Una nueva versión de Sality anda suelta

El viernes pasado, los expertos de Kaspersky Lab detectaron una nueva variante de Sality.aa, el virus polimórfico más popular hoy en día. Sality.aa mutó por última vez hace un año y el cambio no fue muy dramático. Pero este virus se ha mantenido entre las 5 amenazas más detectadas en los ordenadores de los usuarios en los últimos dos años. Las variantes previas de Sality no eran tan populares. Después de Sality.aa apareció una nueva versión llamada Sality.ae, que utiliza la técnica de infección EPO. Pero no tuvo grandes logros porque los cibercriminales la utilizaban como un simple algoritmo de decodificación y sus técnicas de infección eran ineficientes. Las versiones siguientes del programa malicioso tampoco fueron muy populares por la exagerada simplicidad de sus algoritmos de codificación.

La variante recién descubierta fue nombrada Sality.ag. ¿Qué tiene de interesante esta variante? Contiene un algoritmo de decodificación completamente nuevo y aloja ‘características avanzadas’. Como vemos, la nueva variante tiene todas las posibilidades de reemplazar la anterior versión, Sality.aa, y ganar popularidad.

Sus características funcionales califican a este virus como una Puerta Trasera (Backdoor). Cuando ingresa al sistema, lo primero que Sality.ag hace es instalar su DLL y un controlador para filtrar el tráfico de Internet. El DLL se utiliza para repeler todos los programas de seguridad y cortafuegos.

A continuación vemos una captura de pantalla del DLL decodificado. Contiene líneas que demuestran la capacidad del virus de resistir los contraataques de los programas de seguridad: “avast! Self Protection”, “NOD32krn”, “Avira AntiVir Premium”, “DRWEBSCD” etc. Sality emplea una de las formas más simples de apagar un antivirus: Intenta cerrar todas las ventanas y acabar con todos los procesos con nombres asociados a productos de seguridad.

Captura de pantalla de parte del DLL decodificado de Sality.ag

El virus también escribe informes adicionales al registro del sistema lo que terminaría TaskManager y UAC, y agrega el controlador a la rama del registro “SystemCurrentControlSetControlSafeBoot”. Esto hace que el controlador reinicie el equipo en modo seguro.

El controlador crea un mecanismo llamado “amsint32” y se comunica con “DeviceIPFILTERDRIVER”, un controlador con filtrado de paquetes IP que puede filtrar cualquier tipo de tráfico Internet. El archivo del controlador está incluido en la DLL, dentro del cuerpo del virus y empaquetado con UPX.

Asimismo, el cuerpo del virus crea objetos sincronizados para detectar cuándo se ejecutan los archivos infectados “uxJLpe1m” y “Ap1mutx7”. También instala las DDL de arriba y descarga datos de servicio de las siguientes URLs:

http://sagocugenc.sa.funpic.de/images/*****.gif
http://www.eleonuccorini.com/images/*****.gif
http://www.cityofangelsmagazine.com/images/*****.gif
http://www.21yybuyukanadolu.com/images/*****.gif
http://yucelcavdar.com/*****.gif
http://www.luster-adv.com/gallery/Fusion/images/*****.gif

Al terminar de realizar todas estas tareas, Sality intenta establecer una conexión a un servidor de comando y control y continúa operando como una puerta trasera común, ejecutando cualquier comando que reciba de este servidor.

La técnica de infección utilizada es similar a la de Sality.aa, la variante anterior. El código de acceso se reemplaza con una instrucción para saltar al cuerpo. La orden de realizar este salto es una instrucción común de “salto indirecto al registro” (jmp reg) que está muy ofuscada. El peso el cuerpo es de 0x11000 bytes y está ubicado al final de la última sección, que está expandida con este propósito. Se agregan a la sección las alertas “accesible para escribir” y “permite ejecución”. Los primeros 0x1000 bytes del código están muy ofuscados y decodifican el resto del código. Mientras que Sality.aa utiliza el algoritmo RC4, esta versión utiliza un algoritmo que descifra dos palabras dobles en un solo ciclo. Cada ciclo incluye 0x3F iteraciones que utilizan las operaciones “agregar”, “eliminar” y “cambiar” e incluyen una tabla de palabras dobles al inicio de la porción infectada.