¿Cómo se crean los virus? ¿Cómo se propagan?

Hola,

Intel Security ha visto recientemente un nuevo tipo de ransomware, Zcrypt, que puede auto replicarse. Este “virus ransomware” llega por correo electrónico en un archivo adjunto malicioso o usurpando una instalación de Adobe Flash Player. El malware se copia en unidades extraíbles para infectar otras máquinas.

Zcrypt utiliza el Sistema de instalación de secuencias de comandos de Nullsoft, que funciona como un archivo Zip, descomprime y carga el contenido mientras se ejecuta.

Resumen del archivo Zcrypt original.

Si echamos un vistazo al recurso, podemos ver información relacionada con el instalador. La siguiente ventana, extraída del visor de recursos, está relacionada con el instalador, pero cuando se ejecuta la muestra no aparece ninguna ventana.

Información de recursos para el archivo Zcrypt.

Usando una sencilla herramienta de descompresión, podemos ver el contenido del archivo.

Contenido extraído del ransomware Zcrypt.

Los archivos contenidos en la muestra original:

  • $ PLUGINSDIR contiene el archivo system.dll relacionado con el motor Nullsoft.
  • Archivo cCS leído por la DLL antes de ejecutar la carga útil final
  • 9 archivos leídos por la DLL antes de ejecutar la carga útil final.
  • dll es la DLL maliciosa que ejecuta la carga útil final.

Análisis DLL

SetCursor.dll es cargado por el instalador. La siguiente captura de pantalla nos brinda información sobre esta DLL:

Información resumida de SetCursor.dll.

También podemos ver que la fecha de compilación no es correcta e indicar un archivo muy antiguo (1970).

Los metadatos del archivo están relacionados con la herramienta TortoisePlink y el icono de la muestra está relacionado con el software Putty.

Metadatos para SetCursor.dll.

La muestra usa ofuscación para ocultar su comportamiento y evitar el análisis. La tabla de exportación está completamente ofuscada y no se puede leer estáticamente.

Extracto de la tabla de exportación ofuscada.

Comportamiento

El ejemplo crea una clave de ejecución del registro y un archivo LNK en la carpeta de inicio para persistencia. Calcula una suma MD5 de la cadena (nombre de computadora @ nombre de usuario) y la guarda en cid.ztxt. Luego, suelta las claves públicas y privadas y consulta una IP remota para registrar la máquina infectada. Una vez que la máquina está registrada, el malware comienza a cifrar los archivos con la extensión Zcrypt. Una vez que finaliza el cifrado, suelta un archivo HTML en el escritorio, descarga un mensaje de rescate PNG desde 93.174.90.126 y la dirección de Bitcoin para pagar el rescate.

Una vez que se ejecuta la muestra, crea o consulta las siguientes claves de registro:

  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ zcrypt
  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ShellCompatibility \ Applications \ zcrypt.exe
  • HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Compatibility32 \ zcrypt
  • HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opciones de ejecución de archivos de imagen \ zcrypt.exe
  • HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Custom \ zcrypt.exe
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ App Paths \ zcrypt.exe
  • HKCU \ Software \ Classes \ AppID \ zcrypt.exe
  • HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Custom \ zcrypt.exe

Y crea estos archivos:

  • C: \ Users \ \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ zcrypt.lnk
  • C: \ Users \ \ AppData \ Roaming \ zcrypt.exe
  • C: \ Users \ \ AppData \ Roaming \ cid.ztxt
  • C: \ Users \ \ AppData \ Local \ Temp \ nsr76A8.tmp
  • C: \ Users \ \ AppData \ Local \ Temp \ nsr76A9.tmp \ System.dll
  • C: \ Users \ \ AppData \ Local \ Temp \ nsm3B6D.tmp
  • C: \ Users \ \ AppData \ Local \ Temp \ nsm3B6E.tmp
  • C: \ Users \ \ AppData \ Local \ Temp \ nsm3B6E.tmp \ System.dll
  • C: \ Users \ \ AppData \ Roaming \ Coalfish.cCS
  • C: \ Users \ \ AppData \ Roaming \ Relay.9
  • C: \ Users \ \ AppData \ Roaming \ SetCursor.dll
  • C: \ Users \ \ Desktop \ SetCursor.DLL
  • C: \ Windows \ System32 \ SetCursor.DLL
  • C: \ Windows \ system \ SetCursor.DLL
  • C: \ Windows \ SetCursor.DLL
  • C: \ Users \ \ Desktop \ zcrypt.exe.Local
  • C: \ Users \ \ AppData \ Roaming \ public.key
  • C: \ Users \ \ AppData \ Roaming \ private.key

Conexión de red

El ejemplo realiza las siguientes solicitudes al sitio Google (93.174.90.126):

Solicitud de clave pública:
OBTENGA http://dedicate-hosting.ml/c8a40… HTTP / 1.1

Solicitud de clave privada:
OBTENGA http://dedicate-hosting.ml/c8a40… HTTP / 1.1

Solicitud de dirección de Bitcoin:
OBTENGA http://dedicate-hosting.ml/c8a40… HTTP / 1.1
Conexión: Keep-Alive

Solicitud de mensaje de rescate PNG:
OBTENER

HTTP / 1.1

Después de una infección exitosa, las víctimas ven el mensaje de rescate:

El mensaje de rescate HTML de Zcrypt.

El mensaje de rescate PNG.

Cavar más profundo

Para analizar más a fondo Zcrypt, cambiamos el campo característico de la muestra para cargarlo en OllyDbg como un ejecutable normal. La DLL utiliza múltiples funciones WriteProcessMemory para escribir la carga útil en el espacio de memoria. (Para más información, consulte https://msdn.microsoft.com/en-us….)

BOOL WINAPI WriteProcessMemory (

_In_ HANDLE hProcess,
_In_ LPVOID lpBaseAddress,
_In_ LPCVOID lpBuffer,
_In_ SIZE_T nSize,
_Out_ SIZE_T * lpNumberOfBytesWritten

);

La función WriteProcessMemory.

Una vez que se completa el paso final WriteProcessMemory, podemos extraer la carga útil de la memoria con la dirección del búfer.

Extrayendo la carga útil de la memoria.

Después de extraer la carga útil, podemos ver el idioma utilizado y la fecha de compilación original, que está cerca de la fecha de infección.

Resumen de la carga útil.

Un archivo de base de datos del programa nos muestra información sobre el nombre original, MyEncrypter2:

La muestra también usa algunos trucos para evitar el análisis:

Los trucos antidebugging de Zcrypt.

Para cifrar los archivos en el sistema, la muestra usa OpenSSL. Podemos encontrar algunas referencias en el código:

Referencias a OpenSSL.

Este código está relacionado con evp_enc.c, que podemos encontrar en github.

Más referencias a OpenSSL.

Todos los archivos se pueden encontrar aquí.

La lista de archivos específicos:

.zip, .mp4, .avi, .mkv, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf , .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .asm, .php, .aspx, .html, .conf, .sln, .mdb, .3fr, .accdb,. arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxf, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx , .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .jnt, .pub, .trc, .tar, .jsp,. mpeg, .msg, .log, .vob, .max, .3ds, .3dm, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .cbr, .pkg, .tar.gz, .fla, .vcxproj, .XCODEPROJ, .eml, .emlx, .mbx, .vcf

Extensiones dirigidas

La muestra también intenta crear autorun.inf en la unidad conectada o en la unidad de red utilizando la función GetDriveType. Con esta capacidad, el malware puede autorreplicarse e infectar a más personas sin la acción humana. (Para más información, consulte https://msdn.microsoft.com/en-gb….)

UINT WINAPI GetDriveType (_In_opt_ LPCTSTR lpRootPathName);

La función GetDriveType.

GetDriveType en la muestra.

El archivo de ejecución automática.

Crear un archivo de ejecución automática en una unidad extraíble.

Para descargar un archivo del servidor, la muestra usa la función URLDownloadToFile y CreateFile para copiar los archivos en la máquina infectada.

Descargar y crear el archivo PNG desde el sitio remoto.

Finalmente, la muestra crea un archivo por lotes para eliminar algunos archivos, como la clave privada. El malware ejecuta el archivo con la función WinExec con la opción CMDShow establecida en “0” para evitar mostrar la ventana de comandos. (Para más información, vea la función ShowWindow)

Crear y ejecutar el archivo por lotes.

Más información: Zcrypt amplía su alcance como ‘Virus Ransomware’ – McAfee

Gracias..

Related Content

¿Puedo ser hackeado haciendo clic en un enlace malicioso? ¿Qué puedo hacer para protegerme si hago clic en un enlace malicioso?

¿Qué es bueno para la carrera, la seguridad de la red o la seguridad de la información?

¿Qué se necesita para hacer un nuevo programa / software antivirus? ¿Qué hay en el fondo?

¿Cómo se va a frenar la guerra cibernética?

Después de Shellshock, ¿qué es un shell más seguro?

Una persona sana contrae un virus cuando una partícula viral expulsada por una persona infectada se introduce en el cuerpo de la persona sana. Esto puede ocurrir a través de la boca, los pulmones, las aberturas genitales o una herida.

La transmisión viral casi siempre ocurre a través de la transmisión de fluidos corporales: moco, semen, vómito, etc. en el que las partículas virales están presentes. Algunos virus pueden transmitirse a través del aerosol (gotas esencialmente invisibles en el aire) del fluido corporal (el resfriado común es uno de estos), mientras que otros no pueden
(No se sabe que el VIH se transmite a través de fluidos en aerosol).

Como usted señala, algunos virus pueden ser eliminados / contagiosos mientras los síntomas están presentes, mientras que otros pueden ser eliminados antes de que los síntomas estén presentes.

Recuerde que hay muchos tipos diferentes de virus que funcionan de maneras muy diferentes. El hecho de que un tipo de virus funcione de una manera no significa que todos los demás funcionen de la misma manera. Del mismo modo, solo porque un virus funciona de una manera, y una autoridad dice que otro virus funciona de manera diferente, no significa que te estén mintiendo. El virus que causa el resfriado es un Picornavirus tipo IV, mientras que el virus que causa el Ébola es un Filoviridae tipo V. Puede considerar que son tan diferentes entre sí en muchos aspectos como las ranas y los leones.

Finalmente: la razón por la cual se ha afirmado que “el Ébola solo es contagioso cuando una persona es sintomática” es porque esto es lo que han observado aquellos que han trabajado estrechamente con el Ébola durante los muchos brotes anteriores. Si se descubre que el Ébola (o una nueva cepa del virus) de hecho se puede transmitir a una persona asintomática, entonces el pensamiento cambiará.

Rama Krishna Raju

Veámoslos como virus normales. Por ejemplo, tome el resfriado común. También causado por un virus.

El resfriado común, se propaga a través del contacto con superficies infectadas, artículos, o generalmente a través del aire también.

Está en su naturaleza encontrar un cuerpo para vivir.

Igual es el caso con los virus informáticos. Se propagan a través del “contacto” con una computadora infectada.

Entra en el nuevo host, multiplica y causa estragos, porque está en su naturaleza. Fueron programados de esa manera.

Al igual que tiene antivirales para su cuerpo, tiene antivirus para que las computadoras eliminen los virus 🙂

Sam Moss

La mayoría de los virus comienzan con un bucle infinito simple.

mientras (cierto)

{

Abra Internet Explorer

}
Estos agotan la memoria hasta que no tenga memoria para ejecutar el sistema operativo y su PC se bloquee.

A otros virus más complejos se les enseña la ruta universal en Windows; vaya a un directorio específico y envíe el contenido al propietario. Luego, una vez completado, hazlo con el siguiente directorio importante. Simulando efectivamente la propagación a medida que se mueve de un lugar a otro.

Otros virus distraen al agotar su memoria ** AVISANDO A LA PRESENCIA DE UNO **, pero no hay nada que pueda hacer para detenerlo ya que sabe que ya tiene el control de su máquina … y luego extraiga los datos de su contraseña de su Archivo SAM o instale un keylogger para rastrear sus movimientos de teclas, envíe los datos de regreso al propietario y luego él puede revisar las combinaciones de teclas que ha ingresado en un día y extraer cadenas que se parecen a sus contraseñas.

Si siente que corre el riesgo de tener un virus en cualquier momento. Aumente el UAC en su máquina Windows, ya que el virus puede requerir su permiso para hacer ciertas cosas. Asegúrese de que la cuenta comprometida no sea el usuario administrativo sangriento. También asegúrese de que el usuario administrativo tenga una contraseña y que la sepa de memoria para autenticar cualquier acción en su máquina.

Asegúrese de monitorear todos los procesos en su máquina. De hecho, presione la tecla de Windows + R y escriba msconfig. Seleccione ‘inicio selectivo y luego vaya a la pestaña de servicio; ocultar servicios de microsoft y deshabilitar los servicios restantes. En última instancia, no permitir todos los programas que no son procesos centrales. Luego comience a ejecutar antivirales y antimalware. También puede ser aconsejable ejecutar un limpiador de registro ESPECÍFICAMENTE Ccleaner. Esto eliminará cualquier entrada de registro nueva que el virus haya escrito para permitirse el acceso. Desinstale programas que no son centrales para la PC, si no está seguro de qué programas son centrales, verifique primero en línea y antes de hacer algo, haga una copia de seguridad de su máquina con un punto de restauración del sistema al menos. Si no puede desinstalar un programa que no es esencial para la arquitectura de su máquina, es probable que sea un virus y puede requerir Revo-uninstaller Pro para eliminarlo por la fuerza.

Espero que esto te haga sentir más seguro.

Sam Moss

Los virus informáticos son programas y se propagan porque están programados para hacerlo como tales. En realidad, se llaman “virus” porque se propagan, no al revés.

Hay muchos motivos para escribir un virus, desde uno inocente como para un experimento personal hasta uno malicioso como ransomware.

Sam Moss

Los virus se transmiten por el líquido humano o la respiración,
Pero la contaminación de una célula segura por una célula contaminada (aparte del contacto físico) es otra historia,
tuvimos un experimento de colaboración de investigación sobre el SIDA desde una célula contaminada a una célula no contaminada a través de radiación electromagnética con el Premio Nobel del VIH (Profesor Montagnier),

Rama Krishna Raju

No todos los virus son exactamente iguales. Los ribovirus no son retrovirus, etc. Cada virus posee sus propios conjuntos de parámetros sobre cómo y por qué ruta es más probable que lo infecte.

Sam Moss

Via Pendrives
archivos adjuntos de correo electrónico de usuarios desconocidos
Desde aplicaciones de software no liberadas y pirateadas y freewares
de sitios de torrents y varias descargas similares
Y así

Sam Moss

More Interesting

Archivo de desinstalación eliminado para el motor de búsqueda hoho. ¿Cómo elimino hohosearch?

¿Cuáles son los medios de aprendizaje y los caminos profesionales para la seguridad cibernética?

¿Cuáles son los mejores institutos que ofrecen cursos de piratería ética en Hyderabad?

¿Cuál es el mejor antivirus para dispositivos móviles Android para la banca por Internet segura?

¿Qué significa la denegación de servicio?

¿Es el llavero de iCloud tan seguro como LastPass?

¿Qué tan seguros son mis archivos en Dropbox?

¿Quiénes son los 10 principales piratas informáticos éticos que aún existen en la universidad?

¿Hay alguna manera de practicar ser un analista de seguridad cibernética?

¿Por qué IBM, EMC o Microsoft querrían comprar el negocio de seguridad de Symantec después de la escisión, como se ha discutido en algunos artículos?

¿Cómo definirías tu mejor truco en una sola palabra?

¿Por qué el gobierno no hace ilegal enviar virus?

¿Qué hace principalmente un arquitecto de seguridad?

¿Qué tan efectivos son los ataques DDOS en los servidores?

¿Cuál es el hardware / software más seguro para generar un par de claves pública / privada?