Continuamos
con el análisis.
En el trozo
de código que se muestra a continuación se define una variable de tipo
"Shell" que permite recuperar el acceso al contenido de las
siguientes carpetas y archivos, por parte del administrador:
%systemdrive%\kernel - c:\kernel
%systemdrive%\security- c:\security
%alluserprofiler%\ - c:\ProgramData\
%systemRoot%\System32\wscript.exe - c:\Windows\System32\wscript.exe
%systemRoot%\System32\drivers - c:\Windows\System32\drivers
%systemRoot%\System32\drivers\flopydisk.sys -
c:\Windows\System32\drivers\flopydisk.sys
""%systemdrive%\system Volume Information - c:\system Volume
Information
Así como
definir los permisos para las anteriores carpetas o archivos.
Modificación de permisos
En el trozo
de código que se muestra a continuación se modifican los valores de las
siguiente claves de registro, colocando en ambos casos el valor "0":
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr
= 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 0
Modificación del registro de Windows
En el trozo
de código que se muestra a continuación se crea un archivo en la carpeta
"Temp" del usuario con el que se ejecuta este código, con el nombre: tmp.bat.
Posteriormente el archivo por lotes se ejecutará y se eliminará.
Contenido
del archivo tmp.bat
Para ser más legible, se muestra
una imagen del archivo por lotes: tmp.bat
Imagen del archivo: tmp.bat
Este archivo
comprueba la existencia dentro del archivo "C:\security\blood.dat" de
los delimitadores definidos por el sistema, si la cantidad encontrada supera
los 18, entonces no se realizada nada. Por el contrario, se pasa a:
1.-
Establecer un icono para los archivo de tipo ".vbe", mediante:
HKCR\VBEFile\DefaultIcon=%SystemRoot%\system32\shell32.dll,1
2.- Copia a
la carpeta temporal del usuario todos los archivos con extensión
".vbe" ubicados en:
A.- c:/kernel
B.-
El propio archivo ejecutado por el usuario.
3.- Se
camufla el archivo ejecutado ubicado en la carpeta temporal mediante la
ocultación y la declaración del archivo como archivo del sistema.
4.- Se
comprueba que realmente existe el archivo anterior en la carpeta temporal. Si
no existe se finaliza la ejecución del archivo por lotes.
5.- Se
elimina de todas las unidades detectas en el sistema el archivo "config.dat"
6.- Se crean
los siguiente directorios:
A.- c:\security
B.- c:\security\lpt1
C.- c:\kernel
D.- c:\kernel\lpt1
7.- Se
camufla los directorios creados anteriormente mediante la ocultación y la
declaración del archivo como archivo del sistema.
8.- Se elimina
el contenido de los directorios: "c:\kernel"
y "c:\security"
9.- Se copia
en los dos directorios anteriores el archivo que ha sido lanzado por el usuario
10.- Se
elimina de la carpeta temporal el archivo cuyo nombre es igual al nombre del
archivo que ha ejecutado el usuario.
11.- Se
renombrar los archivos copiados en el punto 9, por los nombres: r00t3r y blood.dat. Siendo el primero de ellos camuflado mediante los
procedimientos vistos anteriormente (ocultando el archivo y declarándolo del
sistema)
12.- Se
procede a registrar todos las librerías y ejecutables ubicados en la carpeta
"c:\windows\wbem"
13.- Se
procede a configurar el servicio "TermService"
para que se inicie de manera automática
En el trozo
de código que se muestra a continuación se crea un archivo en la carpeta
"Temp" del usuario con el que se ejecuta este código, con el nombre: tmp.vbs.
Posteriormente el archivo por lotes se ejecutará y se eliminará.
Para ser más legible, se muestra
una imagen del archivo tal y como quedaría: tmp.vbe
Este realizará
lo siguiente:
1.- Crea en
la carpeta temporal del usuario un archivo denominado: b.bat
2.- Comprueba
la existencia de carpetas compartidas en el host, y por cada una de ellas se
almacena en el archivo creado anteriormente las cadenas mostradas a
continuación.
Es decir,
por cada recurso compartido, elimina cualquier vestigio de archivos con extensión
".vbe", copia el archivo; "blood.dat", ubicado en la
carpeta: "C:\security" en el recurso compartido, y renombrar el
archivo como: "Update.dat", ocultándolo y dándole atributos del
sistema
NOTA: Dicho archivo se ejecutará como última tarea del archivo: tmp.vbe
3.- Tras la
inserción de las líneas de código, se procede a eliminar todo tipo de archivo:
"de acceso directo"
4.- Se pasa a crear un acceso directo bajo el
nombre: "Mariage.lnk", que
ejecutará el archivo: "update.dat"
almacenado en el recurso compartido.
Conclusión: Este último archivo: tmp.vbe, es el encargado de propagar la infección
de manera transversal, mediante el uso de unidades compartidas ( través de la
red).
No hay comentarios:
Publicar un comentario