Sality es la clasificación de una familia de software malicioso ( malware ) que infecta archivos en sistemas Microsoft Windows . Sality se descubrió por primera vez en 2003 y ha avanzado a lo largo de los años hasta convertirse en una forma dinámica, duradera y con todas las funciones de código malicioso. Los sistemas infectados con Sality pueden comunicarse a través de una red peer-to-peer (P2P) para formar una botnet con el propósito de transmitir spam , proxy de comunicaciones, filtrar datos confidenciales, comprometer servidores web y / o coordinar tareas de computación distribuida con el propósito de procesamiento de tareas intensivas (por ejemplo, descifrado de contraseñas). Desde 2010, ciertas variantes de Sality también han incorporado el uso derootkit funciona como parte de una evolución continua de la familia de malware. Debido a su continuo desarrollo y capacidades, Sality se considera una de las formas más complejas y formidables de malware hasta la fecha.
Alias
La mayoría de los proveedores de antivirus (A / V) utilizan las siguientes convenciones de nomenclatura cuando se refieren a esta familia de malware:
- Sality
- SalLoad
- Kookoo
- SaliCode
- Kukacka
Perfil de malware
Resumen
Sality es una familia de infectadores de archivos polimórficos , que se dirigen a archivos ejecutables de Windows con las extensiones .EXE o .SCR . [1] Sality utiliza técnicas polimórficas y de oscurecimiento del punto de entrada (EPO) para infectar archivos mediante los siguientes métodos: no cambiar la dirección del punto de entrada del host y reemplazar el código del host original en el punto de entrada del ejecutable con un código auxiliar variable para redirigir la ejecución al código viral polimórfico, que se ha insertado en la última sección del archivo host; [2] [3] el código auxiliar descifra y ejecuta una región secundaria, conocida como cargador; finalmente, el cargador se ejecuta en un subproceso separado dentro del proceso infectado para eventualmente cargar la carga útil de Sality. [2]
Sality puede ejecutar una carga útil maliciosa que elimina archivos con ciertas extensiones y / o que comienzan con cadenas específicas , termina los procesos y servicios relacionados con la seguridad , busca en la libreta de direcciones de un usuario direcciones de correo electrónico para enviar mensajes de spam, [4] y contacta a un control remoto. anfitrión. Sality también puede descargar archivos ejecutables adicionales para instalar otro malware y con el propósito de propagar aplicaciones de pago por instalación. Sality puede contener componentes troyanos ; algunas variantes pueden tener la capacidad de robar datos personales o financieros confidenciales (es decir, ladrones de información), [5] generar y retransmitir spam, retransmitir tráfico a través de proxies HTTP , infectar sitios web, realizar tareas informáticas distribuidas como descifrado de contraseñas , entre otras capacidades. [2]
El mecanismo de descarga de Sality descarga y ejecuta malware adicional como se indica en las URL recibidas mediante el componente de igual a igual. El malware distribuido puede compartir la misma "firma de código" que la carga útil de Sality, lo que puede proporcionar atribución a un grupo y / o que comparten una gran parte del código. El malware adicional normalmente se comunica e informa a los servidores centrales de comando y control (C&C) ubicados en todo el mundo. Según Symantec, la "combinación del mecanismo de infección de archivos y la red punto a punto totalmente descentralizada [...] hacen de Sality uno de los programas maliciosos más eficaces y resistentes en el panorama de amenazas actual". [2]
Actualmente hay dos versiones de la red de bots activas, las versiones 3 y 4. El malware que circula en esas redes de bots está firmado digitalmente por los atacantes para evitar una toma de control hostil. En los últimos años, Sality también ha incluido el uso de técnicas de rootkit para mantener la persistencia en los sistemas comprometidos y evadir las detecciones basadas en el host, como el software antivirus. [6]
Instalación
Sality infecta archivos en la computadora afectada. La mayoría de las variantes usan una DLL que se coloca una vez en cada computadora. El archivo DLL se escribe en el disco de dos formas, por ejemplo:
- % SYSTEM% \ wmdrtc32.dll
- % SYSTEM% \ wmdrtc32.dl_
El archivo DLL contiene la mayor parte del código del virus . El archivo con la extensión ".dl_" es la copia comprimida. Las variantes recientes de Sality, como Virus: Win32-Sality.AM, no eliminan la DLL, sino que la cargan por completo en la memoria sin escribirla en el disco. Esta variante, junto con otras, también coloca un controlador con un nombre de archivo aleatorio en la carpeta% SYSTEM% \ drivers. Otro malware también puede dejar caer Sality en la computadora. Por ejemplo, una variante de Sality detectada como Virus: Win32-Sality.AU es eliminada por Worm: Win32-Sality.AU. [1] Algunas variantes de Sality también pueden incluir un rootkit creando un dispositivo con el nombre Device \ amsint32 o \ DosDevices \ amsint32. [6]
Método de propagación
Infección de archivo
Sality generalmente apunta a todos los archivos en la unidad C: que tienen extensiones de archivo .SCR o .EXE, comenzando con la carpeta raíz . Los archivos infectados aumentan de tamaño en una cantidad variable.
El virus también se dirige a las aplicaciones que se ejecutan en cada inicio de Windows y las aplicaciones de uso frecuente, a las que se hace referencia con las siguientes claves de registro :
- HKCU \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
- HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run [1]
Sality evita infectar archivos particulares, para permanecer ocultos en la computadora:
- Archivos protegidos por el Comprobador de archivos del sistema (SFC)
- Archivos de la carpeta% SystemRoot%
- Ejecutables de varios productos antivirus / cortafuegos ignorando archivos que contienen ciertas subcadenas
Algunas variantes de versalidad pueden infectar archivos legítimos, que luego se trasladaron a disposición unidades extraíbles y recursos compartidos de red mediante la enumeración de todas las carpetas de recursos compartidos de red y los recursos del equipo local y todos los archivos en la unidad C: (empezando por la carpeta raíz). Infecta los archivos que encuentra agregando una nueva sección de código al host e insertando su código malicioso en la sección recién agregada. Si existe un archivo legítimo, el malware lo copiará a la carpeta Archivos temporales y luego lo infectará. El archivo infectado resultante se mueve a la raíz de todas las unidades extraíbles y recursos compartidos de red disponibles como cualquiera de los siguientes:
- \
.pif - \
.exe - \
.cmd
La variante Sality también crea un archivo "autorun.inf" en la raíz de todas estas unidades que apunta a la copia del virus. Cuando se accede a una unidad desde una computadora que admite la función de ejecución automática , el virus se inicia automáticamente. [1] Algunas variantes de Sality también pueden colocar un archivo con una extensión de archivo .tmp en los recursos y recursos compartidos de red descubiertos, así como un archivo .LNK para ejecutar el virus eliminado. [7]
Carga útil
- Sality puede inyectar código en procesos en ejecución instalando un enlace de mensaje [8]
- Sality comúnmente busca e intenta eliminar archivos relacionados con actualizaciones de antivirus y termina aplicaciones de seguridad, como antivirus y programas de firewall personales; intenta terminar las aplicaciones de seguridad que contienen las mismas cadenas que los archivos que evita infectar; y también puede terminar los servicios relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad que contienen ciertas subcadenas [1] [2] [3] [7] [9] [10] [11] [12] [13] [14] [15] [16]
- Las variantes de Sality pueden modificar el registro de la computadora para reducir la seguridad de Windows, deshabilitar el uso del Editor del Registro de Windows y / o evitar la visualización de archivos con atributos ocultos; Algunas variantes de Sality eliminan de forma recursiva todos los valores y datos del registro bajo las subclaves del registro para HKCU \ System \ CurrentControlSet \ Control \ SafeBoot y HKLM \ System \ CurrentControlSet \ Control \ SafeBoot para evitar que el usuario inicie Windows en modo seguro [1] [4] [7] [9] [10] [17] [18] [19]
- Algunas variantes de Sality pueden robar información confidencial, como contraseñas almacenadas en caché y pulsaciones de teclas registradas, que se ingresaron en la computadora afectada [1] [12] [14]
- Las variantes de Sality generalmente intentan descargar y ejecutar otros archivos, incluidos los ejecutables de pago por instalación, utilizando una lista preconfigurada de hasta 1000 pares; el objetivo de la red P2P es intercambiar listas de URL para alimentar la funcionalidad del descargador; los archivos se descargan en la carpeta Archivos temporales de Windows y se descifran utilizando una de varias contraseñas codificadas [1] [2] [3] [5] [8] [9] [10] [11] [12] [13] [14 ] [15] [17] [19] [20]
- La mayor parte de la carga útil de Sality se ejecuta en el contexto de otros procesos, lo que dificulta la limpieza y permite que el malware eluda algunos firewalls; Para evitar múltiples inyecciones en el mismo proceso, se crea un mutex en todo el sistema llamado "
