Salidad

Malware basado en la plataforma Windows

Sality es la clasificación de una familia de software malicioso ( malware ), que infecta los archivos de los sistemas de Microsoft Windows . Sality se descubrió por primera vez en 2003 y ha avanzado hasta convertirse en una forma dinámica, duradera y con todas las funciones de código malicioso. Los sistemas infectados con Sality pueden comunicarse a través de una red peer-to-peer (P2P) para formar una botnet para retransmitir spam , realizar proxy de comunicaciones, exfiltrar datos confidenciales, comprometer servidores web y/o coordinar tareas informáticas distribuidas para procesar tareas intensivas (por ejemplo, descifrar contraseñas). Desde 2010, ciertas variantes de Sality también han incorporado funciones de rootkit como parte de una evolución continua de la familia de malware. Debido a su continuo desarrollo y capacidades, Sality se considera una de las formas más complejas y formidables de malware hasta la fecha.

Alias

La mayoría de los proveedores de antivirus (A/V) utilizan las siguientes convenciones de nomenclatura cuando se refieren a esta familia de malware:

• Salidad
• Carga de sal
• Cuco
• Código Sali
• Cucacka

Descripción general

Sality es una familia de infectores de archivos polimórficos , que atacan a los archivos ejecutables de Windows con las extensiones .EXE o .SCR . ^[1] Sality utiliza técnicas polimórficas y de oscurecimiento del punto de entrada (EPO) para infectar archivos utilizando los siguientes métodos: no cambiar la dirección del punto de entrada del host y reemplazar el código del host original en el punto de entrada del ejecutable con un stub variable para redirigir la ejecución al código viral polimórfico, que se ha insertado en la última sección del archivo host; ^{[2] [3]} el stub descifra y ejecuta una región secundaria, conocida como el cargador; finalmente, el cargador se ejecuta en un hilo separado dentro del proceso infectado para eventualmente cargar la carga útil de Sality. ^[2]

Sality puede ejecutar una carga útil maliciosa que elimine archivos con ciertas extensiones y/o que comiencen con cadenas específicas , finalice procesos y servicios relacionados con la seguridad , busque direcciones de correo electrónico en la libreta de direcciones de un usuario para enviar mensajes de spam, ^[4] y contacte con un host remoto. Sality también puede descargar archivos ejecutables adicionales para instalar otro malware y con el propósito de propagar aplicaciones de pago por instalación. Sality puede contener componentes troyanos ; algunas variantes pueden tener la capacidad de robar datos personales o financieros confidenciales (es decir, ladrones de información), ^{[5] generar y retransmitir spam, retransmitir tráfico a través de} servidores proxy HTTP , infectar sitios web, lograr tareas de computación distribuida como descifrar contraseñas , así como otras capacidades. ^[2]

El mecanismo de descarga de Sality descarga y ejecuta malware adicional según se indica en las URL recibidas mediante el componente peer-to-peer. El malware distribuido puede compartir la misma "firma de código" que la carga útil de Sality, lo que puede proporcionar atribución a un grupo y/o que comparten una gran parte del código. El malware adicional generalmente se comunica con servidores centrales de comando y control (C&C) ubicados en todo el mundo y les informa. Según Symantec, la "combinación del mecanismo de infección de archivos y la red peer-to-peer completamente descentralizada [...] hacen de Sality uno de los malware más efectivos y resistentes en el panorama de amenazas actual". ^[2]

Actualmente, hay dos versiones de la botnet activas: la 3 y la 4. El malware que circula en esas botnets está firmado digitalmente por los atacantes para evitar una toma de control hostil. En los últimos años, Sality también ha incluido el uso de técnicas de rootkit para mantener la persistencia en los sistemas comprometidos y evadir las detecciones basadas en el host, como el software antivirus. ^[6]

Los principales países afectados por la botnet fueron India, Vietnam y Marruecos. ^[7]

Instalación

Sality infecta archivos en el equipo afectado. La mayoría de las variantes utilizan un archivo DLL que se instala una vez en cada equipo. El archivo DLL se escribe en el disco en dos formatos, por ejemplo:

• %SISTEMA%\wmdrtc32.dll
• %SISTEMA%\wmdrtc32.dl_

El archivo DLL contiene la mayor parte del código del virus . El archivo con la extensión ".dl_" es la copia comprimida. Las variantes recientes de Sality, como Virus:Win32-Sality.AM, no eliminan la DLL, sino que la cargan completamente en la memoria sin escribirla en el disco. Esta variante, junto con otras, también elimina un controlador con un nombre de archivo aleatorio en la carpeta %SYSTEM%\drivers. Otro malware también puede eliminar Sality en el equipo. Por ejemplo, una variante de Sality detectada como Virus:Win32-Sality.AU es eliminada por Worm:Win32-Sality.AU. ^[1] Algunas variantes de Sality también pueden incluir un rootkit mediante la creación de un dispositivo con el nombre Device\amsint32 o \DosDevices\amsint32. ^[6]

Método de propagación

Infección de archivo

Sality suele atacar todos los archivos de la unidad C: que tengan extensiones .SCR o .EXE, comenzando por la carpeta raíz . Los archivos infectados aumentan de tamaño en una cantidad variable.

