EL DOWNLOADER DX-DIAG anexado al falso mail de CORREOS, descarga FAKE TOOL e infecta el MBR con una variante del ALUREON con tecnicas Stealth que impide su analisis.

Con el ELISTARA vemos repetidamente el aviso de que el MBR está posiblemente infectado con tecnicas Stealth, lo cual ultimamente era señal de que habia el ALUREON y estaba activo, pero ultimamente hemos tenido algunos casos que indican Error al escribir en el MBR, y hemos visto que ello es causado por una nueva cepa de dicho ALUREON, que al recibir el intento de escritura para la comprobacion de existencia de tecnicas Stealth, ha denegado el acceso a la escritura en dicho sector, con lo que en lugar de lo esperado, nos indica dicho mensaje, mientras haya el virus en memoria.

Gracias a nuestra utilidad COPYMBR, si en dicha situacion lanzamos un  COPYMBR /SEGU <ruta> , se creará un fichero -copia de seguridad del MBR, que en dicha situacion será una copia del original, que nos visualiza el virus para engañarnos y ocultar el sector infectado, mostrandonos el bueno, el cual podemos aprovechar para, una vez eliminado el downloader para que no vuelva a infectarnos, luego poder lanzar un COPYMBR /UNDO <fichero-unidad> para restaurarlo, pero eso sí, arrancando con otro medio no infectado, claro !  (colocando el disco infectado como esclavo en un ordenador con el MASTER  limpio, o arrancando con un LIVE CD de Windows)

Una variante del troyano Alureon, que está diseñada para extraer la ubicación de las copias de seguridad de los centros C&C desde imágenes difundidas a través de la Web, fue descubierta por Scott Molenkamp, un investigador de Microsoft.

La familia de troyanos Alureon es bien conocida por su forma de robo de datos. El troyano está diseñado para obtener información confidencial (nombres de usuario, contraseñas, datos de tarjetas de crédito), transmitir datos maliciosos hacia la computadora infectada y tiene la capacidad de modificar la configuración del DNS en aquellos equipos que estaban programados para hacerlo

Esta cepa en particular, a menudo descargada por la familia de programas FakeSysdef “desfragmentador falso”, ha comenzado recientemente a descargar un componente adicional después de que consiguiera introducirse en un sistema.

Tras haber descifrado y analizado este componente (“com32”), el investigador ha descubierto que añade cifrado y funcionalidad de procesamiento de JPG al troyano. Además, el archivo de configuración tiene una serie de URLs alojadas en LiveJournal y WordPress.

“El contenido de cada página, que parecía ser benigna, contiene numerosas y variadas imagenes JPG alojadas en ‘imageshack.us’, un proveedor de imágenes libres”, señala. Sin embargo, un vistazo al código para la recuperación de las páginas reveló que los archivos específicos JPG serían recuperados por el troyano junto con una cadena de 61 caracteres ASCII, que se parece mucho a una contraseña.

“Después de investigaciones adicionales, fui capaz de determinar que, incrustado en cada uno de los archivos JPG, hay un archivo de configuración completo que usa esteganografía” (tecnicas Stealth), reveló. “Una de las secciones críticas del archivo de configuración contiene la lista de servidores de mando y control.

El propósito de los datos alojados fue revelado públicamente, el cual es proporcionar una capa de redundancia y de defensa contra los dominios existentes que podrían estar disponibles”. Fuente

Y estamos ante una proliferacion de falsos mails masivos (aparentando venir de correos) con dicho anexado, por lo que ofrecemos esta información para los “sufridores” de dicho engendro.

saludos

ms, 28-9-2011