Una pareja dispareja: un rootkit de 64 bits y un antivirus falso para MacOS

Nuestro laboratorio de virus ha encontrado un ejemplar muy interesante: un descargador de troyanos (downloader) que contiene dos drivers y descarga programas antivirus falsos para PC y Mac. El programa malicioso se descarga e instala con el paquete de exploits BlackHole. Éste contiene exploits para vulnerabilidades en JRE (CVE-2010-0886, CVE-2010-4452, CVE-2010-3552) y PDF.

Ambos drivers son rootkits estándar con muchas funcionalidades. Uno de ellos es de 32 bits y el otro de 64 bits. El de 64 bits tiene algo llamado firma digital de pruebas. Si Windows (Vista o superior) arranca en el modo “TESTSIGNING”, las aplicaciones pueden ejecutar los drivers que tienen una firma digital de pruebas. Esta es una entrada especial que Microsoft dejó abierta para que los desarrolladores de malware puedan probar sus creaciones. Los cibercriminales también utilizan esta entrada: Ejecutan el comando ‘bcdedit.exe –set TESTSIGNING ON’, que les permite ejecutar su propio driver sin una firma digital legítima.

La siguiente descripción sirve para ambos rootkits porque, además aparte de las plataformas a las que ataca, su funcionalidad es idéntica. Es difícil deshacerse del driver cuando ya está instalado y funcionando en el sistema. El rootkit bloquea el funcionamiento de los drivers de productos antivirus y anti-rootkits. Lo hace con la ayuda de una lista de nombres de archivos para drivers específicos y cadenas de códigos que el rootkit busca en la sección de Seguridad de la matriz DataDirectory de la imagen que se está cargando. Si el rootkit descubre que se está cargando un driver “no confiable”, cambia los bytes en el punto de entrada de la imagen para evitar que se siga cargando.

Fragmento del rootkit que busca cadenas de caracteres para bloquear drivers de programas antivirus.

El rootkit protege la aplicación “principal” al enganchar ZwOpenProcess /ZwOpenThread en SDT (sólo versiones de 32 bits de Windows), y utiliza las retrollamadas del administrador de objetos para acceder a las aplicaciones “confiables”. El sistema de archivos también se controla con conexiones al sistema de archivos y el registro, utilizando las retrollamadas del registro.

Este rootkit es una prueba más (después de TDSS) de que no se necesita burlar Patck Guard-a para implementar funcionalidades de rootkit en plataforms de 64 bits.

El descargador está escrito en C++ y no está protegido. Su tarea principal es instalar y ejecutar el driver relevante (de 32 o 64 bits) y después descargar y ejecutar una lista de archivos de URLs. Es interesante que uno de los enlaces dirige a Hoax.OSX.Defma.f, un programa sobre el que escribimos hace poco. Pero lo más importante es que el rootkit intenta ejecutarlo… ¡en Windows! Parece que los desarrolladores del último programa antivirus para MacOS están distribuyéndolo con intermediarios, que en realidad no conocen el productosaben qué es lo que deben instalar en los ordenadores de los usuarios.

Fragmento del código malicioso que descarga y ejecuta el archivo.

Los productos Kaspersky Lab detectan y neutralizan tanto Trojan-Downloader.Win32.Necurs.a como Rootkit.Win32.Necurs.a / Rootkit.Win64.Necurs.a.