El virus también ataca a las aplicaciones que se ejecutan cada vez que se inicia Windows y a las aplicaciones utilizadas con frecuencia, a las que se hace referencia en las siguientes claves de registro :

• HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
• HKCU\Software\Microsoft\Windows\Versión actual\Ejecutar
• HKLM\Software\Microsoft\Windows\Versión actual\Ejecutar ^[1]

Sality evita infectar archivos particulares para permanecer oculto en el ordenador:

• Archivos protegidos por el Comprobador de archivos del sistema (SFC)
• Archivos en la carpeta %SystemRoot%
• Ejecutables de varios productos antivirus/ firewall ignorando archivos que contienen ciertas subcadenas

Unidades extraíbles y recursos compartidos de red

Algunas variantes de Sality pueden infectar archivos legítimos, que luego se mueven a unidades extraíbles y recursos compartidos de red disponibles enumerando todas las carpetas y recursos compartidos de red del equipo local y todos los archivos en la unidad C: (empezando por la carpeta raíz). Infecta los archivos que encuentra agregando una nueva sección de código al host e insertando su código malicioso en la sección recién agregada. Si existe un archivo legítimo, el malware copiará el archivo a la carpeta Archivos temporales y luego lo infectará. El archivo infectado resultante se mueve a la raíz de todas las unidades extraíbles y recursos compartidos de red disponibles como cualquiera de los siguientes:

• nombre de archivo aleatorio .pif
• nombre de archivo aleatorio .exe
• nombre de archivo aleatorio .cmd

La variante Sality también crea un archivo "autorun.inf" en la raíz de todas estas unidades que apunta a la copia del virus. Cuando se accede a una unidad desde un equipo que admita la función de ejecución automática , el virus se ejecuta automáticamente. ^[1] Algunas variantes de Sality también pueden colocar un archivo con una extensión de archivo .tmp en los recursos y recursos compartidos de red descubiertos, así como también colocar un archivo .LNK para ejecutar el virus colocado. ^[8]

Carga útil

• Sality puede inyectar código en procesos en ejecución instalando un gancho de mensaje ^[9]
• Sality comúnmente busca e intenta eliminar archivos relacionados con actualizaciones de antivirus y termina aplicaciones de seguridad, como programas antivirus y de firewall personal; intenta terminar aplicaciones de seguridad que contienen las mismas cadenas que los archivos que evita infectar; y también puede terminar servicios relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad que contienen ciertas subcadenas ^{[1] [2] [ 3] [8] [10] [11] [12] [13] [14] [15] [16] [17]}
• Las variantes de Sality pueden modificar el registro de la computadora para reducir la seguridad de Windows, deshabilitar el uso del Editor del Registro de Windows y/o evitar la visualización de archivos con atributos ocultos; Algunas variantes de Sality eliminan recursivamente todos los valores y datos del registro bajo las subclaves de registro para HKCU\System\CurrentControlSet\Control\SafeBoot y HKLM\System\CurrentControlSet\Control\SafeBoot para evitar que el usuario inicie Windows en modo seguro ^{[1] [4] [8] [10] [11] [18] [19] [20]}
• Algunas variantes de Sality pueden robar información confidencial, como contraseñas almacenadas en caché y pulsaciones de teclas registradas, que se ingresaron en la computadora afectada ^{[1] [13] [15]}
• Las variantes de Sality generalmente intentan descargar y ejecutar otros archivos, incluidos ejecutables de pago por instalación, utilizando una lista preconfigurada de hasta 1000 pares; el objetivo de la red P2P es intercambiar listas de URL para alimentar la funcionalidad del descargador; los archivos se descargan en la carpeta Archivos temporales de Windows y se descifran utilizando una de varias contraseñas codificadas ^{[1] [2] [ 3 ] [5] [9] [10] [11] [12] [13] [14] [15] [16] [18] [20] [21]}
• La mayor parte de la carga útil de Sality se ejecuta en el contexto de otros procesos, lo que dificulta la limpieza y permite que el malware eluda algunos firewalls; para evitar múltiples inyecciones en el mismo proceso, se crea un mutex en todo el sistema llamado <process name>.exeM_<process ID>_para cada proceso en el que se inyecta código, lo que evitaría que más de una instancia se ejecute en la memoria al mismo tiempo. ^[1]
• Algunas variantes de Win32-Sality colocan un controlador con un nombre de archivo aleatorio en la carpeta %SYSTEM%\drivers para realizar funciones similares, como finalizar procesos relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad, y también pueden deshabilitar cualquier enlace de la tabla de descriptores de servicios del sistema (SSDT) ​​para evitar que cierto software de seguridad funcione correctamente ^{[1] [2] [3] [10] [11] [ 12] [18] [20] [22] [23]}
• Algunas variantes de Sality se propagan al trasladarse a unidades extraíbles o remotas y recursos compartidos de red disponibles ^{[1] [2] [3] [8] [9] [11] [12] [20]}
• Algunas variantes de Sality dejan caer archivos .LNK, que ejecutan automáticamente el virus descargado ^[8]
• Algunas variantes de Sality pueden buscar direcciones de correo electrónico en la libreta de direcciones de Outlook de un usuario y en los archivos en caché de Internet Explorer para enviar mensajes de spam, que luego envían mensajes de spam según la información que recupera de un servidor remoto ^[4].
• Sality puede agregar una sección al archivo de configuración %SystemRoot%\system.ini como marcador de infección, contactar hosts remotos para confirmar la conectividad a Internet, informar una nueva infección a su autor, recibir configuración u otros datos, descargar y ejecutar archivos arbitrarios (incluyendo actualizaciones o malware adicional), recibir instrucciones de un atacante remoto y/o cargar datos tomados de la computadora afectada; algunas variantes de Sality pueden abrir una conexión remota, lo que permite a un atacante remoto descargar y ejecutar archivos arbitrarios en la computadora infectada ^{[4] [9] [11] [12] [13] [14] [15] [16] [18] [20] [21]}
• Las computadoras infectadas con versiones recientes de Sality, como Virus:Win32-Sality.AT y Virus:Win32-Sality.AU, se conectan a otras computadoras infectadas uniéndose a una red peer-to-peer (P2P) para recibir URL que apuntan a componentes de malware adicionales; el protocolo P2P se ejecuta sobre UDP , todos los mensajes intercambiados en la red P2P están encriptados y el número de puerto UDP local utilizado para conectarse a la red se genera como una función del nombre de la computadora ^[1]
• Sality puede agregar un rootkit que incluye un controlador con capacidades tales como terminar procesos a través de NtTerminateProcess, así como bloquear el acceso a recursos antivirus seleccionados (por ejemplo, sitios web de proveedores de antivirus) mediante filtrado de IP; esto último requiere que el controlador registre una función de devolución de llamada, que se utilizará para determinar si los paquetes deben descartarse o reenviarse (por ejemplo, descartar paquetes si la cadena contiene el nombre de un proveedor de antivirus de una lista incluida) ^[6]

Recuperación

Microsoft ha identificado docenas de archivos que están comúnmente asociados con el malware. ^{[1] [4] [8] [9 ] [10] [11] [12] [13] [14] [15] [16] [ 17] [21] [22] [ 23] [24] [25] [26] [27]} Sality utiliza medidas ocultas para mantener la persistencia en un sistema; por lo tanto, los usuarios pueden necesitar iniciar en un entorno de confianza para eliminarlo. Sality también puede realizar cambios de configuración, como en el Registro de Windows, lo que dificulta la descarga, instalación y/o actualización de la protección antivirus. Además, dado que muchas variantes de Sality intentan propagarse a unidades extraíbles/remotas y recursos compartidos de red disponibles, es importante asegurarse de que el proceso de recuperación detecte y elimine completamente el malware de todas y cada una de las ubicaciones conocidas/posibles.

Véase también

• Virus informático

Referencias

1. Centro de protección contra malware de Microsoft (7 de agosto de 2010). «Win32-Sality». Microsoft. Archivado desde el original el 17 de septiembre de 2013. Consultado el 22 de abril de 2012 .
2. Nicolas Falliere (3 de agosto de 2011). "Sality: historia de una red viral entre pares" (PDF) . Symantec. Archivado desde el original (PDF) el 24 de septiembre de 2015. Consultado el 12 de enero de 2012 .
3. Angela Thigpen y Eric Chien (20 de mayo de 2010). "W32.Sality". Symantec. Archivado desde el original el 5 de octubre de 2013. Consultado el 22 de abril de 2012 .
4. Centro de protección contra malware de Microsoft (29 de mayo de 2009). «Win32-Sality.A». Microsoft . Consultado el 22 de abril de 2012 .
5. FireEye, Inc (14 de febrero de 2012). "Informe sobre amenazas avanzadas de FireEye - 2.º semestre de 2011" (PDF) . FireEye. Archivado desde el original (PDF) el 22 de mayo de 2012. Consultado el 22 de abril de 2012 .
6. Artem I. Baranov (15 de enero de 2013). «Análisis del rootkit de Sality». Archivado desde el original el 10 de agosto de 2013. Consultado el 19 de enero de 2013 .
7. "Amenazas de Kaspersky: Sality". amenazas.kaspersky.com .
8. Centro de protección contra malware de Microsoft (30 de julio de 2010). «Worm:Win32-Sality.AU». Microsoft. Archivado desde el original el 27 de septiembre de 2013. Consultado el 22 de abril de 2012 .
9. Centro de protección contra malware de Microsoft (28 de abril de 2010). «Virus:Win32-Sality.G.dll». Microsoft . Consultado el 22 de abril de 2012 .
10. Centro de protección contra malware de Microsoft (28 de junio de 2010). «Virus:Win32-Sality.AH». Microsoft . Consultado el 22 de abril de 2012 .
11. Centro de protección contra malware de Microsoft (27 de agosto de 2010). «Virus:Win32-Sality.gen!AT». Microsoft . Consultado el 22 de abril de 2012 .
12. Centro de protección contra malware de Microsoft (21 de octubre de 2010). «Virus:Win32-Sality.gen!Q». Microsoft . Consultado el 22 de abril de 2012 .
13. Centro de protección contra malware de Microsoft (3 de julio de 2008). «Virus:Win32-Sality.R». Microsoft. Archivado desde el original el 4 de abril de 2014. Consultado el 22 de abril de 2012 .
14. Centro de protección contra malware de Microsoft (7 de julio de 2008). «Virus:Win32-Sality.T». Microsoft. Archivado desde el original el 4 de abril de 2014. Consultado el 22 de abril de 2012 .
15. Centro de protección contra malware de Microsoft (7 de julio de 2008). «Virus:Win32-Sality.AN». Microsoft . Consultado el 22 de abril de 2012 .
16. Centro de protección contra malware de Microsoft (6 de marzo de 2009). «Virus:Win32-Sality.S». Microsoft . Consultado el 22 de abril de 2012 .
17. Centro de protección contra malware de Microsoft (8 de julio de 2008). «Virus:Win32-Sality». Microsoft. Archivado desde el original el 1 de enero de 2012. Consultado el 22 de abril de 2012 .
18. Centro de protección contra malware de Microsoft (30 de julio de 2010). «Virus:Win32-Sality.AU». Microsoft. Archivado desde el original el 27 de septiembre de 2013. Consultado el 22 de abril de 2012 .
19. Centro de protección contra malware de Microsoft (30 de julio de 2010). "TrojanDropper:Win32-Sality.AU". Microsoft . Consultado el 22 de abril de 2012 .
20. Centro de protección contra malware de Microsoft (2010-04-26). «Virus:Win32-Sality.AT». Microsoft. Archivado desde el original el 2014-01-30 . Consultado el 2012-04-22 .
21. Centro de protección contra malware de Microsoft (16 de noviembre de 2007). «Virus:Win32-Sality.M». Microsoft. Archivado desde el original el 5 de abril de 2014. Consultado el 22 de abril de 2012 .
22. Centro de protección contra malware de Microsoft (10 de agosto de 2010). "Trojan:WinNT-Sality". Microsoft. Archivado desde el original el 5 de diciembre de 2013. Consultado el 22 de abril de 2012 .
23. Centro de protección contra malware de Microsoft (17 de septiembre de 2010). "WinNT-Sality". Microsoft . Consultado el 22 de abril de 2012 .
24. Centro de protección contra malware de Microsoft (14 de abril de 2010). «Virus:Win32-Sality.G». Microsoft. Archivado desde el original el 5 de abril de 2014. Consultado el 22 de abril de 2012 .
25. Centro de protección contra malware de Microsoft (8 de julio de 2008). «Virus:Win32-Sality.AM». Microsoft. Archivado desde el original el 9 de diciembre de 2013. Consultado el 22 de abril de 2012 .
26. Centro de protección contra malware de Microsoft (17 de junio de 2009). «Virus:Win32-Sality.gen!P». Microsoft . Consultado el 22 de abril de 2012 .
27. Centro de protección contra malware de Microsoft (2009-09-02). «Virus:Win32-Sality.gen». Microsoft . Consultado el 22 de abril de 2012 .