Documente Academic
Documente Profesional
Documente Cultură
MicroAntivirus2009
Noviembre 2008
NDICE
1. 2. DESCRIPCIN BSICA DESCRIPCIN TCNICA 2.1. 2.2. 2.3. 3. 4. Mtodo de infeccin Mtodo de propagacin Mtodo de desinfeccin 3 6 6 6 13 14 15 16 17
1.
DESCRIPCIN BSICA
MicroAntivirus2009
DESCRIPCIN: Malware que se distribuye en forma de falso software antivirus. Una vez instalado, solicita al usuario el registro del software, para lo cual necesita introducir sus datos bancarios en una pgina Web fraudulenta. Tipo de cdigo Fecha anlisis DETECCIN Plataforma test Antivirus 1 Troyano 06/11/2008 Windows XP Service Pack 2 27 / 35 (77,14%) Ver aliases
PROPAGACIN SNTOMAS
MicroAVSetup.exe Fichero implicado Se distribuye como un falso software antivirus. Capacidad de auto-propagacin No Avisos continuos indicando que nuestro sistema se encuentra infectado. El malware crea una serie de ficheros en el directorio C:\Archivos de programa\MicroAV\ Ficheros creados MicroAV0.dat MicroAV.exe Clave Claves del registro Valor ANTIVIRUS = C:\Archivos de programa\MicroAV\MicroAV.exe MicroAV1.dat MicroAV.ooo MicroAV.cpl
EFECTOS
HKCU\Software\Microsoft\Windows\CurrentVer sion\Run\
1. Reiniciar en modo a prueba de fallos. 2. Identificar y eliminar los archivos y entradas del registro creados. C:\Archivos de programa\MicroAV\MicroAVX.dat C:\Archivos de programa\MicroAV\MicroAV.cpl DESINFECCIN Archivos C:\Archivos de programa\MicroAV\MicroAV.exe C:\Archivos de programa\MicroAV\MicroAV.ooo C:\Documents and Settings\USUARIO 2 \Escritorio\Micro Antivirus.lnk Entradas del registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ANTIVIRUS
DETALLE DE FICHEROS RELACIONADOS Tipo Anfitrin Nombre MicroAVSetup.exe SHA1 f739023ee5c2b2ca02fa4db1f4f386b0e4d7b18a URLs IMPLICADAS Tipo Web de descarga URL [http://]scanner.[ELIMINADO].com/ ALIASES 06/11/08 Antivirus AntiVir Avast AVG BitDefender ClamAV DrWeb eSafe eTrust-Vet F-Secure Fortinet GData Ikarus Kaspersky McAfee Microsoft NOD32 Norman Alias TR/Fakealert.PX Win32:Neptunia-AGB FakeAlert.BD Dropped:Trojan.FakeAlert.ACZ Adware.Brasen-2 Trojan.Fakealert.1399 Suspicious File Win32/FakeAlert.DM TXT/JunkFakeAlert.C PossibleThreat Dropped:Trojan.FakeAlert.ACZ Generic.Win32.Malware.Antivirus2008 not-a-virus:FraudTool.Win32.UltimateAntivirus.cq FakeAlert-AB Trojan:Win32/FakeSecSen Win32/Adware.Antivirus2008 Antivirus2008.ET.dropper
Panda Prevx1 Rising SecureWeb-Gateway Sophos Sunbelt Symantec TrendMicro ViRobot VirusBuster
Application/MicroAntivirus2009 Fraudulent Security Program Trojan.Win32.FakeAV.bd Trojan.Fakealert.PW Mal/FakeAV-F Trojan.FakeAV.BC AntiVirus2009 TROJ_RENOS.HQ Adware.UltimateAntivirus.R.1052373 FraudTool.FakeAV.K
Tabla 1: Descripcin Bsica.
2.
DESCRIPCIN TCNICA
2.1.
Mtodo de infeccin
Ejecutando el binario MicroAVSetup.exe, se instala un malware de nombre Micro Antivirus. Estos son los principales cambios que realiza el malware en el sistema una vez infectado. Archivos generados:
C:\Archivos de programa\MicroAV\MicroAV0.dat C:\Archivos de programa\MicroAV\MicroAV1.dat C:\Archivos de programa\MicroAV\MicroAV.cpl C:\Archivos de programa\MicroAV\MicroAV.exe C:\Archivos de programa\MicroAV\MicroAV.ooo C:\Documents and Settings\USUARIO\Escritorio\Micro Antivirus.lnk
Claves del registro: El malware para mantenerse en el sistema crea la siguiente entrada en el registro: Clave
HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\
Valor
ANTIVIRUS = C:\Archivos de programa\MicroAV\MicroAV.exe
2.2.
Mtodo de propagacin
Se recibe en un popup, mediante un e-mail, mensaje por MSN, etc. en el que se indica una URL desde la cual se puede descargar un antivirus. En una de las muestras encontradas, al conectarse a la Web se realiza un supuesto anlisis online de la mquina e indica que esta infectada por numerosos virus.
Es destacable que el anlisis da resultados sin importar el sistema operativo que tiene, como se puede observar en la siguiente captura realizada desde una mquina con sistema operativo Linux instalado.
Tras el supuesto anlisis y la deteccin de virus inexistentes en la mquina, se ofrece al usuario la descarga de un falso antivirus para desinfectarse y resolver los problemas detectados. El archivo que se descarga no es un antivirus, sino un malware.
Tras instalarse el malware en el sistema, se muestra de nuevo un anlisis de la mquina y se solicita el registro del software para poder eliminar los virus.
Para realizar la compra del falso antivirus, se redirecciona al usuario a una URL desde el propio antivirus, en esta Web se debe seleccionar la versin a registrar y los datos para hacer el cargo a una cuenta bancaria, a travs de una tarjeta de crdito, dbito, prepago, etc.
10
Entre los campos es importante destacar que se solicita el CVC2, el cual permitira realizar cargos a la tarjeta sin necesidad de que el usuario infectado apruebe dicha operacin.
11
Lgicamente la Web donde se realiza el pago es propiedad de los creadores del malware. A continuacin se muestra un extracto de algunas transacciones de una de estas Webs.
Como se puede observar por las fechas, es una actividad reciente y muy activa, lo que puede llegar a dar unos beneficios, solamente contabilizando el pago que hace cada usuario, se podra llegar a cifras muy elevadas, cercanas a los 30 millones de euros, teniendo en cuenta que en los dominios estudiados se han localizado ms de 800.000 usuarios infectados.
12
2.3.
Mtodo de desinfeccin
Los siguientes pasos detallan el procedimiento a seguir para desinfectar el sistema: 1. Terminar el proceso del Malware: Se puede localizar fcilmente el proceso en el Administrador de tareas, tal y como se muestra en la siguiente figura.
Una vez localizado el proceso del malware, haciendo clic con el botn derecho del ratn sobre el elemento de la lista y seleccionando la opcin Finalizar Proceso. 2. Eliminar las claves del registro: a. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Valor: ANTIVIRUS = C:\Archivos de programa\MicroAV\MicroAV.exe 3. Eliminar los ficheros: Eliminar los siguientes ficheros, con el mismo nombre del proceso en ejecucin del spyware, ubicados en la carpeta: C:\Archivos de programa\MicroAV\ b. MicroAV0.dat c. MicroAV1.dat d. MicroAV.cpl e. MicroAV.exe f. MicroAV.ooo
13
3.
CONCLUSIONES
La distribucin de supuestos antivirus o antiespas, como el descrito en este documento, proporciona al estafador una va no slo para hacer que el usuario pague por algo que no hace nada, si no que adems pondr a disposicin del distribuidor de la estafa un acceso al equipo del usuario que podra ser utilizado para infectar el ordenador con un troyano bancario u otro tipo de cdigo malicioso. Adems, a travs de este tipo de engaos, los defraudadores disponen de los datos de la tarjeta de crdito del usuario que podran ser utilizados posteriormente. Destacar tambin cmo, una vez ms, las tcnicas de ingeniera social utilizadas por los estafadores consiguen generar temor en el usuario y consiguen convencerle de que realice determinadas acciones. Como siempre, ante este tipo de amenazas, el sentido comn es el arma ms efectiva.
14
4.
Para llevar a cabo lo descrito en el informe, los creadores del malware, tienen una infraestructura similar al siguiente esquema
Figura 8: Infraestructura
Todos los servidores encontrados tienen certificados de seguridad reales para dar ms confianza al usuario. Adems han implementado sistemas de balanceo de carga. Tambin es importante destacar que el malware descargado tiene nombres de archivo y hashes diferentes en funcin de la va de acceso a la Web. Desde la misma Web se han localizado 4 muestras del mismo malware con hashes diferentes, los cuales realizaban las mismas acciones. Se han hallado algunas muestras que se usan como troyanos bancarios descargando datos de otras Webs, con lo que adems de pagar por un software falso, que resulta ser un malware, el usuario sufrira un robo de credenciales de su servicio de banca on-line.
Informe realizado por el Laboratorio de Anlisis de Malware de INTECO-CERT. Juan Carlos Montes Senra y Francisco Losada Morn
15
NDICE DE TABLAS
Tabla 1: Descripcin Bsica.....................................................................................................5 Tabla 2: Claves del registro......................................................................................................6
16
NDICE DE FIGURAS
Figura 1: Interfaz Web..............................................................................................................7 Figura 2: Descarga del Malware ..............................................................................................8 Figura 3: Interfaz del falso antivirus .........................................................................................9 Figura 4: Pgina de registro ...................................................................................................10 Figura 5: Solicitud del dato CVC2 en la pgina de registro....................................................11 Figura 5: Transacciones de la pgina fraudulenta .................................................................12 Figura 7: Localizacin de procesos relacionados ..................................................................13 Figura 8: Infraestructura .........................................................................................................15
17