Salidad

Malware basado en plataforma Windows

Sality es la clasificación de una familia de software malicioso ( malware ) que infecta archivos de sistemas Microsoft Windows . Sality se descubrió por primera vez en 2003 y ha avanzado hasta convertirse en una forma de código malicioso dinámica, duradera y con todas las funciones. Los sistemas infectados con Sality pueden comunicarse a través de una red peer-to-peer (P2P) para formar una botnet que retransmita spam , proxy de comunicaciones, exfiltración de datos confidenciales, comprometa servidores web y/o coordine tareas informáticas distribuidas para procesar tareas intensivas (por ejemplo, contraseñas). agrietamiento). Desde 2010, ciertas variantes de Sality también han incorporado funciones de rootkit como parte de una evolución continua de la familia de malware. Debido a su continuo desarrollo y capacidades, Sality se considera una de las formas de malware más complejas y formidables hasta la fecha.

Alias

La mayoría de los proveedores de antivirus (A/V) utilizan las siguientes convenciones de nomenclatura cuando se refieren a esta familia de malware:

• Salidad
• cargasal
• cuco
• Código Sali
• kukácka

Descripción general

Sality es una familia de infectadores de archivos polimórficos , cuyo objetivo son archivos ejecutables de Windows con las extensiones .EXE o .SCR . ^[1] Sality utiliza técnicas polimórficas y de oscurecimiento del punto de entrada (EPO) para infectar archivos usando los siguientes métodos: no cambiar la dirección del punto de entrada del host y reemplazar el código del host original en el punto de entrada del ejecutable con un código auxiliar variable redirigir la ejecución al código viral polimórfico, que se ha insertado en la última sección del archivo host; ^{[2] [3]} el código auxiliar descifra y ejecuta una región secundaria, conocida como cargador; finalmente, el cargador se ejecuta en un hilo separado dentro del proceso infectado para eventualmente cargar la carga útil de Sality. ^[2]

Sality puede ejecutar una carga útil maliciosa que elimina archivos con ciertas extensiones y/o que comienzan con cadenas específicas, finaliza procesos y servicios relacionados con la seguridad , busca en la libreta de direcciones de un usuario direcciones de correo electrónico para enviar mensajes spam, ^[4] y se pone en contacto con un anfitrión. Sality también puede descargar archivos ejecutables adicionales para instalar otro malware y con el fin de propagar aplicaciones de pago por instalación. Sality puede contener componentes troyanos ; algunas variantes pueden tener la capacidad de robar datos personales o financieros confidenciales (es decir, ladrones de información), ^[5] generar y retransmitir spam, retransmitir tráfico a través de servidores proxy HTTP , infectar sitios web, realizar tareas informáticas distribuidas como descifrar contraseñas , así como otras capacidades. ^[2]

El mecanismo de descarga de Sality descarga y ejecuta malware adicional según se indica en las URL recibidas mediante el componente peer-to-peer. El malware distribuido puede compartir la misma "firma de código" que la carga útil de Sality, lo que puede proporcionar atribución a un grupo y/o compartir una gran parte del código. El malware adicional generalmente se comunica y reporta a servidores centrales de comando y control (C&C) ubicados en todo el mundo. Según Symantec, "la combinación del mecanismo de infección de archivos y la red peer-to-peer totalmente descentralizada [...] hacen de Sality uno de los programas maliciosos más efectivos y resistentes en el panorama de amenazas actual". ^[2]

Actualmente hay dos versiones activas de la botnet , las versiones 3 y 4. El malware que circula en esas botnets está firmado digitalmente por los atacantes para evitar una toma hostil. En los últimos años, Sality también ha incluido el uso de técnicas de rootkit para mantener la persistencia en sistemas comprometidos y evadir detecciones basadas en host, como el software antivirus. ^[6]

Los principales países afectados por la botnet fueron India, Vietnam y Marruecos. ^[7]

Instalación

Sality infecta archivos en el ordenador afectado. La mayoría de las variantes utilizan una DLL que se coloca una vez en cada computadora. El archivo DLL se escribe en el disco de dos formas, por ejemplo:

• %SISTEMA%\wmdrtc32.dll
• %SISTEMA%\wmdrtc32.dl_

El archivo DLL contiene la mayor parte del código del virus . El archivo con la extensión ".dl_" es la copia comprimida. Las variantes recientes de Sality, como Virus:Win32-Sality.AM, no eliminan la DLL, sino que la cargan por completo en la memoria sin escribirla en el disco. Esta variante, junto con otras, también coloca un controlador con un nombre de archivo aleatorio en la carpeta %SYSTEM%\drivers. Otro malware también puede dejar caer Sality en la computadora. Por ejemplo, una variante de Sality detectada como Virus:Win32-Sality.AU es eliminada por Worm:Win32-Sality.AU. ^[1] Algunas variantes de Sality también pueden incluir un rootkit creando un dispositivo con el nombre Device\amsint32 o \DosDevices\amsint32. ^[6]

Método de propagación

Infección de archivos

Sality generalmente apunta a todos los archivos en la unidad C: que tienen extensiones de archivo .SCR o .EXE, comenzando con la carpeta raíz . Los archivos infectados aumentan de tamaño en una cantidad variable.

El virus también se dirige a aplicaciones que se ejecutan cada vez que se inicia Windows y a aplicaciones de uso frecuente, a las que se hace referencia mediante las siguientes claves de registro :

• HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
• HKCU\Software\Microsoft\Windows\CurrentVersion\Ejecutar
• HKLM\Software\Microsoft\Windows\CurrentVersion\Ejecutar ^[1]

Sality evita infectar archivos particulares, para permanecer ocultos en la computadora:

• Archivos protegidos por System File Checker (SFC)
• Archivos en la carpeta %SystemRoot%
• Ejecutables de varios productos antivirus/ firewall ignorando archivos que contienen ciertas subcadenas

Unidades extraíbles y recursos compartidos de red

Algunas variantes de Sality pueden infectar archivos legítimos, que luego se mueven a unidades extraíbles y recursos compartidos de red disponibles enumerando todas las carpetas y recursos compartidos de red de la computadora local y todos los archivos en la unidad C: (comenzando con la carpeta raíz). Infecta los archivos que encuentra agregando una nueva sección de código al host e insertando su código malicioso en la sección recién agregada. Si existe un archivo legítimo, el malware lo copiará a la carpeta Archivos temporales y luego lo infectará. Luego, el archivo infectado resultante se mueve a la raíz de todas las unidades extraíbles y recursos compartidos de red disponibles como cualquiera de los siguientes:

• nombre de archivo aleatorio .pif
• nombre de archivo aleatorio .exe
• nombre de archivo aleatorio .cmd

La variante Sality también crea un archivo "autorun.inf" en la raíz de todas estas unidades que apunta a la copia del virus. Cuando se accede a una unidad desde una computadora que admite la función de ejecución automática , el virus se inicia automáticamente. ^[1] Algunas variantes de Sality también pueden colocar un archivo con una extensión de archivo .tmp en los recursos y recursos compartidos de red descubiertos, así como colocar un archivo .LNK para ejecutar el virus eliminado. ^[8]

Carga útil

• Sality puede inyectar código en procesos en ejecución instalando un enlace de mensajes ^[9]
• Sality comúnmente busca e intenta eliminar archivos relacionados con actualizaciones de antivirus y finaliza aplicaciones de seguridad, como antivirus y programas de firewall personales; intenta finalizar aplicaciones de seguridad que contienen las mismas cadenas que los archivos que evita infectar; y también puede cancelar servicios relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad que contienen ciertas subcadenas ^{[1] [2] [3] [8] [10] [11] [12] [13] [14] [15] [16] [17]}
• Las variantes de Sality pueden modificar el registro de la computadora para reducir la seguridad de Windows, deshabilitar el uso del Editor del Registro de Windows y/o impedir la visualización de archivos con atributos ocultos; Algunas variantes de Sality eliminan recursivamente todos los valores y datos del registro bajo las subclaves del registro para HKCU\System\CurrentControlSet\Control\SafeBoot y HKLM\System\CurrentControlSet\Control\SafeBoot para evitar que el usuario inicie Windows en modo seguro ^{[1] [4] [8] [10] [11] [18] [19] [20]}
• Algunas variantes de Sality pueden robar información confidencial, como contraseñas almacenadas en caché y pulsaciones de teclas registradas, que se ingresaron en la computadora afectada ^{[1] [13] [15]}
• Las variantes de Sality generalmente intentan descargar y ejecutar otros archivos, incluidos ejecutables de pago por instalación, utilizando una lista preconfigurada de hasta 1000 pares; el objetivo de la red P2P es intercambiar listas de URL para alimentar la funcionalidad del descargador; los archivos se descargan en la carpeta Archivos temporales de Windows y se descifran usando una de varias contraseñas codificadas ^{[1] [2] [3] [5] [9] [10] [11] [12] [13] [14] [15 ] [16] [18] [20] [21]}
• La mayor parte de la carga útil de Sality se ejecuta en el contexto de otros procesos, lo que dificulta la limpieza y permite que el malware eluda algunos firewalls; Para evitar múltiples inyecciones en el mismo proceso, se crea un mutex en todo el sistema llamado <process name>.exeM_<process ID>_para cada proceso en el que se inyecta código, lo que evitaría que se ejecute más de una instancia en la memoria al mismo tiempo. ^[1]
• Algunas variantes de Win32-Sality colocan un controlador con un nombre de archivo aleatorio en la carpeta %SYSTEM%\drivers para realizar funciones similares, como finalizar procesos relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad, y también pueden deshabilitar cualquier descriptor de servicio del sistema. ganchos de tabla (SSDT) ​​para evitar que cierto software de seguridad funcione correctamente ^{[1] [2] [3] [10] [11] [12] [18] [20] [22] [23]}
• Algunas variantes de Sality se propagan al pasar a unidades extraíbles/remotas y recursos compartidos de red ^{[1] [2] [3] [8] [9] [11] [12] [20]}
• Algunas variantes de Sality eliminan archivos .LNK, que ejecutan automáticamente el virus eliminado ^[8]
• Algunas variantes de Sality pueden buscar en la libreta de direcciones de Outlook de un usuario y en los archivos almacenados en caché de Internet Explorer direcciones de correo electrónico para enviar mensajes de spam, que luego envía mensajes de spam basándose en la información que recupera de un servidor remoto ^[4]
• Sality puede agregar una sección al archivo de configuración %SystemRoot%\system.ini como marcador de infección, contactar hosts remotos para confirmar la conectividad a Internet, informar una nueva infección a su autor, recibir configuración u otros datos, descargar y ejecutar archivos arbitrarios (incluidos actualizaciones o malware adicional), recibir instrucciones de un atacante remoto y/o cargar datos tomados del ordenador afectado; algunas variantes de Sality pueden abrir una conexión remota, lo que permite a un atacante remoto descargar y ejecutar archivos arbitrarios en la computadora infectada ^{[4] [9] [11] [12] [13] [14] [15] [16] [18] [20] [21]}
• Las computadoras infectadas con versiones recientes de Sality, como Virus:Win32-Sality.AT y Virus:Win32-Sality.AU, se conectan a otras computadoras infectadas uniéndose a una red peer-to-peer (P2P) para recibir URL que apunten a direcciones adicionales. componentes de malware; el protocolo P2P se ejecuta sobre UDP , todos los mensajes intercambiados en la red P2P están encriptados y el número de puerto UDP local utilizado para conectarse a la red se genera en función del nombre de la computadora ^[1]
• Sality puede agregar un rootkit que incluye un controlador con capacidades tales como finalizar procesos a través de NtTerminateProcess, así como bloquear el acceso a recursos antivirus seleccionados (por ejemplo, sitios web de proveedores de antivirus) mediante filtrado de IP; este último requiere que el controlador registre una función de devolución de llamada, que se utilizará para determinar si los paquetes deben descartarse o reenviarse (por ejemplo, descartar paquetes si la cadena contiene el nombre de un proveedor de antivirus de una lista compuesta) ^[6]

Recuperación

Microsoft ha identificado docenas de archivos que están comúnmente asociados con el malware. ^{[1] [4] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [ 21] [22] [23] [24] [25 ] [26] [27]} Sality utiliza medidas sigilosas para mantener la persistencia en un sistema; por lo tanto, es posible que los usuarios necesiten iniciar en un entorno confiable para eliminarlo. Sality también puede realizar cambios de configuración, como en el Registro de Windows, lo que dificulta la descarga, instalación y/o actualización de la protección antivirus. Además, dado que muchas variantes de Sality intentan propagarse a unidades extraíbles/remotas y recursos compartidos de red disponibles, es importante garantizar que el proceso de recuperación detecte y elimine completamente el malware de todas y cada una de las ubicaciones conocidas/posibles.

Ver también

• Virus de computadora

Referencias

1. Centro de protección contra malware de Microsoft (7 de agosto de 2010). "Win32-Salidad". Microsoft. Archivado desde el original el 17 de septiembre de 2013 . Consultado el 22 de abril de 2012 .
2. Nicolas Falliere (3 de agosto de 2011). "Sality: historia de una red viral de igual a igual" (PDF) . Symantec. Archivado desde el original (PDF) el 24 de septiembre de 2015 . Consultado el 12 de enero de 2012 .
3. Angela Thigpen y Eric Chien (20 de mayo de 2010). "W32.Salidad". Symantec. Archivado desde el original el 5 de octubre de 2013 . Consultado el 22 de abril de 2012 .
4. Centro de protección contra malware de Microsoft (29 de mayo de 2009). "Win32-Sality.A". Microsoft . Consultado el 22 de abril de 2012 .
5. FireEye, Inc (14 de febrero de 2012). "Informe sobre amenazas avanzadas de FireEye: segundo semestre de 2011" (PDF) . Ojo de fuego. Archivado desde el original (PDF) el 22 de mayo de 2012 . Consultado el 22 de abril de 2012 .
6. Artem I. Baranov (15 de enero de 2013). "Análisis de Rootkit de Sality". Archivado desde el original el 10 de agosto de 2013 . Consultado el 19 de enero de 2013 .
7. "Amenazas de Kaspersky: Sality". amenazas.kaspersky.com .
8. Centro de protección contra malware de Microsoft (30 de julio de 2010). "Gusano: Win32-Sality.AU". Microsoft. Archivado desde el original el 27 de septiembre de 2013 . Consultado el 22 de abril de 2012 .
9. Centro de protección contra malware de Microsoft (28 de abril de 2010). "Virus:Win32-Sality.G.dll". Microsoft . Consultado el 22 de abril de 2012 .
10. Centro de protección contra malware de Microsoft (28 de junio de 2010). "Virus: Win32-Sality.AH". Microsoft . Consultado el 22 de abril de 2012 .
11. Centro de protección contra malware de Microsoft (27 de agosto de 2010). "Virus: Win32-Sality.gen! AT". Microsoft . Consultado el 22 de abril de 2012 .
12. Centro de protección contra malware de Microsoft (21 de octubre de 2010). "Virus: Win32-Sality.gen! Q". Microsoft . Consultado el 22 de abril de 2012 .
13. Centro de protección contra malware de Microsoft (3 de julio de 2008). "Virus: Win32-Sality.R". Microsoft. Archivado desde el original el 4 de abril de 2014 . Consultado el 22 de abril de 2012 .
14. Centro de protección contra malware de Microsoft (7 de julio de 2008). "Virus: Win32-Sality.T". Microsoft. Archivado desde el original el 4 de abril de 2014 . Consultado el 22 de abril de 2012 .
15. Centro de protección contra malware de Microsoft (7 de julio de 2008). "Virus: Win32-Sality.AN". Microsoft . Consultado el 22 de abril de 2012 .
16. Centro de protección contra malware de Microsoft (6 de marzo de 2009). "Virus: Win32-Sality.S". Microsoft . Consultado el 22 de abril de 2012 .
17. Centro de protección contra malware de Microsoft (8 de julio de 2008). "Virus: Win32-Sality". Microsoft. Archivado desde el original el 1 de enero de 2012 . Consultado el 22 de abril de 2012 .
18. Centro de protección contra malware de Microsoft (30 de julio de 2010). "Virus: Win32-Sality.AU". Microsoft. Archivado desde el original el 27 de septiembre de 2013 . Consultado el 22 de abril de 2012 .
19. Centro de protección contra malware de Microsoft (30 de julio de 2010). "TrojanDropper:Win32-Sality.AU". Microsoft . Consultado el 22 de abril de 2012 .
20. Centro de protección contra malware de Microsoft (26 de abril de 2010). "Virus: Win32-Sality.AT". Microsoft. Archivado desde el original el 30 de enero de 2014 . Consultado el 22 de abril de 2012 .
21. Centro de protección contra malware de Microsoft (16 de noviembre de 2007). "Virus: Win32-Sality.M". Microsoft. Archivado desde el original el 5 de abril de 2014 . Consultado el 22 de abril de 2012 .
22. Centro de protección contra malware de Microsoft (10 de agosto de 2010). "Troyano: WinNT-Sality". Microsoft. Archivado desde el original el 5 de diciembre de 2013 . Consultado el 22 de abril de 2012 .
23. Centro de protección contra malware de Microsoft (17 de septiembre de 2010). "WinNT-Salidad". Microsoft . Consultado el 22 de abril de 2012 .
24. Centro de protección contra malware de Microsoft (14 de abril de 2010). "Virus: Win32-Sality.G". Microsoft. Archivado desde el original el 5 de abril de 2014 . Consultado el 22 de abril de 2012 .
25. Centro de protección contra malware de Microsoft (8 de julio de 2008). "Virus: Win32-Sality.AM". Microsoft. Archivado desde el original el 9 de diciembre de 2013 . Consultado el 22 de abril de 2012 .
26. Centro de protección contra malware de Microsoft (17 de junio de 2009). "Virus: Win32-Sality.gen! P". Microsoft . Consultado el 22 de abril de 2012 .
27. Centro de protección contra malware de Microsoft (2 de septiembre de 2009). "Virus: Win32-Sality.gen". Microsoft . Consultado el 22 de abril de 2012 .