El cargador de TDSS ya tiene “piernas”

El cargador de TDSS ya tiene “piernas”
Sergey Golovanov
Kaspersky Lab Expert
Posted June 03, 14:40 GMT
Tags: Social Engineering, Rootkits, x64, DNS
0.4

El cargador de TDSS, un programa malicioso sobre el que hemos escrito muchas veces (como aquí y aquí), ya tiene piernas propias, o un mecanismo de autopropagación. TDSS es un programa muy complejo, y los cibercriminales han creado un ingenioso mecanismo de propagación para su cargador.

El cargador de TDSS se llama Net-Worm.Win32.Rorpian, y utiliza dos métodos para propagar su código:

1. Mediante dispositivos portátiles
2. Por medio de una red de área local (LAN)

Cuando se propaga mediante dispositivos portátiles, el gusano crea los archivos setup.Ink, myporno.avi.Ink y pornmovs.Ink, además de autorun.inf. Estos archivos son atajos para llegar al archivo rundll32.exe, con parámetros que dirigen al DLL del gusano. Esta es una técnica estándar que muchos programas maliciosos emplean.

Cuando se propaga por medio de una conexión de área local, el gusano utiliza la siguiente técnica: Cuando infecta un ordenador, el gusano revisa si se utiliza un servidor DHCP en la red. Si el ordenador de la víctima se encuentra en una red que utiliza el protocolo DHCP, el gusano comienza a analizarla en busca de direcciones IP disponibles. Después, el gusano lanza su propio servidor DHCP y comienza a vigilar la red. Si detecta una solicitud DHCP de algún ordenador de la red local, el gusano trata de ser el primero en responderle y le envía los siguientes datos:

1. Una dirección IP de la lista de IPs disponibles.
2. La puerta de enlace principal del ordenador infectado.
3. La dirección del servidor DNS malicioso del cibercriminal.

Después de estas operaciones, se redirige al usuario al servidor malicioso cada vez que intente visitar cualquier sitio web, y se le pide que actualice su navegador.

Fragmento del código de Net-Worm.Win32.Rorpian, que funciona con el protocolo DHCP.

El usuario no podrá visitar los sitios web hasta que instale las “actualizaciones”. Si lo hace, el gusano descarga una modificación de Net-Worm.Win32.Rorpian. Después de infectar su ordenador, cambia la configuración de DNS a una dirección de Google Server y permite que el usuario siga navegando.

Captura de pantalla del sitio malicioso desde donde se propaga el gusano.

En otras palabras, Net-Worm.Win3.Rorpian, el cargador de TDSS, uno de los programas maliciosos más avanzados y sofisticados, explota la vulnerabilidad más peligrosa de todas: el usuario.

P.D. Muchas gracias a Evgeny Aseev por ayudarme a preparar esta entrada.