|
SATILOLER.C troyano de servicios de Internet y vulnerabilidad WMF roba información de sistemas, etc.
|
|
© Jorge Machado Lima-Perú
|
|
Troj/Satiloler.C
Satiloler.C es un troyano residente en memoria reportado el 15 de Febrero del 2006, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet, incluso como anexado a mensajes de correo MultiSPAM, con un
archivo de nombre lsass.exe.
El troyano también es descargado de archivos WMF codificados, aprovechando la vulnerabilidad del Microsoft Windows Graphics Rendering Engine WMF descrita en el Boletín MS06-001.
Roba información del sistema, sobre-escribe varios archivos .DLL, cierra ventanas de programas, termina procesos y captura teclas digitadas, la misma que es enviada a diversos sitios en la web.
A través de puertos TCP aleatorios abiertos crea un servidor proxy.
Es un PE (Portable Ejecutable) e infecta Windows
95/98/Me/2000/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 29KB y comprimido con el utilitario FSG:
http://www.exetools.com
Al ingresar a un sistema crea el Mutex "_Toolbar_Class_32", para impedir que el gusano se active más de una vez en el sistema infectado.
Se copia a la carpeta %System% como lsass.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de
registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"system" = "%Archivos de programa%\Common Files\system\lsass.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\init.dll"
%Archivos de programa% es la variable que se refiere a la carpeta configurada por defecto en a unidad C:\ aunque puede configurarse también en otras unidades del disco.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Crea una copia de respaldo del archivo de sistema %System%\userinit.exe en la ruta:
%Windir%\system\userinit.exe
para luego crear una copia de si mismo, sobre-escribiendo el archivo original %System%\userinit.exe en su propio proceso.
libera los siguientes archivos en las rutas:
- %System%\xvid.dll
- %System%\xvid.ini
- %System%\divx.ini
- %System%\init.dll
- C:\bkup.reg
para deshabilitar la Protección de Archivos de Windows modifica los valores:
- "SFCDisable" = "FFFFFF9D"
- "SFCScan" = "0"
en la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
crea la llave inócua:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System" = ""
Al siguiente inicio del equipo el troyano termina los procesos de los siguientes programas:
- WINLDRA.EXE
- NETSCAPE.EXE
- OPERA.EXE
- FIREFOX.EXE
- MOZILLA.EXE
- M00.EXE
- WINTBPX.EXE
- SWCHOST.EXE
- SVOHOST.EXE
- SVC.EXE
- WINSOCK.EXE
- SPOOLS.EXE
- KERNELS32.EXE
- MWFIBPX.EXE
- NOD32KUI.EXE
- MCUPDATE.EXE
- MW1HEL~1.EXE
- REALSCHED.EXE
- TBON.EXE
- PUCXYLOO.EXE
- MOUSE32A.EXE
- WINUPDATES.EXE
- BACKWEB-
- QTTASK.EXE
- MEDIAGATEWAY.EXE
- SOX1.EXE
- SHSTAT.EXE
- SPYAXE.EXE
- XCOMMSVR.EXE
- RWNT.EXE
- SHOST.EXE
- MOUSEELF.EXE
- AIMEXDLL.EXE
- BATSERV2.EXE
- ELOGERR.EXE
- SYSC.EXE
- STOPADS.EXE
- ISTSVC.EXE
- UWFX5.EXE
- DAZZLER.EXE
- SECURE.EXE
- SPOOLSRV32.EXE
- IBM00001.EXE
- KERNELS64.EXE
- DRIVER64.EXE
- PAYTIME.EXE
- TYPE32.EXE
- MEDIAPIPE.EXE
- ADDUZ32.EXE
- ITBILL.EXE
- SPYSHERIFF.EXE
- APIFL.EXE
- DRSMARTLOADB.EXE
- GCASSERV.EXE
- MPP2PL.EXE
- UNSPYPC.EXE
- REALSCHED.EXE
- ISSTART.EXE
- LOGITRAY.EXE
- WINSTALL.EXE
- STATUSCLIENT.EXE
- MPCSVC.EXE
- BACKORIF.EXE
- NOPEZ.EXE
- USRPRMPT.EXE
- NETNW.EXE
- HPBPSTTP.EXE
- NVAREM.EXE
- APIFL.EXEUNSPYPC.EXE
borra todos los valores dentro de la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Para deshabilitar la Protección de Archivos de Sistema modifica los siguientes archivos .DLL y cualquier copia de respaldo en %Windir%\dllcache:
- %System%\sfc_os.dll
- %System%\sfc.dll
Luego intenta cerrar las ventanas de programas que tengan los siguientes títulos:
- Norton Personal Firewall
- Create rule for %s
- Un processus cache requiert une connexion reseau.
- Ne plus afficher cette invite
- Un proceso oculto solicita acceso a la red
- Aceptar
- Warning: Components Have Changed
- &Make changed component shared
- Hidden Process Requests Network Access
- Ein versteckter Prozess verlangt Netzwerkzugriff.
- PermissionDlg
- &Remember this answer the next time I use this program.
- &Yes
- Windows Security Alert
- Allow all activities for this application
- Kerio Personal Firewall Alert
- Create a rule for this communication and don't ask me again.
deshabilita los siguientes programas, en sus rutas, en caso de hallarlos:
C:\Archivos de progarma\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de progarma\McAfee.com\PERSON~1\MpfTray.exe
Roba la siguiente información y guarda en el archivo %System%\divx.ini:
- Nombre de usuario POP3 (Post Office Protocolo 3, para le gestión y envío de mensajes de correo)
- Las contraseñas de Internet Explorer configurado con la opción AutoCompletar
- Cuenta de Ingreso de MSN Explorer
busca las siguientes cadenas en el navegador web:
- deutsche-bank.de
- diba.de
- 1822direkt.com
- .haspa.de
- .sparkasse-
- mbs-potsdam.de
- .homebanking-
- .bankingportal.
- dresdner-privat.de
- .gad.de
- citibank.de
- .portal-banking.de
- vr-ebanking.de
- vr-networld-ebanking.de
- cc-bank.de
- commerzbanking.de
- lacaixa.es
- postbank.de
- cajamurcia.es
- caja-granada.es
- cajastur.es
- ebankinter.com
- axabanque.fr/client/sauthentification
- cahoot
- egg
- if.com
- smile
- first
- nation
- abbey
- natwest
- citi
- barclay
- allianc
- bank
- hsbc
- lloyd
- nwolb
- online
- hali
- npbs
- marbles
- trade
- rbs.
- caja
- caixa
- e-gold.com
- lacaixa.es
- viabcp.com
- banesto.es
- openbank.es
- cajacanarias.es
- caixatarragona.es
- Payee_Account
- bancaonline.
- openplan.co.uk
guarda la siguiente información de las actividades de navegación web en el archivo %System%\divx.ini:
- Páginas web visitadas
- Estado de los botones de radio y marcas de cajitas de opciones
- Teclas digitadas
Envía todos los archivos almacenados a las siguientes direcciones web:
- http://www.super-lolitas.com/[removido]/contact.php
- http://www.offshore-traffic.net/[removido]/contact.php
- http://www.offshore-traffic.com/[removido]/contact.php
Envia peticiones HTTP a los sitios web:
- http://www.super-lolitas.com/[removido]/login.php
- http://www.offshore-traffic.net/[removido]/login.php
- http://www.offshore-traffic.com/[removido]/login.php
Envia la siguiente información capturada del sistema a cualquiera de los sitios web antes mencionados:
- Nombre de Usuario
- Numero de puerto TCP abierto
- Tipo de conexión: módem o LAN
Haciendo uso de puertos TCP aleatorios abiertos crea un servidor Proxy.
El parche para la vulnerabilidad Microsoft Windows Graphics Rendering Engine WMF puede ser descargado desde:
http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx
PER ANTIVIRUS® versión 9.6 con registro de virus al 15 de Febrero del 2006 detecta y elimina este troyano.
