Informacion sobre variantes de AUTORUN.VBML (tras monitorizar 38 muestras diferentes de esta familia)

Actual “bestia parda” que se está propagando alarmantemente con nuevas variantes, y cuyos efectos son “fuera de serie”
Como otros tantos malwares actuales, este se propaga por pendrive y afecta tambien a disquettes ya que accede continuamente a disquetera y pendrive.

Como caracteristicas generales digamos que, tras su ejecución, queda residente en memoria.

Y empezando por sus efectos, detiene procesos e impide acceso a centana de propiedades y al borrado de ficheros.

Además, intercepta por su nombre a mas de 600 aplicaciones (antivirus, cortafuegos y utilidades)

Oculta ficheros de sistema y extensiones

Oculta Opciones de Carpeta e Inicio/Ejecutar

Deshabilita la Restauracion de sistema

Sobreescribe el HOSTS redirigiendo las URL a las siguientes IP, segun variante:

64.117.35.255
173.201.254.6
173.236.97.27
174.123.156.205
208.109.220.95

Y modifica la Pagina de Inicio y Búsqueda del Internet Explorer

Alguna de las muestras si se detiene el proceso malware, provoca reinicio del sistema, y si se arranca en MODO SEGURO tambien se carga en memoria el malware al tener interceptado ficheros del sistema cargándolo en memoria, por lo que para evitar su carga debe renombrarse el fichero malware para que no se cargue en siguientes reinicios, pero ello no puede hacerse arrancando en CONSOLA DE RECUPERACION por estar en una carpeta que no cuelga de C:\windows, y solo arrancando con un LIVE CD se puede acceder a él para modificarlo.

Normalmente en el sistema, (Disco Duro) se copia con el nombre de WINLOGON.EXE, pudiendo estar ubicado en 

%WinDir%\ WINLOGON.EXE

o en las últimas muestras en :

%UserName%\ %UserName%1\ WINLOGON.EXE
en cambio el nombre que utiliza para lanzarlo desde el AUTORUN.INF de los pendrives, para los primeros era AUTORUN.EXE , luego SVCHOST.EXE, y en las siguientes muestras, nombres aleatorios ilegibles y largos:

 
EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe
o7mrVQ31rdBHh9hfKJ9v0gt5z3m2s5hP0.exe
83mrVQ31rdBHh9hfKJ9v0gt5z3m0s5hP0.exe
o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe
Y el payload oefectos de las diferentes variantes son temibles, por afectar el contenido de los pendrives y disquetes:
Si existen Carpetas en la Disketera o en el Pendrive les pone attributos
(+s+h+r) y genera un link con el mismo nombre apuntando según variante a:

 “%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler DrivesGuideInfo\autorun.exe”
 “%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler DrivesGuideInfo\svchost.exe”
 “%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler h3wjKiH9lvqErmFO0mG6HlXplgLV3LeYuVHdaRjetLhEN80DYiEPQXQY2sziakx2axTnS4SApIY8ELg3lSPkbMnv9Qm\EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe”
 “%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler h3ojKiH9lvFefFO0mG6HlXplgLV3LYYuVHdaRr3dtLhEN80DniEPQXQY2sziakx2axTnS4SA044lSPkbMnv9Qm\o7mrVQ31rdBHh9hfKJ9v0gt5z3m2s5hP0.exe”
 “%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler h3ojKiH9lvFefFO0mG6HlXplgLV3LYYuVHdaRr3dtLhEN80DniEPQXQY2sziakx2axTnS4SA044lSPkbMnv9Qm\83mrVQ31rdBHh9hfKJ9v0gt5z3m0s5hP0.exe”

con lo que primero ejecuta el malware, y luego entra en la carpeta deseada, con lo que el usuario no aprecia la presencia del malware, aunque lo esté cargando con dicha entrada a la carpeta…
Y con algunas variantes, si existen Ficheros en la Disketera o en el Pendrive les pone attributos
(+s+h+r) y genera un link con el mismo nombre apuntando según variante a:

 “%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler h3ojKiH9lvFefFO0mG6HlXplgLV3LYYuVHdaRr3dtLhEN80DniEPQXQY2sziakx2axTnS4SA044lSPkbMnv9Qm\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe %fichero%”

“NVIDIA Media Center Library”=”%WinDir%\\winlogon.exe”
“NVIDIA Media Center Library”=%UserName%\\%UserName%1\\winlogon.exe”
“NVIDIA Media Center Library “=%UserName%\\%UserName%1\\winlogon.exe”

Aparte puede desactivar la Restauracion de sistema y otras funciones y politicas de windows:

y cambia la paginba de inicio y busqueda del Internet Explorer:

“Default_Page_URL”=”http://z-k-7-p-m-k-w-5-w-i-a-7-v-l-r-.n-.5-b-e-n-t-f-p-p-7-1-1-0-7-c-q-0-3-00-6-u-7-t-1-n-y-q-u-f-u.info”
“Default_Search_URL”=”http://t-8.-g-g-6-2-.j-z-0-3-0-u-u-x-f-1l-3-l-h-w-b-q-z-u-5-n-l-l-m-s-5-v-s-z-g.info”
“Search Page”=”http://t-7-6-g-4-o-6-.1-7-h-r-1-7-h-f-e-g-1-q-.5-b-e-n-t-f-p-p-7-1-1-0-7-c-q-0-3-00-6-u-7-t-1-n-y-q-u-f-u.info”
“Start Page”=”http://2-r.-r-p-8-i-e-p-9-l-z-5-6-t-9-f-s-4-2-l-o-7-p-e-o-7-z-i-l-.i-k-r-g-1-0-u-5-1-f-3-g-li-9-p-1-x-t-6-g-l-8-m
“Local Page”=”http://2-5-6-o-v-5-.c-e-g-3-5-3-x-h-i-k-.j-z-0-3-0-u-u-x-f-1l-3-l-h-w-b-q-z-u-5-n-l-l-m-s-5-v-s-z-g.info”

E intercepta la ejecucion de mas de 600 ficheros, por su nombre:
 ackwin32.exe]
 advxdwin.exe]
 agentsvr.exe]
 agentw.exe]
 ahnsd.exe]
…               (mas de 600 ficheros)
 zonalarm.exe]
 zonalm2601.exe]
 zonealarm.exe]
y ejecuta el WINLOGON.EXE infectado al ejecutar una serie de aplicaciones, como:

 _avp.exe]
 _avp32.exe]
 _avpcc.exe]
 _avpm.exe]
 _findviru.exe]
Con el ELISTARA 21.71 se detectan y eliminan las variantes conocidas hasta la fecha, y pide muestra de nuevas variantes de la misma familia que aun no fueran conocidas, las cuales tras su analisis y monitorizacion, pasaremos a controlar

saludos

ms, 29-9-2010