Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Sality
General

El virus Sality ha evolucionado desde el año 2003, es un malware que infecta los archivos del sistema y se replica a través de la red, uniendo la maquina afectada a una red peer-to-peer la cual es usada para distribuir más contenido malicioso y programas usados para el envío de spam, robo de información privada, infectar servidores web o para realizar tareas de computo distribuido como el Password Cracking. Además de estas características también bloquea el acceso de algunos antivirus a los servidores de actualización por medio del filtrado IP.

SHA256: 9ffff548edff949633c16439e6cfef2af70225f74e9f993860beb680caed6c90
SHA1: 38643dc26c18597158592808261cb571f3df5352
MD5: 60bd4776338ea598d4f1964c01616468
Tamaño: 1.3 MB ( 1369088 bytes ) 
Nombre: file-4964625_
Tipo: Win32 EXE

Al ejecutar el archivo se obtiene un mensaje que demuestra que el virus esta empaquetado con el software Themida; el cual es útil para impedir el análisis de ingeniería inversa.

 

Aunque el mensaje es claro (no es posible ejecutar el archivo en una maquina virtual) el malware se ejecuta y realiza importantes cambios en el registro del sistema para disminuir los niveles de seguridad que existan en el mismo: Cambios como deshabilitar el Firewall, el antivirus, el sistema de actualizaciones de Windows, el UAC entre otros.

Ver archivo completo

HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Type: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Start: 0x00000003
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ImagePath: "\??\C:\WINDOWS\system32\drivers\kroir.sys"
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\DisplayName: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Control\ActiveService: "amsint32"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Service: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control\ActiveService: "IpFilterDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Service: "IpFilterDriver"

HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA: 0x00000000

 

Como se puede ver en las llaves de registro también se instala así mismo como un servicio con el nombre amsint32 el cual a su vez extrae y ejecuta un driver (rootkit) en el Kernel que nos es posible identificar debido a que está oculto.

 

Para encontrar el driver es necesario conectar un debugger al Kernel del sistema operativo y revisar la lista de módulos en ejecución.

 

Una vez que está identificado el nombre del driver y del servicio (device) es posible encontrar la posición de memoria donde se encuentra ubicado y posteriormente revisar su estructura.

 

En esta estructura podemos ver la entrada DriverInit que es la posición de memoria donde reside el código del driver (0xf7bca62f) al revisar un poco dicho código se encuentran llamados a funciones interesantes del driver.

 

Los parámetros enviados a la función 0xf7bcab50 en las posiciones 0xf7bcad64 y 0xf7bcade8 son:

 

Al revisar la memoria en la posición correspondiente a la función (0xf7bcab50) se encontraron los strings de los antivirus a los cuales se les impide realizar conexiones con sus servidores de actualización

 

El virus realiza conexiones masivas con diferentes servidores para descargar más contenido malicioso.

 

Enlaces


http://artemonsecurity.blogspot.com/2013/01/sality-rootkit-analysis.html
http://www.symantec.com/connect/blogs/sality-whitepaper
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Virus%3aWin32%2fSality.AT

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos