18 jun 2012

El malware de los "scr". Una historia de amor y odio.

Buenas a todos, la pasada semana sufrí una historia de amor-odio con un nuevo juguete que me encontré en uno de mis terrenos habituales de juego (en un lugar de la Mancha de cuyo nombre no quiero acordarme...). Todo empezó con una llamada de un amigo avisando de que algo no iba bien, me comentaba que los ficheros doc de varios recursos compartidos de red habían cambiado su extensión a "xcod.scr". Me agarré mi kit CSI, me subí al batmovil y me fuí al lugar de los hechos.

Tras hacer un análisis previo de la situación con herramientas de última generación (el explorador de Windows...), confirmamos la situación remitida, "pos si, pos vas a llevar razón, ahora tenemos muchos scr y pocos doc..."

Tras analizar el lugar de los hechos arranco el Process Monitor y me pongo a monitorizar procesos y entradas de registro, y efectivamente, ahí están, sin parar, veo documentos de word creándose con formato scr a mansalva por el proceso "Explorer.exe" (¿será un rootkit que está inyectado en el explorer? soy un paranóico). Pero había un dato curioso, solo sucedía en las carpetas compartidas en red..., por lo que llegaba la hora de plantearse una de las acciones más elaboradas en los planes de contingencia... ¡Carlos, por dios trata de arranc.... tira del cable! Tras pensar por un segundo en las posibles consecuencias de la acción, ya que se trataba de un equipo "indispensable", decidimos recurrir al plan B, ir mirando que usuarios estaban accediendo a los recursos compartidos y tienen abiertos esos extraños documentos y les bloqueamos el acceso.

Tras ejecutar el plan B, la situación se estabilizó y pudimos dedicar más tiempo a analizar esos extraños archivos en profundidad. Tras una hora de análisis en el laboratorio de malware nos dimos cuenta que el bicho tenía un comportamiento muy similar, casi idéntico, al malware Dorifel, que apareció hace un par de semanas y que inyectaba código malicioso en los archivos de Word y los renombraba, e intentaba conectarse a algunas IP externas para llevarse archivos (categoría "Low" como dicen en McAfee, ¡vaya!) Pero no podía ser el mismo porque todos los antivirus se lo comían con patatas (verificado en VirusTotal con varias muestras), por lo que llegamos a la conclusión de que se trataba de una mutación. Por ello, nos pusimos en contacto con nuestro proveedor de Antivirus y le proporcionamos las muestras para que publicase a la mayor brevedad una nueva vacuna.

Entre tanto, no quedó otra que aislar el equipo infectado (descompartir las carpetas compartidas), ya que algún que otro usuario del sistema de estas tierras de ricos quesos y mejores mantecados, un poco despistado... ignoró las recomendaciones de evitar el acceso a los archivos de los recursos compartidos.

El sol se ponía y llegaba la hora de recogerse, por lo que decidí llevarme un par de muestras para analizarlas mientras los mortales dormían. Y mi sorpresa, cuando pincho el pendrive en mi PC fue mayúscula, veo desaparecer las muestras del bicho bajo la siguiente alerta de mi AV, Microsoft Security Essentials:

¿Habrán sido las muestras subidas a VirusTotal? ¿Habrá sido por otros usuarios que les suceda lo mismo y lo hayan remitido? Comencé a buscar en ese momento en los foros habituales de Malware y efectivamente vi como en numerosas organizaciones esa mañana y tarde había sido de locos para mucha gente, ese bicho había pegado fuerte, y las casas de AV se pusieron las pilas para cazar la nueva mutación.

El resto de la historia es poco épica y os imagináis como termina, pero si que hay un detalle que me gustaría señalar. De los AV a los que tengo acceso, Microsoft Security Essentials, Kasperski y McAfee, solo este último restaura los ficheros (con un matiz que ahora contaré), el resto los elimina y ¡adiós!, perdiste tus Word (más te vale contar con un buen backup). El matiz de los archivos restaurados por McAfee es que renombra todos los archivos infectados scr a doc, y si teníais archivos en formato docx... ahora tienen la extensión doc. Por lo que os tocará cambiar las extensiones de doc a docx a manopla, con un script (o con batch para los expertos... :)). Aún así, los archivos no quedan del todo bien y os saltará un error al abrirlos con Word, pero os dará la posibilidad de restaurarlos y guardarlos de nuevo, ya sí, en un documento correcto.

El bichito me quería, y se quiso venir de paseo en mi portatil un día más, me cogió cariño, pero de nuevo MSE rompió nuestra historia de amor.

Si que es verdad que esta historia (toda ficción por supuesto) tiene sus partes épicas, con gladiadores, keygen, tipos malos, clonadoras forenses y otros juguetes varios, pera esa historia la dejaremos para una tarde entre cervezas ;)

Saludos!

P.D. Esta historia puede haber sido dotada de dramatismo o haber sufrido leves modificaciones... o no...

4 comentarios:

  1. Muy buena historia , jajajaja

    ResponderEliminar
  2. Mmm... tu pendrive no tiene un sistema de ficheros NTFS, me equivoco? :)

    ResponderEliminar
  3. DeAtH: Mmm… tu pendrive no tiene un sistema de ficheros NTFS, me equivoco? Premio al canto. Está en fat32 para que lo lea la Xbox :)

    ResponderEliminar
  4. [...] y sus historias de amor y odio con el malware, parte I. Auditando por la vida te puedes encontrar de todo, algunas veces, en los sitios más [...]

    ResponderEliminar