W32/Sality.AE

SALITY.AE gusano de HTTP infecta ejecutables inhabilita Firewall borra llaves de registro y archivos, etc.

W32/Sality.AE

Sality.AE es un gusano reportado el 22 de Abrill del 2008, que se propaga visitando sitios web infectados.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/2000/XP, está desarrollado y compilado en Visual C++, con una extensión de 48KB y encriptado con rutinas propias.

Al ingresar a un sistema se copia a la ruta:

%System%\drivers\[Archivo_de_nombre_aleatorio].sys

Para evitar ejecutarse más de una vez en el sistema crea el Mutex Op1mutx9

Crea las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\[Nombre_de_Usuario]914]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER]

y para deshabilitar el Firewall de Windows crea la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters]
FirewallPolicy\\StandardProfile\AuthorizedApplications\List]
"[Archivo_infectado]" = "[Archivo_infectado]:*:Enabled:ipsec"

Modifica las entrada de la sub-llves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting]
"GlobalUserOffline" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA" = "0"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"[Archivo_infectado]" = "%System%\drivers\"[Archivo_infectado].sys"

Al siguiente inicio del equipo el gusano borra las siguientes sub_llaves:

[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

El archivo infectado es registrado como un nuevo driver de servicios del sistema, con las siguientes características:

Nombre: WMI_MFC_TPSHOKER_80
Nombre mostrado: WMI_MFC_TPSHOKER_80
Tipo de Inicio: Automático

Luego detiene los siguientes servicios:

ALG
aswUpdSv
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
fshttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
Symantec Core LC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

Infecta los archivos ejecutables asociados a la siguiente sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

Infecta todos los archivos .EXE asociados a las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

También infecta los archivos .EXE y .SCR de la unidad C:\ en cada recurso escribible de la red a excepción de los archivos ubicados en las carpetas con las siguientes cadenas:

System
Ahead

Los archivos infectados se incrementan en 57,344 bytes.

Luego borra los archivos asociados los sistems de seguridad, que tengan los siguientes cadenas:

VDB
AVC
KEY
drw
_AVPM
A2GUARD
AAVSHIELD
AVAST
ADVCHK
AHNSD
AIRDEFENSE
ALERTSVC
ALMON
ALOGSERV
ALSVC
AMON
ANTI-TROJAN
AVZ
ANTIVIR
ANTS
APVXDWIN
ARMOR2NET
ASHAVAST
ASHDISP
ASHENHCD
ASHMAISV
ASHPOPWZ
ASHSERV
ASHSIMPL
ASHSKPCK
ASHWEBSV
ASWUPDSV
ATCON
ATUPDATER
ATWATCH
AUPDATE
AUTODOWN
AUTOTRACE
AUTOUPDATE
AVCIMAN
AVCONSOL
AVENGINE
AVGAMSVR
AVGCC
AVGCC32
AVGCTRL
AVGEMC
AVGFWSRV
AVGNT
AVGNTDD
AVGNTMGR
AVGSERV
AVGUARD
AVGUPSVC
AVINITNT
AVKSERV
AVKSERVICE
AVKWCTL
AVP
AVP32
AVPCC
AVPM
AVPUPD
AVSCHED32
AVSYNMGR
AVWUPD32
AVWUPSRV
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
BACKWEB-4476822
BDMCON
BDNEWS
BDOESRV
BDSS
BDSUBMIT
BDSWITCH
BLACKD
BLACKICE
CAFIX
CCAPP
CCEVTMGR
CCPROXY
CCSETMGR
CFIAUDIT
CLAMTRAY
CLAMWIN
CLAW95
CLAW95CF
CLEANER
CLEANER3
CLISVC
CMGRDIAN
CUREIT
DEFWATCH
DOORS
DRVIRUS
DRWADINS
DRWEB32W
DRWEBSCD
DRWEBUPW
ESCANH95
ESCANHNT
EWIDOCTRL
EZANTIVIRUSREGISTRATIONCHECK
F-AGNT95
FAMEH32
FAST
FCH32
FILEMON
FIRESVC
FIRETRAY
FIREWALL
FPAVUPDM
F-PROT95
FRESHCLAM
FRW
FSAV32
FSAVGUI
FSBWSYS
F-SCHED
FSDFWD
FSGK32
FSGK32ST
FSGUIEXE
FSM32
FSMA32
FSMB32
FSPEX.
FSSM32
F-STOPW
GCASDTSERV
GCASSERV
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
GUARDGUI
GUARDNT
HREGMON
HRRES
HSOCKPE
HUPDATE
IAMAPP
IAMSERV
ICLOAD95
ICLOADNT
ICMON
ICSSUPPNT
ICSUPP95
ICSUPPNT
IFACE
INETUPD
INOCIT
INORPC
INORT
INOTASK
INOUPTNG
IOMON98
ISAFE
ISATRAY
ISRV95
ISSVC
KAV
KAVMM
KAVPF
KAVPFW
KAVSTART
KAVSVC
KAVSVCUI
KMAILMON
KPFWSVC
KWATCH
LOCKDOWN2000
LOGWATNT
LUALL
LUCOMSERVER
LUUPDATE
MCAGENT
MCMNHDLR
MCREGWIZ
MCUPDATE
MCVSSHLD
MINILOG
MYAGTSVC
MYAGTTRY
NAVAPSVC
NAVAPW32
NAVLU32
NAVW32
NOD32
NEOWATCHLOG
NEOWATCHTRAY
NISSERV
NISUM
NMAIN
NOD32
NORMIST
NOTSTART
NPAVTRAY
NPFMNTOR
NPFMSG
NPROTECT
NSCHED32
NSMDTR
NSSSERV
NSSTRAY
NTRTSCAN
NTXCONFIG
NUPGRADE
NVC95
NVCOD
NVCTE
NVCUT
NWSERVICE
OFCPFWSVC
OUTPOST
PAV
PAVFIRES
PAVFNSVR
PAVKRE
PAVPROT
PAVPROXY
PAVPRSRV
PAVSRV51
PAVSS
PCCGUIDE
PCCIOMON
PCCNTMON
PCCPFW
PCCTLCOM
PCTAV
PERSFW
PERTSK
PERVAC
PNMSRV
POP3TRAP
POPROXY
PREVSRV
PSIMSVC
QHM32
QHONLINE
QHONSVC
QHPF
QHWSCSVC
RAVMON
RAVTIMER
REALMON
REALMON95
RFWMAIN
RTVSCAN
RTVSCN95
RULAUNCH
SAVADMINSERVICE
SAVMAIN
SAVPROGRESS
SAVSCAN
SCAN32
SCANNINGPROCESS
CUREIT
SDHELP
SHSTAT
SITECLI
SPBBCSVC
SPHINX
SPIDERML
SPIDERNT
SPIDERUI
SPYBOTSD
SPYXX
SS3EDIT
STOPSIGNAV
SWAGENT
SWDOCTOR
SWNETSUP
SYMLCSVC
SYMPROXYSVC
SYMSPORT
SYMWSC
SYNMGR
TAUMON
TBMON
TC
TCA
TCM
TDS-3
TEATIMER
TFAK
THAV
THSM
TMAS
TMLISTEN
TMNTSRV
TMPFW
TMPROXY
TNBUTIL
TRJSCAN
UP2DATE
VBA32ECM
VBA32IFS
VBA32LDR
VBA32PP3
VBSNTW
VCHK
VCRMON
VETTRAY
VIRUSKEEPER
VPTRAY
VRFWSVC
VRMONNT
VRMONSVC
VRRW32
VSECOMR
VSHWIN32
VSMON
VSSERV
VSSTAT
WATCHDOG
WEBPROXY
WEBSCANX
WEBTRAP
WGFE95
WINAW32
WINROUTE
WINSS
WINSSNOTIFY
WRADMIN
WRCTRL
XCOMMSVR
ZATUTOR
ZAUINST
ZLCLIENT
ZONEALARM

Se conecta a las siguientes direcciones URL para recibir instrucciones via peticiones HTTP y descargar archivos malignos:

http://pedmeo222nb.info
http://pzrk.ru
http://technican.w.interia.pl
http://www.kjwre9fqwieluoi.info
http://bpowqbvcfds677.info
http://bmakemegood24.com
http://bperfectchoice1.com
http://bcash-ddt.net
http://bddr-cash.net
http://btrn-cash.net
http://bmoney-frn.net
http://bclr-cash.net
http://bxxxl-cash.net
http://balsfhkewo7i487fksd.info
http://buynvf96.info

http://www.coppiastrana.com/iexpl.exe

Impide el acceso a los siguientes dominios relacionados a software de seguridad, que tengan las siguientes cadenas:

Cureit
Drweb
Onlinescan
Spywareinfo
Ewido
Virusscan
Windowsecurity
Spywareguide
Bitdefender
Panda software
Agnmitum
Virustotal
Sophos
Trend Micro
Etrust.com
Symantec
McAfee
F-Secure
Eset.com
Kaspersky

Finalmente agrega la siguiente entrada a %Windir%\system.ini:

[MCIDRV_VER]

PER ANTIVIRUS® versiones X4 y X5 con registro de virus al 22 de Abril del 2008 detectan y eliminan este gusano.