Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Virlock (.exe)
General

Gracias la labor desempeñada por Daniel Gallagher (@DanielGallagher) se ha detectado un posible regreso a la actividad criminal por parte de los creadores de este Ransomware (Virlock) cuyas características le permiten modificar el contenido de los archivos del sistema con el fin de aumentar el nivel de propagación y persistencia en la maquina infectada y demás equipos de la red (propiedades propias de un virus), para recuperar la información requiere de un pago de 250 USD/EUR.

Agradecimientos especiales a Daniel por la identificación de estos ejemplares.

 

Comportamiento

Crea los archivos: (Estos archivos son creados en las rutas especificadas pero con nombres aleatorios)

» file.vbs: Contiene una función Sleep(50)
» DMQM.exe
» DwQy.ico
» tUUQ.ico
» VwgC.exe
» XcgA.ico
» virlock: Sinfonía No. 9 de Beethoven / SYMPHONY No. 9 (BEETHOVEN): Este archivo puede ser utilizado para crear de manera aleatoria cada una de las copias en el sistema. El nombre “virlock” dado a este archivo es el mismo que tenía el ejecutable original.
» C:\Users\W7_MMD\tEwgswIU\asAAwcUM.exe
» C:\Users\W7_MMD\tEwgswIU\asAAwcUM.exe
» C:\Users\W7_MMD\tEwgswIU\asAAwcUM.inf
» C:\ProgramData\RqYkQUIM\WmEwkYok
» C:\ProgramData\RqYkQUIM\WmEwkYok.exe
» C:\ProgramData\RqYkQUIM\WmEwkYok.inf

Crea y modifica las siguientes llaves de registro:

» HKCU\Software\Microsoft\Windows\CurrentVersion\Run\asAAwcUM.exe
» HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\WmEwkYok.exe
» HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
» HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
» HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA


Características

» Todos los ejemplares ejecutados tienen un valor de Time Date Stamp de 01/01/1970 00:02:03 a excepción del archivo Virlock3.exe que tiene un valor de 10/07/2016 10:10:12.
» Define los tipos de archivo a modificar: .exe, .jpg, .mp3, .rar, .zip.
» Adhiere la extensión .exe a todos los archivos infectados.
» Realiza conexiones al dominio www.google.com con el fin de determinar la ubicación del sistema infectado.
» Hace uso de los procesos: cmd.exe, conhost.exe, cscript.exe, taskkill.exe y reg.exe con el fin de modificar el contenido de los archivos y las llaves de registro.
» Se auto replica (copia a si mismo) en todos los archivos objetivo de forma tal que al ser consultados se re ejecuten las funciones maliciosas infectando de nuevo el equipo y mostrando nuevamente el mensaje de advertencia.
» Modifica los iconos de cada archivo infectado (.exe) y los reemplaza con el icono original de cada uno de ellos.
» No es posible finalizar los procesos cargados por el Malware (x2) de forma individual, es necesario finalizarlos al mismo tiempo. Esta función se debe al uso del proceso taskkill.exe el cual tiene configurados los siguientes parámetros: taskkill /FI "USERNAME eq W7_MMD" /F /IM asAAwcUM.exe.
» Si el software GMER está en ejecución NO se modifica la información contenida en los archivos objetivo.
» La direcciones Bitcoin definidas en las pantallas de bloqueo: 198tX7NmLg6o8qcTT2Uv9cSBVzN3oEozpv y 1N43vMz9qB1xcBFFzCGnENSmBrE3sXifrn tienen un total de 24 transacciones a la fecha, la última de ellas registrada el día 21 de Junio de 2015.
» Hace que sea más difícil recuperar la información debido a que inyecta el Payload en cada uno de los archivos.
» Incrementa las opciones de persistencia y propagación en el equipo infectado y demás maquinas en la red.

La siguiente grafica permite identificar el nivel de propagación del troyano hasta septiembre de 2015, imagen generada por www.bitdefender.com:


Como algunos de los troyanos de este tipo posee un conjunto de opciones para informar al usuario de la infección en su totalidad:

» Payment
» Bitcoin Information

» Bitcoin Exchanges

» Bitcoin ATMs
» Internet Browser
» Notepad


Por medio de la herramienta PortEx (aplicación de gran utilidad en el proceso de análisis de Malware estático) creada por Katja Hahn (@hahn_katja) es posible visualizar las modificaciones sufridas en algunos de los archivos de prueba (Mosh.mp3 y Putty.exe) después de infectada la maquina.

Para los tipos de archivo no ejecutables se puede observar un aumento en la cantidad de valores non-ASCII, modificaciones en la sección de entropía y la inyección de una estructura PE.

Archivo original Mosh.mp3 VS modificado Mosh.mp3.exe:

Para los archivos ejecutables se identifica un aumento considerable en la cantidad de valores non-ASCII, modificaciones sobresalientes en la sección de entropía aumentando la cantidad de valores considerados como packed y la eliminación de varias secciones en la estructura PE como son: .rdata, .data y .imports asi como la disminución de la sección Resources.

Putty.exe:

Estructura final del archivo una vez que ha sido modificado por medio del ejemplar: Virlock.exe (Time Date Stamp: 01/01/1970 00:02:03)

Estructura final del archivo una vez que ha sido modificado por medio del ejemplar: Virlock2.exe (Time Date Stamp: 01/01/1970 00:02:03)

Estructura final del archivo una vez que ha sido modificado por medio del ejemplar: Virlock3.exe (Time Date Stamp: 10/07/2016 10:10:12)


Enlaces en donde se puede encontrar más informacion y detalle del análisis:

» https://blog.fortinet.com/2016/01/26/metamorphic-code-in-ransomware
» https://www.virusbulletin.com/uploads/pdf/conference_slides/2015/Craciun-etal-VB2015.pdf
» http://blog.trendmicro.com/trendlabs-security-intelligence/virlock-combines-file-infection-and-ransomware/
» http://www.welivesecurity.com/2014/12/22/win32virlock-first-self-reproducing-ransomware-also-shape-shifter/
» https://nakedsecurity.sophos.com/2014/12/05/notes-from-sophoslabs-ransomware-with-a-difference-this-one-is-a-true-virus/

Herramientas:

» http://download.eset.com/special/ESETVirlockCleaner.exe

 

Descarga

Nombre de archivo: Virlock.exe / Tamaño: 805.0 KB / VT
MD5: eeeb3519dbba09bd590076ab921e9d17
SHA1: c92a20e3ce9756ea1b2a0f89626cd093e6de573b
SHA256: a95f93b1a16559b07820aea239014c2169161ce23d378a05d0c82bf960941e30

Nombre de archivo: Virlock2.exe / Tamaño: 398.0 KB / VT
MD5: f6479bdba20da5ea957f887f38eb9fab
SHA1: 6f59ea0eed625443381c08aeab44446513f60f7b
SHA256: 9f3e0bddabbb116b4d83e374ee784dc235d34ca91856872d75f5c791fe2dc7d1

Nombre de archivo: Virlock3.exe / Tamaño: 1.6 MB / VT
MD5: edc0fd0edb8fcdb161aae9d4eef9976a
SHA1: a107fa96609b060c83c7d832821243d26321902d
SHA256: d78dbfa4fef22b024abd42c6ff50090b04be8e8c70a353a3a06ad6185d11637d

Nombre de archivo: virlock / Tamaño: 599.3 KB / Archivo no malicioso
MD5: f2271fe569c058dc724d9b9e53811e31
SHA1: ea276fc14127875413ac387f017bd2291a987f4b
SHA256: bf0074851e2435a255b512e502b831ed2c456774971f8fc57004d597769364a6

Nombre de archivo: DMQM.exe / Tamaño: 8.3 MB / VT
MD5: 0336bcba35d0fc561cebbdcf0d2a36bd
SHA1: 9c98a4ed32d1780265d22147483b99afe8dac05c
SHA256: 11d43fa54cb0c776abb2f672531a94f2e1a841c34590405509899aca6da36d8f

Nombre de archivo: VwgC.exe / Tamaño: 8.2 MB / VT
MD5: 5c96f1fda372a1191cbffe426a732b48
SHA1: 8859b681b6c53c947b94b63c624767264f796b61
SHA256: 10a6411e8b7aed18fa2abbb0612c8ef5d15b6d751ef94d52a20720dc92c1294c

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Virlock Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos