Virtumonde: Crónica de una muerte anunciada
Sabiendo que se puede acortar este camino ingresamos a un sitio y descargamos un archivo comprimido con la “solución”. El contenido del archivo es un ejecutable llamado patch.exe que por supuesto debemos ejecutar. Al hacerlo, nuestro programa de diseño gráfico sigue sin funcionar, la conexión a Internet se ralentiza y cientos de ventanas emergentes aparecen al navegar por cualquier sitio web. Por supuesto, no podemos terminar y entregar nuestro trabajo y el equipo debe reinstalarse para volver a su funcionamiento normal.
Al igual que en la novela de Gabriel García Márquez, “Crónica de una muerte anunciada”, la situación anterior esta tomada de la realidad, pero con diferencia de aquella no existe el realismo mágico. El “crimen” de la novela podría asemejarse con el intentar burlar una protección, o bien ser infectado por un malware. A su vez, la “muerte” podría ser la reinstalación del sistema operativo teniendo pocas opciones para salvarlo.
En esta situación puede encontrarse cualquier usuario actual, debido a que el ejemplo dado puede suceder al intentar obtener números de serie, cracks, patchs, warez, o cualquier otro tipo de programa que prometa desbloquear la protección de software con licencias, con la consecuencia de una infección al equipo del usuario.
Para demostrar el relato, a continuación se realiza el seguimiento de un caso en donde el involucrado es un conocido adware denominado Virtumonde (o Vundo, dependiendo la empresa antivirus) y que desde hace tiempo se mantiene en el ranking de las 10 amenazas mas detectadas por ESET.
Virtumonde es un adware con propiedades de spyware que fue detectado por primera vez en octubre de 2004 y desde ese momento, sus autores lo han perfeccionado hasta el punto en que actualmente es una de las amenazas más comunes de encontrar en sistemas de usuarios y también una de las más difíciles de erradicar, debido a los métodos que utiliza para mantenerse activos en el sistema de usuarios.
Hay tantos usuarios infectados como resultados devueltos por los buscadores cuando se intenta hallar una solución en Internet; son innumerables los sitios y software que prometen la limpieza y desinfección de los programas instalados. En realidad, muchos de estos sitios simplemente son nuevas amenazas que intentan engañar al usuario, logrando un efecto similar al ya descrito en “Swizzor, el más propagado y otras sorpresas” [1].
Muchas de las soluciones planteadas pueden hallarse en foros y grupos de discusión, pero lamentablemente las mismas se encuentran desactualizadas debido al dinamismo con que se actualiza Virtumonde y al modo en cómo cambia con cada nueva variante propagada.
Instalación
En el caso desarrollado a continuación, se busca un programa capaz de desbloquear un producto utilizado para diseño gráfico. Se descarga un archivo comprimido de un conocido sitio de cracks y warez, obteniendo los siguientes programas dentro del mismo:
El archivo “keygen.exe” hace referencia a un programa que genera un nombre de usuario y un número de serie válido para el software en cuestión. A continuación, se descomprime y ejecuta el mismo para generar dicha serie.
Luego de unos instantes puede observarse que en realidad no se informa sobre ningún número de serie. Lo único que puede llamar la atención en este momento es que el programa se auto-elimina luego de la ejecución y el usuario podría pensar que en realidad nada pasó en su sistema.
Sin embargo, lo que ha sucedido es que el sistema ha sido modificado en múltiples lugares y a partir de este momento el mismo comenzará a tener un funcionamiento errático entre los que se puede destacar:
Funcionamiento
La forma más común de infectarse con Virtumonde es a través de programas descargados de sitios poco confiables o destinados a intentar burlar la protección de programas protegidos.
Luego de la descarga, se procede a ejecutar el archivo sin conocer que en realidad se trata de un programa dañino. Al ejecutarse el programa, realiza una serie de modificaciones en el sistema y luego procede a auto-eliminarse, dejando como única prueba un pequeño archivoarchivo ejecutable.
Si en este momento se procede a analizar ciertos directorios del sistema comprometidos, se puede constatar que en realidad han aparecido otros archivos de bibliotecas dinámicas (.dll) y de configuración (.ini) que son utilizados por el malware para efectuar sus operaciones.
Intentar enumerar estos archivos carece de sentido, ya que los mismos pueden variar con cada infección. Este es el motivo por el cual es difícil encontrar instrucciones precisas acerca de las formas de remoción de este malware: lo que es válido para un sistema infectado no tendría por qué serlo para otro.
Por ejemplo, en la siguiente imagen, los archivos, al infectar otro sistema, varían considerablemente respecto de los anteriores:
De todos modos, y suponiendo que se conozcan los archivos involucrados, no estará permitido eliminarlos, debido a que están siendo utilizados por el sistema desde el preciso momento de su instalación.
Lo mismo que sucede con los archivos sucede con las claves del registro modificadas o agregadas en el sistema y que varían en cada versión de Virtumonde.
En este sentido, puede notarse la evolución que ha sufrido este malware en los años de vida que lleva en Internet. En sus primeras versiones, se utilizaban claves de registro normalmente utilizadas por malware de poca importancia o de nivel de desarrollo básico. En cambio, en las versiones utilizadas para el presente análisis, las técnicas de infección utilizadas son de complejidad avanzada permitiendo mantener un control muy alto sobre el sistema afectado.
Una de estas técnicas es la inyección de librerías y procesos propios del sistema operativo, de modo de permitir la ejecución continua del proceso dañino en actividades normales como pueden ser:
por eset-la
A primera hora de un día de trabajo cualquiera se nos solicita enviar unos diseños gráficos[1] a una sucursal del exterior. Abrimos nuestro software de diseño favorito y el mismo nos informa que la versión de prueba ha caducado por lo que debemos registrarlo para seguir usándolo.Sabiendo que se puede acortar este camino ingresamos a un sitio y descargamos un archivo comprimido con la “solución”. El contenido del archivo es un ejecutable llamado patch.exe que por supuesto debemos ejecutar. Al hacerlo, nuestro programa de diseño gráfico sigue sin funcionar, la conexión a Internet se ralentiza y cientos de ventanas emergentes aparecen al navegar por cualquier sitio web. Por supuesto, no podemos terminar y entregar nuestro trabajo y el equipo debe reinstalarse para volver a su funcionamiento normal.
Introducción
Al igual que en la novela de Gabriel García Márquez, “Crónica de una muerte anunciada”, la situación anterior esta tomada de la realidad, pero con diferencia de aquella no existe el realismo mágico. El “crimen” de la novela podría asemejarse con el intentar burlar una protección, o bien ser infectado por un malware. A su vez, la “muerte” podría ser la reinstalación del sistema operativo teniendo pocas opciones para salvarlo.
En esta situación puede encontrarse cualquier usuario actual, debido a que el ejemplo dado puede suceder al intentar obtener números de serie, cracks, patchs, warez, o cualquier otro tipo de programa que prometa desbloquear la protección de software con licencias, con la consecuencia de una infección al equipo del usuario.
Para demostrar el relato, a continuación se realiza el seguimiento de un caso en donde el involucrado es un conocido adware denominado Virtumonde (o Vundo, dependiendo la empresa antivirus) y que desde hace tiempo se mantiene en el ranking de las 10 amenazas mas detectadas por ESET.
Virtumonde es un adware con propiedades de spyware que fue detectado por primera vez en octubre de 2004 y desde ese momento, sus autores lo han perfeccionado hasta el punto en que actualmente es una de las amenazas más comunes de encontrar en sistemas de usuarios y también una de las más difíciles de erradicar, debido a los métodos que utiliza para mantenerse activos en el sistema de usuarios.
Hay tantos usuarios infectados como resultados devueltos por los buscadores cuando se intenta hallar una solución en Internet; son innumerables los sitios y software que prometen la limpieza y desinfección de los programas instalados. En realidad, muchos de estos sitios simplemente son nuevas amenazas que intentan engañar al usuario, logrando un efecto similar al ya descrito en “Swizzor, el más propagado y otras sorpresas” [1].
Muchas de las soluciones planteadas pueden hallarse en foros y grupos de discusión, pero lamentablemente las mismas se encuentran desactualizadas debido al dinamismo con que se actualiza Virtumonde y al modo en cómo cambia con cada nueva variante propagada.
Instalación
En el caso desarrollado a continuación, se busca un programa capaz de desbloquear un producto utilizado para diseño gráfico. Se descarga un archivo comprimido de un conocido sitio de cracks y warez, obteniendo los siguientes programas dentro del mismo:
El archivo “keygen.exe” hace referencia a un programa que genera un nombre de usuario y un número de serie válido para el software en cuestión. A continuación, se descomprime y ejecuta el mismo para generar dicha serie.
Luego de unos instantes puede observarse que en realidad no se informa sobre ningún número de serie. Lo único que puede llamar la atención en este momento es que el programa se auto-elimina luego de la ejecución y el usuario podría pensar que en realidad nada pasó en su sistema.
Sin embargo, lo que ha sucedido es que el sistema ha sido modificado en múltiples lugares y a partir de este momento el mismo comenzará a tener un funcionamiento errático entre los que se puede destacar:
- Conexiones excesivamente lentas
- Múltiples conexiones a sitios desconocidos por el usuario
- Descargas e instalación de programas espías u otro tipo de malware
- Visualización de ventanas emergentes en cualquier momento en que se esté navegando
- Envío de información confidencial del usuario a través de Internet
- Modificación y reemplazo de múltiples archivos del sistema operativo
- Invitación de aperturas de sitios publicitarios, rogue, pornografía, juegos y casinos online. En estos sitios generalmente aguardan otras sorpresas relacionadas con estafas en Internet
Funcionamiento
La forma más común de infectarse con Virtumonde es a través de programas descargados de sitios poco confiables o destinados a intentar burlar la protección de programas protegidos.
Luego de la descarga, se procede a ejecutar el archivo sin conocer que en realidad se trata de un programa dañino. Al ejecutarse el programa, realiza una serie de modificaciones en el sistema y luego procede a auto-eliminarse, dejando como única prueba un pequeño archivoarchivo ejecutable.
Intentar enumerar estos archivos carece de sentido, ya que los mismos pueden variar con cada infección. Este es el motivo por el cual es difícil encontrar instrucciones precisas acerca de las formas de remoción de este malware: lo que es válido para un sistema infectado no tendría por qué serlo para otro.
Por ejemplo, en la siguiente imagen, los archivos, al infectar otro sistema, varían considerablemente respecto de los anteriores:
De todos modos, y suponiendo que se conozcan los archivos involucrados, no estará permitido eliminarlos, debido a que están siendo utilizados por el sistema desde el preciso momento de su instalación.
Lo mismo que sucede con los archivos sucede con las claves del registro modificadas o agregadas en el sistema y que varían en cada versión de Virtumonde.
En este sentido, puede notarse la evolución que ha sufrido este malware en los años de vida que lleva en Internet. En sus primeras versiones, se utilizaban claves de registro normalmente utilizadas por malware de poca importancia o de nivel de desarrollo básico. En cambio, en las versiones utilizadas para el presente análisis, las técnicas de infección utilizadas son de complejidad avanzada permitiendo mantener un control muy alto sobre el sistema afectado.
Una de estas técnicas es la inyección de librerías y procesos propios del sistema operativo, de modo de permitir la ejecución continua del proceso dañino en actividades normales como pueden ser:
- Control sobre la operación de login de usuario a través de la modificación de winlogon.exe
- Control sobre las operaciones de navegación del usuario a través de la incorporación de BHOs (Browser Helper Object), extensiones que son cargadas cada vez que el navegador Internet Explorer es abierto
- Control de las operaciones del usuario a través de la modificación del archivo explore.exe
- Control del servicio LSP (Layered Service Provider) utilizado para procesar el tráfico TCP/IP. Este control se lleva a cabo para recopilar información del usuario (hábitos de uso de Internet, páginas visitadas, datos de la conexión, las aplicaciones instaladas en el equipo, etc.)
Autor: Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.
Comentarios