persistência

* Os clientes que utilizam Sophos proteção web será impedido de acessar domínios conhecidos de estar envolvido com este malware

Eu gostaria de estender um agradecimento especial a toda a equipe de Vancouver SophosLabs e, especialmente, Mike Wood, Peter Szabo e Sávio Lau para passar tanto tempo extra para compartilhar esses detalhes com nossos leitores.


Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <pre> <q cite=""> <strike> <strong>

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski or send him an email at chesterw@sophos.com.