Hace unas horas recibimos una interesante colección de muestras de nuestros colegas de otra compañía de soluciones antivirus.
Estas muestras resultan especialmente interesantes porque contienen un módulo con la siguiente cadena:
1 |
C:ShamoonArabianGulfwiperreleasewiper.pdb |
Por supuesto, la referencia “wiper” (limpiador) inmediatamente nos recuerda los incidentes de limpieza de ordenadores iraníes desde abril de 2012 que nos llevaron a descubrir Flame.
Este programa malicioso es un archivo de 900 KB PE que contiene una variedad de recursos codificados.
Los recursos 112, 113 y 116 se codificaron mediante una operación 4 byte XOR. Las llaves para la decodificación, incluyendo otro recurso de uno de los binarios, son:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
dir "C:Documents and Settings" /s /b /a:-D 2>nul | findstr -i download 2>nul >f1.inf dir "C:Documents and Settings" /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i download 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i picture 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i video 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i music 2>nul >>f1.inf dir "C:Documents and Settings" /s /b /a:-D 2>nul | findstr -i desktop 2>nul >f2.inf dir C:Users /s /b /a:-D 2>nul | findstr -i desktop 2>nul >>f2.inf dir C:WindowsSystem32Drivers /s /b /a:-D 2>nul >>f2.inf dir C:WindowsSystem32Config /s /b /a:-D 2>nul | findstr -v -i systemprofile 2>nul >>f2.inf dir f1.inf /s /b 2>nul >>f1.inf dir f2.inf /s /b 2>nul >>f1.inf |
Dentro del recurso 112, existe otro recurso (101) que contiene un controlador de disco firmado:
El controlador de disco por sí mismo no parece ser malicioso. Sin embargo, se usa para que los componentes del programa malicioso accedan al disco a la fuerza.
Curiosamente, el controlador está firmado por EldoS Corporation, una firma que tiene la misión de ‘Ayudar a la gente a sentirse segura sobre la integridad y seguridad de información crítica’, según su sitio web.
Además:
EldoS Corporation es una firma internacional especializada en el desarrollo de componentes de software de seguridad para el mercado corporativo y para desarrolladores individuales de software.
Por supuesto, surge una gran interrogante: “¿es este el programa malicioso conocido como Wiper que atacó Irán en abril de 2012?”.
Nuestra opinión, basada en la investigación de varios sistemas atacados por el Wiper original, es que no es así. El “Wiper” original usaba ciertos nombres de servicio (“RAHD…”) junto a nombres de archivo específicos para sus controladores (“%temp%~dxxx.tmp”) que no parecen estar en este programa malicioso. Además, el Wiper original usaba cierto patrón para limpiar discos, lo que no sucede con este programa malicioso.
Es muy probable que se trate de una imitación hecha por aficionados inspirados en la historia.
Hemos detectado los componentes 32-bit del programa malicioso como Trojan.Win32.EraseMBR.a. El componente 64-bit se detectó como Trojan.Win64.EraseMBR.a. En el momento de su descubrimiento, se detectó heurísticamente un descargador principal: “HEUR:Trojan.Win32.Generic”.
P.D. No estamos seguros aún sobre el significado de “Shamoon”. Podría ser una referencia a Shamoon College of Engineering http://www.sce.ac.il/eng/. O podría tratarse simplemente del nombre de uno de los autores del programa malicioso. Shamoon es Simón en árabe.
Actualización (17-08- 2012): Nuestros colegas de Seculert han publicado su propio análisis del ataque Shamoon. Sugieren que se trata de un ataque en dos etapas, con un movimiento lateral.
Actualización (17-08- 2012): En las últimas 24 horas hemos recopilado telemetría de nuestros usuarios sobre detecciones de Trojan.Win32.EraseMBR.a. Por ahora, sólo hay dos informes, ambos de China, que al parecer son de investigadores en seguridad. Entonces podemos inferir que el programa malicioso no tiene una amplia propagación y que probablemente atacó sólo blancos muy específicos.
Shamoon el Limpiador – Imitadores trabajando