PARA FINES INFORMATIVOS Documento de libre distribucin 09.10.

2006 Hace uno s das los usu arios de nuestra red, empe zaron a preguntarnos sobre un archivo Setup.exe y Autorun.inf que ap arecan miste riosamente en las carpetas que ellos co mpartan con los dems usuarios, estas carpetas tenan permisos de escritura. Quisimos saber ms sobre aquel archivo extrao aparentemente un virus. Y lo copiamos a un entorno virtu al aisl ado de la re d www.vmware.com (Software d e virtualiza cin que permite la emulacin de mltiples sistemas operativos en mquinas virtuales) Ejecutamos el programa Setup.exe en la mquina virtual y para seguir el rastro y ver que es lo que hace, tambin ejecutamos el FileMonitor (www.sysinternals.com ) Monitorea archivos que se ejecutan en el sistema-.

Al revisar el Log, nos mostr lo siguiente:

Como puede ver, al ejecu tar el archivo Set up.exe comenz la creaci n de 2 nuevo s archivos que son SM SS.exe en la ca rpeta C:\windows\system y el arch ivo nvsvcd.e xe en la carpeta C:\windows\system32. Luego fuimo s a la carpet a C:\windo ws\system y enco ntramos una copi a del virus llam ada smss.exe, que confirma el LOG del FileMonitor.

No confundir con el archivo de si stema SMSS.EXE que se encuent ra en la carpeta c:\windows\system32 que es el e ncargado de manejar la s sesiones e n el sistema (Session Manager SubSystem). Hasta el icono es diferente.

Revisamos tambin la carpeta C:\windows\system32 y encontramos el archivo nvsvcd.exe que confirma nuevamente el Log del FileMonitor.

Luego eje cutamos el m sconfig y vemo s qu e el archivo C:\win dows\system\smss.exe inte nta ejecutarse al inicio del sistema.

Ahora, usando el RegMonitor ( www.sysinternals.com ) (Monitorea en tiempo real las acciones que se reali zan en el Reg istro d el si stema), tambi n se d etect que se crea una cl ave en el Registro p ara que el archivo nvsvcd .exe se ej ecute como servicio del si stema al inici ar Windows.

El virus, gusano, troyano o como se le quiera llamar, tambin crea una copia en la Unidad C o D con un archivo llamad o autoru n.inf q ue direcc iona hacia el archivo Setup.e xe y comen z a hacer copias de s mismo en todas las carpetas compartidas con permisos de escritura de l as dems m quinas virtual es q ue creamos. Como se puede ded ucir esto n o e s un comportamiento normal dentro de una red. Por lo tanto sea cual fuere el nombre, lo calificamos de amenaza a la red. Buscando luego informacin en Inte rnet sobre el archivo nvsvcd.exe, se e ncontr que es una variante del troyano Medbot, ms informacin en: http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=5889 Al haber evaluado ya la accin del virus, se procedi a su eliminacin. Quisimos saber qu mquina de nuestra red es la que estaba copiando el archivo Setup.exe en las carpetas compartidas de los usuarios de nuestra red. Para e so usamos una Analizador de Protocolos llamado Ethereal (Pgina Oficial: www.ethereal.com, Traduccin al Espaol: http://translate.google.com/translate?u=http%3A%2F%2Fwww.ethereal.com&langpair=en%7Ce s&hl=es&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools ). Aclaramos que es una herramienta de anlisis de redes, usada por muchos administradores de redes para localizar errores y anomalas. As que instalamos y configuramos el Ethereal en una PC de nuestro uso. Luego creamos una carpeta compartida con permisos de escritura y activamos el ethereal para monitorear el trfico desde y hacia nue stra ta rjeta de red. Tran scurridos alg unos minutos apareci el a rchivo Setup.exe y Autorun.inf en nuestra carpeta compartida.

Previamente usamos un Editor Hexadecimal para visualizar el cdigo del archivo Setup.exe.

Y al analizar la captu ra de trfico de sde y hacia nuest ra tarj eta de re d con el Ethere al, encontramos el mism o cdigo del a rchivo Set up.exe entra ndo hacia nu estra mq uina de la direccin IP que muestra la captura:

Si analizamos el segundo paquete transferido:

Y comparado con el editor hexadecimal:

Analizando el ltimo paquete:

Y comparado con el editor:

Al final de la transferencia del archivo, podemos ver la cantidad de bytes transferidos desde la mquina infectada (IP 10.22.13.226 a nuestro IP 10.22.17.188) lo mismo pasa tambin con la red 10.22.19.x

Que es exactamente el tamao del archivo Setup.exe descargado:

El antivirus corporativo lo detecta como se puede ver en la figura:

Descubrimos tambin que este virus tiene variantes porque se detecto que se conecta a Internet para descargar una copia actualizada del virus, que luego es copiado nuevamente en las carpetas compartidas de la red y el antivirus con fecha de ltima actualizacin 08.10.2006 no lo detecta el ya nuevo virus. Como se ve en la figura, nos dimos con sorpresa que el virus provena de otra re d, decidimos hacer e scaneo de esa re d, para verifi car el IP mo strado, y efectivamente m ostraba un a PC activa:

Para verificar accedimos a esa mquina. Tena re cursos comp artidos y hasta su unida d C estaba compartida, como se ve en l a figu ra, lo s archivo s Se tup.exe y au torun.inf que se colocan en la Unida d C, lo que indica que la PC estaba infe ctada, y enviando viru s ha cia nuestra mquina.

Ac dem ostramos q ue el virus e scanea automti camente otras rede s dent ro de nue stra red corporativa; lo que puede ocasionar un ciclo continuo de propagacin.