W32/Xpaj: Un enemigo polimórfico temible

Publicado el 22 septiembre 2009 ¬ 19:42 pmh.mscComentarios desactivados en W32/Xpaj: Un enemigo polimórfico temible

Hoy en día, se pueden eliminar la mayoría de los virus con relativa facilidad, mediante una variedad de tecnologías de de los productos antivirus. Los motores de detección basados en  emulación heurística pueden detectar la mayoría de los virus polimórficos y metamórficos, incluyendo aquellos que usan técnicas de ocultación del punto de entrada (OEP).

 Pero cuando se trata de virus con desfase del punto de inicio e inserción de bloques de código aleatorio como W32/Zmist, (también conocido como Mistfall) los sistemas heurísticos y de emulación, no son el mejor método de detección y control.

 Recientemente nos hemos encontrado con una nueva variante de W32/Xpaj que se está extendiendo activamente. Utiliza técnicas especiales para evadir la detección que rara vez permiten detectarlo en un escaneo con el virus activo en memoria.

El nuevo W32/Xpaj utiliza una técnica de integración aleatoria de bloques de código con los que infecta los archivos. No cambia el punto de entrada original del archivo. En su lugar, W32/Xpaj genera el código en varios bloques, correspondientes a sus diferentes funcionalidades, y se desplaza a ubicaciones aleatorias a lo largo de la sección del código del archivo infectado. Es similar a lo que solía emplear W32/Zmist, pero W32/Xpaj utiliza  reemplazamiento de código en lugar de simple inserción de código.

Su descifrador polimórfico está representado por un número de bloques de código vinculados por saltos incondicionales. Una vez ejecutado, el descifrador polimórfico toma el control y lleva a cabo tareas diferentes:

1.Guardar el estado original de la aplicación infectada y  preservar todos los registros utilizados por el virus

2.Cambiar las etiquetas de protección de la memoria donde se encuentra el cuerpo de virus

3.Descifrar el cuerpo de virus

4.Saltar al cuerpo descifrado de virus, etc.

Cada tarea puede ser ubicada en un bloque de código separado o combinandolos en un bloque mayor.

Una vez realizado el descifrado, el control pasa al cuerpo principal del virus, que normalmente se encuentra en una sección diferente. Sus autores decidieron utilizar saltos basados en el registro, en lugar de saltos relativas. Ello, junto con un código vírico fuertemente cifrado y funciones robadas, hace que esta nueva variante se más complicada de reparar

En un intento para asegurarse de que el virus se ejecute al menos una vez, W32/Xpaj busca y reemplaza un número de instrucciones de llamada a punto inicial de uno de los bloques de código del virus creados durante la infección.

La ubicación aleatoria de los bloques de código polimórfico significa que para algunos casos, los emuladores de código no pueden llegar nunca a las instrucciones víricas. Dichos casos pueden representar una sorpresa para algunos fabricantes de antivirus, que tal vez no sean capaces de detectar todas las instancias del W32/Xpaj, faltando limpiar un determinado porcentaje de los archivos infectados. Sin embargo, en otros casos, el virus puede que nunca obtenga el control, como en los siguientes ejemplos que se encuentran en estado primario:

•4843998e3564ac1a1e137149bc3ce28e
•8e4260d0a29c0133bad3bc0e39057456
•db4fff8a4a21e9c824cde3ebd151fbf2

Mientras descifra el cuerpo de virus, W32/Xpaj puede generar millones de iteracciones. Puede no ejecutarlo correctamente a través de los emuladores de código sin apoyo de la interpretación de código dinámico. Se integra a sí mismo en los archivos infectados y se convierte en una parte del flujo de control del programa de cabecera. Las funciones originales que se sustituyen por el descifrador, se guardan codificadas y se encuentran en la misma sección del cuerpo del virus.

Esta variante de W32/Xpaj aumenta el tamaño virtual, de la sección que contiene el cuerpo de virus, en 150 KB. Está fuertemente protegida y contiene la funcionalidad para recibir más instrucciones de servidores remotos:

tooratios.com (82.98.235.66)
•abdulahuy.com (82.98.235.66)

El servidor está activo y ubicado en Europa (Bélgica u Holanda) y envía instrucciones a través del siguiente archivo:

•hxxp://abdulahuy.com/{Blocked}/Stamm.DAT
Curiosamente, los creadores de malware decidieron supervisar la propia actividad de virus e incluyen medios para el control del mismo. Cada archivo infectado con W32/Xpaj informa al servidor antes mencionado y envía información acerca del sistema (versión del sistema operativo, Service Pack, IP, etc.) en el que está ejecutando el archivo infectado:

OS = cm 00000005.00000001.02000B28 & amp; = 18B51294 & y = knv A120BB0F & amp; = 00000012 y disco duro de amp; = cid 002F606E & amp; = vvr 0000000C & amp; = 00000001

Actualmente, la mayoría de los proveedores de AV no detecta esta variante W32/Xpaj (como se ve en estos resultados del VirusTotal):

 Fuente

 
Ver venir a estos enemigos… acongoja, verdad ??? 🙁

saludos

ms, 22-9-2009

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies