MAX++ pone la mira en las plataformas x64

Últimamente, los expertos de Kaspersky Lab han estado detectando nuevos ejemplares del programa malicioso MAX++ (también conocido como ZeroAccess). Este troyano se hizo famoso hace tiempo por utilizar tecnologías avanzadas de rootkit para esconderse en un sistema. En ese entonces, MAX++ sólo funcionaba en plataformas x86; ¡ahora también funciona en sistemas x64!

Los ordenadores se infectan con ataques drive-by a los navegadores, y sus componentes mediante el paquete de exploits Bleeding Life. En particular, los módulos de Acrobat Reader (CVE 2010-0188, CVE 2010-1297, CVE 2010-2884, CVE 2008-2992) y Java (CVE 2010-0842, CVE 2010-3552) son propensos a los ataques.

Fragmento del código de paquetes de exploits que lanza los ataques a versiones específicas de Acrobat Reader.

Si un ordenador es vulnerable a los exploits, se instala el descargador de troyanos MAX++ en el sistema. El descargador identifica el tipo de sistema (x86 o x64) que se está ejecutando y descarga el dropper MAX++ conveniente (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).

Fragmento del código que identifica la arquitectura del sistema operativo antes de descargar el debido descargador MAX++.

El descargador MAX++ para x86 no es muy diferente a su versión anterior. Durante la instalación, infecta el driver del sistema (Kaspersky Lab detecta los archivos infectados como Rootkit.Win3.ZAccess.c) y lo carga en la memoria con el nombre de ntdll!NtLoadDriver. El parámetro ImagePath en la clave de registros del sistema facilita que se cargue el driver en la memoria. Este parámetro contiene un enlace simbólico al driver infectado. El dropper también crea un volumen virtual en “$windirsystem32config” que se formatea con el sistema de archivos NTFS y funciona junto al driver de programas maliciosos. Aquí también se guardan los módulos del descargador. Esta variante de MAX++ funciona en los sistemas operativos Windows XP/2003 y Windows 7/2008 de 32 bits.

Lo más interesante es cuando el descargador se ejecuta en un sistema x64. El resultado es un dropper especial para sistemas x64 que se descarga en el ordenador de la víctima. Este dropper no contiene un rootkit. Es un malware usermode que imita el comportamiento de un rootkit x32, con la excepción de que sus componentes son archivos y están guardados en “$windirassembly” con estructuras de directorio similares. La llave del sistema “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems” crea un Autorun en sistemas x64. El cuerpo del descargador se ubica en la carpeta system32, con el nombre consrv.dll. Todos los módulos que MAX++ descarga al ser instalado también están diseñados para plataformas de 64 bits. La versión x64 de MAX++ se instala al inyectarse a sí mismo en el proceso services.exe, llamando a ntdll!NtQueueApcThread. Lo que hace que un sistema x64 sea difícil de tratar es la llave autorun del malware: si se elimina el archivo sin reparar la llave de registros, el BSOD aparece cuando el sistema intenta arrancar.

Los módulos que MAX++ descarga realizan varias acciones: alteran los resultados de búsquedas, funcionan como troyanos “clicker” y descargan archivos sin autorización.

Los productos Kaspersky Lab protegen a sus usuarios de MAX++. Identifican los exploits como HEUR:Trojan-Downloader.Script.Generic, y detectan el programa malicioso con firmas tradicionales y heurísticas.