.exeM_ [1]_" para cada proceso en el que se inyecta código, lo que evitaría que más de una instancia se ejecute en la memoria. al mismo tiempo. - Algunas variantes de Win32-Sality colocan un controlador con un nombre de archivo aleatorio en la carpeta% SYSTEM% \ drivers para realizar funciones similares, como finalizar procesos relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad, y también pueden deshabilitar cualquier descriptor de servicio del sistema. ganchos de tabla (SSDT) para evitar que cierto software de seguridad funcione correctamente [1] [2] [3] [9] [10] [11] [17] [19] [21] [22]
- Algunas variantes de Sality se propagan moviéndose a unidades remotas / extraíbles y recursos compartidos de red disponibles [1] [2] [3] [7] [8] [10] [11] [19]
- Algunas variantes de Sality eliminan archivos .LNK, que ejecutan automáticamente el virus eliminado [7]
- Algunas variantes de Sality pueden buscar en la libreta de direcciones de Outlook de un usuario y en los archivos almacenados en caché de Internet Explorer direcciones de correo electrónico para enviar mensajes de spam, que luego envía mensajes de spam basados en la información que recupera de un servidor remoto [4]
- Sality puede agregar una sección al archivo de configuración% SystemRoot% \ system.ini como marcador de infección, contactar hosts remotos para confirmar la conectividad a Internet, informar una nueva infección a su autor, recibir configuración u otros datos, descargar y ejecutar archivos arbitrarios (incluyendo actualizaciones o malware adicional), recibir instrucciones de un atacante remoto y / o cargar datos tomados de la computadora afectada; algunas variantes de Sality pueden abrir una conexión remota, lo que permite que un atacante remoto descargue y ejecute archivos arbitrarios en la computadora infectada [4] [8] [10] [11] [12] [13] [14] [15] [17] [19] [20]
- Los equipos infectados con versiones recientes de Sality, como Virus: Win32-Sality.AT y Virus: Win32-Sality.AU, se conectan a otros equipos infectados uniéndose a una red de igual a igual (P2P) para recibir URL que apunten a otros componentes de malware; el protocolo P2P se ejecuta sobre UDP , todos los mensajes intercambiados en la red P2P están encriptados y el número de puerto UDP local utilizado para conectarse a la red se genera en función del nombre de la computadora [1]
- Sality puede agregar un rootkit que incluye un controlador con capacidades tales como finalizar procesos a través de NtTerminateProcess, así como bloquear el acceso a determinados recursos antivirus (por ejemplo, sitios web de proveedores de antivirus) mediante el filtrado de IP; el último requiere que el controlador registre una función de devolución de llamada, que se utilizará para determinar si los paquetes deben descartarse o reenviarse (por ejemplo, descartar paquetes si la cadena contiene el nombre de un proveedor de antivirus de una lista compuesta) [6]
Recuperación
Microsoft ha identificado docenas de archivos que están comúnmente asociados con el malware. [1] [4] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [20] [21] [22] [23] [24 ] [25] [26] Sality usa medidas de sigilo para mantener la persistencia en un sistema; por lo tanto, es posible que los usuarios necesiten arrancar en un entorno de confianza para poder eliminarlo. Sality también puede realizar cambios de configuración, como en el Registro de Windows, lo que dificulta la descarga, instalación y / o actualización de la protección antivirus. Además, dado que muchas variantes de Sality intentan propagarse a unidades extraíbles / remotas y recursos compartidos de red disponibles, es importante asegurarse de que el proceso de recuperación detecte y elimine a fondo el malware de todas y cada una de las ubicaciones conocidas / posibles.
Ver también
- Virus de computadora
Referencias
- ^ a b c d e f g h i j k l m Centro de protección contra malware de Microsoft (7 de agosto de 2010). "Win32-Sality" . Microsoft. Archivado desde el original el 17 de septiembre de 2013 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e f g h Nicolas Falliere (3 de agosto de 2011). "Salidad: historia de una red viral de igual a igual" (PDF) . Symantec . Consultado el 12 de enero de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e Angela Thigpen y Eric Chien (20 de mayo de 2010). "W32.Sality" . Symantec. Archivado desde el original el 5 de octubre de 2013 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e Centro de protección contra malware de Microsoft (29 de mayo de 2009). "Win32-Sality.A" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b FireEye, Inc. (14 de febrero de 2012). "Informe de amenazas avanzadas de FireEye - segundo semestre de 2011" (PDF) . FireEye. Archivado desde el original (PDF) el 22 de mayo de 2012 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c Artem I. Baranov (15 de enero de 2013). "Análisis de Rootkit de Sality" . Archivado desde el original el 10 de agosto de 2013 . Consultado el 19 de enero de 2013 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e f Centro de protección contra malware de Microsoft (30 de julio de 2010). "Gusano: Win32-Sality.AU" . Microsoft. Archivado desde el original el 27 de septiembre de 2013 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e Centro de protección contra malware de Microsoft (28 de abril de 2010). "Virus: Win32-Sality.G.dll" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e Centro de protección contra malware de Microsoft (28 de junio de 2010). "Virus: Win32-Sality.AH" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e f g Centro de protección contra malware de Microsoft (27 de agosto de 2010). "Virus: Win32-Sality.gen! AT" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e f Centro de protección contra malware de Microsoft (2010-10-21). "Virus: Win32-Sality.gen! Q" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e Centro de protección contra malware de Microsoft (2008-07-03). "Virus: Win32-Sality.R" . Microsoft. Archivado desde el original el 4 de abril de 2014 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d Centro de protección contra malware de Microsoft (2008-07-07). "Virus: Win32-Sality.T" . Microsoft. Archivado desde el original el 4 de abril de 2014 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e Centro de protección contra malware de Microsoft (2008-07-07). "Virus: Win32-Sality.AN" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d Centro de protección contra malware de Microsoft (2009-03-06). "Virus: Win32-Sality.S" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b Centro de protección contra malware de Microsoft (2008-07-08). "Virus: Win32-Sality" . Microsoft. Archivado desde el original el 1 de enero de 2012 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d Centro de protección contra malware de Microsoft (30 de julio de 2010). "Virus: Win32-Sality.AU" . Microsoft. Archivado desde el original el 27 de septiembre de 2013 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ Centro de protección contra malware de Microsoft (30 de julio de 2010). "TrojanDropper: Win32-Sality.AU" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c d e Centro de protección contra malware de Microsoft (2010-04-26). "Virus: Win32-Sality.AT" . Microsoft. Archivado desde el original el 30 de enero de 2014 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b c Centro de protección contra malware de Microsoft (2007-11-16). "Virus: Win32-Sality.M" . Microsoft. Archivado desde el original el 5 de abril de 2014 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b Centro de protección contra malware de Microsoft (2010-08-10). "Troyano: WinNT-Sality" . Microsoft. Archivado desde el original el 5 de diciembre de 2013 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ a b Centro de protección contra malware de Microsoft (17 de septiembre de 2010). "WinNT-Sality" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ Centro de protección contra malware de Microsoft (14 de abril de 2010). "Virus: Win32-Sality.G" . Microsoft. Archivado desde el original el 5 de abril de 2014 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ Centro de protección contra malware de Microsoft (2008-07-08). "Virus: Win32-Sality.AM" . Microsoft. Archivado desde el original el 9 de diciembre de 2013 . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ Centro de protección contra malware de Microsoft (17 de junio de 2009). "Virus: Win32-Sality.gen! P" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )
- ^ Centro de protección contra malware de Microsoft (2009-09-02). "Virus: Win32-Sality.gen" . Microsoft . Consultado el 22 de abril de 2012 . CS1 maint: parámetro desalentado ( enlace )