- Uno de los ataques organizados más complejos de la historia, informa Panda Software -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)
Madrid, 12 de agosto de 2005 - PandaLabs informa del descubrimiento de un sofisticado ataque en cadena a partir de un nuevo troyano, SpamNet.A, descubierto en una página web alojada en un servidor de EEUU, y cuyo dominio aparece registrado desde una dirección de Moscú. El ataque es de una gran complejidad ya que despliega una estructura en árbol, para infectar hasta con 19 especies distintas de malware. Su principal objetivo es la difusión de correo basura (spam), para el que -por medio de este complejo entramado- ha conseguido recopilar hasta el momento más de 3 millones de direcciones de correo. Para detener las infecciones, Panda Software ha contactado con las compañías que alojan los ficheros y páginas que componen la parte principal de este ataque organizado.
La cadena de la infección comienza al visitar la mencionada página web, cuando ésta, por medio del tag Iframe, trata de abrir dos nuevas páginas. Esto desencadena dos procesos paralelos, cada uno asociado a una de las páginas citadas:
1. En el momento en que se abre la primera de las páginas, ésta a su vez trata de abrir otras 6 páginas, que redireccionan al usuario a diversas páginas de contenido para adultos. Además, lleva al usuario a una séptima página, que desencadena el proceso principal de ataque. Esta página utiliza dos posibles vulnerabilidades para llevar a cabo sus acciones, Ani/anr y Htmredir. En cualquiera de los dos casos, si el ataque tiene éxito, instalará y ejecutará en el equipo los ficheros Web.exe o Win32.exe, que son idénticos.
Al ser ejecutado, Web.exe crea 7 ficheros en el equipo, siendo uno una copia de sí mismo. En el caso de los 6 restantes:
a. Los dos primeros son binariamente idénticos, corresponden a Downloader.DQY, y ambos crean en el directorio del sistema operativo un fichero denominado svchost.exe, que es en realidad el troyano Downloader.DQW. Éste se registra como un servicio del sistema, que cada 10 minutos intenta descargar y ejecutar ficheros de cuatro direcciones web diferentes, de las cuales dos no estaban disponibles en el momento de escribir estas líneas, y las otras dos dirigen a:
i. El troyano Multidropper.ARW.
ii. El troyano Sapilayr.A.
b. El tercero es un adware, Adware/SpySheriff.
c. El cuarto, correspondiente al troyano Downloader.DYB, trata de buscar la identificación de la máquina. Si ésta es una máquina del Reino Unido se descarga y ejecuta un dialer, identificado como Dialer.CHG. En caso de que la máquina no pertenezca al Reino Unido se descarga otro fichero diferente, que ha sido identificado como Dialer.CBZ. Este tipo de ficheros trata de desviar a usuarios que se conectan a Internet por medio de sistemas de marcación telefónica hacia números alternativos, con tarificaciones abusivas.
d. El quinto, correspondiente al troyano Downloader.CRY, crea dos ficheros. El primero crea en el directorio c:\windows\system un fichero denominado svchost.exe. El segundo ha sido identificado como el troyano Lowzones.FO.
e. El sexto, identificado como el troyano Downloader.EBY, crea a su vez otros seis ficheros, que resultan ser:
i. El primero es el troyano Downloader.DLH, que por medio de una aplicación consigue recopilar direcciones de correo del ordenador afectado y enviarlas a una dirección remota por medio de FTP. En el momento de escribir estas líneas había recopiladas más de 3 millones de direcciones.
ii. El segundo, el troyano Agent.EY, se instala en el sistema y se ejecuta en cada inicio, visitando a continuación una página, que podría ser utilizada como recopilación de las IPs de los equipos infectados, a modo de estadística.
iii. El tercero, el troyano Clicker.HA, tras ser ejecutado, espera 10 minutos y a continuación abre una página de contenido para adultos, volviendo a abrirla cada 40 segundos.
iv. El cuarto corresponde a un dialer, Dialer.CBZ.
v. El quinto es un adware, Adware/Adsmart.
vi. El sexto, el troyano Downloader.DSV, descarga de una dirección un fichero correspondiente al backdoor Galapoper.C, y que es el que ejecuta la parte principal del ataque, el envío de spam. Éste comprueba si existe conexión a Internet, y en caso afirmativo visita una de las tres páginas que posee especificadas en su código y, en función del equipo infectado, se descarga un fichero. Esto permite llevar a cabo ataques personalizados, e incluso puede contener otras instrucciones o actualizaciones del backdoor.
Galapoper.C, además, inicia un hilo principal, y dos secundarios: en el principal comprueba periódicamente la disponibilidad de contenidos en las tres páginas indicadas anteriormente. Por medio de los hilos secundarios realiza, por una parte envío de spam (utilizando el ordenador infectado como emisor), y por otra parte recopila información del servidor (direcciones de correo, asuntos, cuerpos de los mensajes) para los mensajes de spam, cada 10 minutos o cada vez que envíe 70.000 correos de spam.
2. La segunda de las páginas redirecciona al usuario a otra, que trata de utilizar la vulnerabilidad de ByteVerify para intentar ejecutar un fichero ubicado en una URL. A su vez, invoca por medio de un tag de HTML una nueva página, que no está disponible en el momento de escribir estas líneas, por lo que su contenido no ha podido ser analizado.
Además, abre otra página, cuyo código se encuentra enmascarado mediante una función de Javascript, que utiliza la vulnerabilidad ADODB.Stream para, por medio de un fichero situado en otra página web distinta, tratar de sobrescribir el programa Windows Media Player si éste está disponible en el equipo.
La complejidad de este ataque apenas posee precedentes. Como comenta Luis Corrons, director de PandaLabs, "la elaboración de este ataque supera con mucho lo que es habitual. Los usuarios de las Tecnologías TruPreventTM siempre han estado protegidos, pero éste es uno de los ataques organizados más complejos que hayamos visto nunca en PandaLabs". Además, comenta que "la cantidad de direcciones recopilada para el envío de spam, más de 3 millones, indica que el creador ha conseguido un importante éxito en sus propósitos. Como viene siendo habitual en los ataques en los últimos tiempos, se prima la consecución de beneficio económico por encima de la difusión en los medios, y el spam es una de las principales fuentes de ingresos de los creadores de malware". Como consejo, apunta que "además de poseer una solución antivirus, es fundamental tener el equipo actualizado, ya que SpamNet.A basa buena parte de su éxito en el aprovechamiento de vulnerabilidades".
