Amenaza por abuso de actualización de GOM Player

Varios medios de comunicación informaron el 7 de enero de este año que un ordenador relacionado con "Monju” (el reactor reproductor de la Agencia de energía atómica de Japón) resultó infectado por un programa malicioso y que se sospechaba de fugas de información. Algunos afirmaban que la infección posiblemente tuvo su origen en el abuso de las actualizaciones legítimas de “GOM Player”, hecho que acaparó los titulares de prensa. GOM Player es un reproductor multimedia gratuito compatible con muchos codecs de vídeo y audio, y muy popular entre los japoneses.  Difiere de otros reproductores multimedia en algunos aspectos notables: su compatibilidad con los formatos de archivos más comunes, como AVI, DAT, DivX, MPEG o WMV, sólo por nombrar algunos, y por contar con una versión japonesa oficial. Se estima que cuenta con más de seis millones de usuarios en Japón.

Hemos recibido un archivo de muestra llamado “GoMPLAYER_JPSETUP.EXE”:

208216056

Se trata de un archivo ejecutable comprimido en formato RAR. Cuando se ejecuta, se descomprime y ejecuta otro archivo ejecutable incluido en el paquete. La figura 1 muestra los archivos incluidos en el archivo comprimido RAR:

208216058

Figura 1: Archivos dentro de “GoMPLAYER_JPSETUP.EXE”

Dos archivos están incluidos en el archivo comprimido:

208216059

“GOMPLAYERJPSETUP_JP.EXE” es un archivo legítimo de actualización de GOM Player. “GOMPLAYERBETASETUP_JP.EXE” es otro archivo ejecutable en formato RAR. La figura 2 muestra los archivos incluidos en “GOMPLAYERBETASETUP_JP.EXE”.

208216060

Figura 2: Archivos dentro de “GOMPLAYERBETASETUP_JP.EXE”

“GOMPLAYERBETASETUP_JP.EXE” contiene cinco archivos que incluyen códigos maliciosos. Entre ellos está “install.exe” que se ejecuta desde "GOMPLAYERBETASETUP_JP.EXE”.

208216061

El archivo “install.exe” utiliza la función IsWow64Process para verificar el ambiente en el que se está ejecutando (figura 3):

208216065

Figura 3: Proceso de estimación de “install.exe”

En base a los resultados del proceso de estimación, lee “dll.tmp/dll64.tmp” (según el ambiente) y descifra el XOR con “x14”, para después generar “install.ocx” en “%windir%temp”. La figura 4 muestra el proceso de descifrado del XOR.

208216063

Figura 4: proceso de descifrado del XOR de “dll.tmp/dll64.tmp” mediante “x14”

Luego copia “instructions.pdf /instructions64.pdf”" /según el ambiente) a la misma carpeta como “install.ocx”.

208216064

Crea dos valores “Default"="%windir%install.ocx” y “ThreadingModel"="Apartment” en las siguientes partes del registro:

"HKEY_CLASSES_ROOTCLSID{ECD4FC4D-521C-11D0-B792-00A0C90312E1}InProcServer32" "HKEY_CURRENT_USERSoftwareClassesCLSID{ECD4FC4D-521C-11D0-B792-00A0C90312E1}InProcServer32" "HKEY_USERS2S-1-5-21-1439904799-1247934098-3846997294-1000SoftwareClassesCLSID{ECD4FC4D-521C-11D0-B792-00A0C90312E1}InProcServer32" "HKEY_USERSS-1-5-21-1439904799-1247934098-3846997294-1000_ClassesCLSID{ECD4FC4D-521-11D0-B792-00A0C90312E1}InProcServer32"

Después de registrarse, vuelve a ejecutar “explorer.exe” para cargar “install.ocx” en el proceso de "explorer.exe” para infectarlo. El archivo “install.ocx” carga “instrucsion.pdf/instructions64.pdf” en la memoria, decodifica su OXR con “x14”, y después salta al punto de entrada descifrado para ejecutar el programa malicioso.

208216066

En la memoria del archivo descifrado “instruction.pdf/instruction64.pdf” lee el dato 0x400byte al pie del archivo. Busca hilos como “AAAAAAAA”, “PPPPPPPP” y “BBBBBBBB” entre los datos para después  extraer los datos que los siguen. Por último, decodifica base64 y calcula “add x7a“ and “xor x19” (figura 5).

208216067

Figura 5: Proceso de descifrado

La siguiente tabla muestra el nombre de los datos antes/después del descifrado:

208216068

Estos hilos se usan en el nombre de dominio y el puerto de conexión para el servidor C&C.

Los productos de Kaspersky detectan este programa malicioso como “Backdoor.Win32.Miancha.*” (figura 6).

208216069

Figura 6: Los productos de Kaspersky detectan “Backdoor.Win32.Miancha.b” en la muestra

Todavía no está clara por qué razón se instaló este software gratuito en Monju. Las autoridades a cargo de la investigación aún no han revelado los detalles del caso. Nos mantendremos alertas a la evolución de la situación.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *