Hace unos días un usuario descubrió un posible programa malicioso en su ordenador: según el usuario, los archivos “autorun.exe” y “autorun.inf” del disco C: reaparecieron después de haberlos eliminado.
El análisis inicial reveló que se descargan varios archivos, incluyendo .NET FrameWork, que se instala sin que el usuario lo note. Eso fue una sorpresa: hace mucho que no veíamos un programa malicioso tan descarado como para instalar .NET. Así que decidí examinar a fondo este ejemplar. Resultó muy interesante tanto en cuestiones de funcionalidad maliciosa como en el método que utilizaba para instalar sus componentes.
El archivo fuente autorun.exe es un archivo comprimido SFX que se creó utilizando WinRK, una herramienta para comprimir archivos poco conocida. Al ejecutarlo se desata una serie de reacciones:
Autorun.exe -> .exe -> !.bat -> start.vbs -> .bat -> Hidden Start inst.bat -> evntstart.exe;
Lo interesante de esta secuencia es que sólo emplea programas estándar y legítimos:
“Autorun.exe” – WinRK SFX;
“.exe” – BatToExe;
“inst.bat” – se ejecuta con Hidden Start;
“evntstart.exe” – WinRK SFX;
Por ahora su funcionalidad maliciosa se limita a instalar en el registro el servicio que ejecuta evnstart.exe cuando se inicia el sistema, a copiar archivos descomprimidos a la carpeta del sistema y a terminar el proceso de SafeSurf. Más adelante explicaremos el papel que juega SafeSurf en este ataque. El archivo inst.bat entra en contacto con herramientas como taskkill, net, regedit, etc.
Después sucede lo siguiente:
Evntstart.exe -> msexec.bat -> jnwmon.bat -> zrgutsp.bat -> ai.bat -> build.bat -> spidermod.bat -> .NET Setup -> SafeSurf start;
Una pequeña explicación de cada archivo .bat:
“zrgutsp.bat” – agrega usuarios con derechos de administración, abre el puerto TCP 3389 para RDP utilizando netsh y otra actividad similar;
“ai.bat” – instala RAdmin en modo oculto, emplea dos bibliotecas y un archivo ejecutable guardados en el archivo comprimido SFX;
“build.bat” – arma autorun.exe “al vuelo” utilizando el archivo principal de WinRK;
“spidermod.bat” – elimina autorun.inf constantemente de todas las raíces del disco y lo vuelve a copiar en el mismo lugar;
“.NET Setup” – instala en secreto .NET en el ordenador del usuario desde el archivo jnwmon.bat y se implementa de la siguiente manera:
if exist %SystemRoot%Microsoft.NETFrameworkv2.0.50727Accessibility.dll goto end
dotnetfxupdt.exe -download http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe
dotnetfx.exe /q:a /c:”install /q”
Tampoco se utilizaron programas maliciosos en la segunda etapa: RAdmin, netsh, net, dotnetfx y WinRK son programs legales, hasta programas del sistema. Ahora veamos más de cerca el sistema JetSwap.
Esta información está disponible en http://www.jetswap.net (en inglés):
El sistema JetSwap se creó para facilitar el proceso de promocionar nuevos proyectos de Internet. Todo lo que se necesita después de crear el proyecto es asignar uno o más códigos de sistema (el efecto máximo se alcanza cuando se instalan todos los códigos) y agregar un pequeño grupo inicial de visitantes. Estos visitantes a su vez atraen más visitantes. Los códigos del sistema diseñados para instalarse en el sitio web otorgan créditos de forma automática para promover el sitio. Tus visitantes son quienes hacen que ganes créditos. Lo único que debes hacer es vigilar el proceso.
En la etapa final, el malware instala SafeSurf en el ordenador del usuario, que funciona con el sistema JetSwap y ejecuta su modo de “navegación automática” en secreto. Así el dueño del sitio gana créditos mientras el usuario infectado pulsa en diferentes sitios. El cibercriminal ni siquiera se molestó en borrar su rastro: su información está disponible en el archivo *.reg.
Editor de Registros de Windows Versión 5.00
[HKEY_LOCAL_MACHINESOFTWAREJetSwap] “autocr”=”1”
“v2″=”1”
“splash”=”1”
“v3″=”1”
“v4″=”0”
“v5″=”1”
“vhd”=”1”
“msurf”=”0”
“surfhide”=”0”
“asurf”=”1”
“minw”=”0”
“login”=”jackmen”
“passh”=”7458bab36c82e74839639c48b9e64a05”
Ejecuté el programa con los datos del registro pero sin los otros componentes maliciosos y vi la ventana principal de SafeSurf. Hasta pulsé en el botón para ver el balance, como se muestra en la imagen de abajo.
Captura de pantalla de SafeSurf que muestra los parámetros que escogió el escritor de virus en el archivo .reg
Al principio dije que este programa era interesante por su funcionalidad y su modo de instalación, así que voy a explicar a lo que me refería. Todos los componentes son legales y el proceso de instalación se realiza empleando sólo programas legítimos, archivos .bat, scripts y archivos del registro. Sólo algunos de los archivos de proceso por lotes se pueden considerar maliciosos. Hasta el archivo fuente autorun.exe del ordenador del usuario es un archivo comprimido WinRK SFX. El método para ganar dinero también es interesante: instalar programas para promover sitios.
Kaspersky Lab detecta este programa malicioso como Trojan-Clicker.Win32.FrusEfas. Un agradecimiento especial a Oleg Zaystev por el material que compartió conmigo.
Ganando dinero con un sistema de promoción de sitios web