Nueva amenaza que roba información confidencial

En los últimos días hemos observado la propagación de una nueva amenazas desarrollada en Rusia pero con impacto en la región de América Latina. Se trata de un nuevo troyano detectado por ESET NOD32 como Win32/Spatet.A (la “A” indica que es la primera versión) y que busca robar información sensible.

Entre sus objetivos se encuentran las contraseñas utilizadas en el sistema operativo y particularmente en las conexiones del tipo RAS (Remote Access Service, en español Servicio de Acceso Remoto). Mediante una conexión de este tipo un usuario remoto puede conectarse a una red corporativa y por lo tanto este troyano representa un riesgo alto para las organizaciones que utilizan este tipo de conexiones.

La aplicación mencionada obtiene usuarios y contraseñas del sistema:

Password

Luego escribe los datos obtenidos en un mutex que mas tarde enviara a la URL http://imagehost4u.[ELIMINADO].pl. Los objetos mutex se utilizan para proteger recursos compartidos desde accesos simultáneos desde múltiples threads o procesos.

Passlist

EL malware queda residente en el sistema inyectando código en el proceso explorer.exe y monitoreando al usuario desde svchost.exe, como servicio de sistema:

Explorer

Si se realiza una búsqueda de strings en el código del archivo dañino, podemos encontrarnos que también ¡tiene Copyright!

copyright

Una búsqueda posterior nos dice que son un grupo de usuarios rusos dedicados a desarrollar malware.

También podemos notar que las funciones y técnicas de evasión en este malware no están demasiado ofuscadas y es fácil comprender su objetivo:

mutex

evasion

En resumen, este es un malware dedicado a obtener información sensible de su víctima utilizando técnicas como keylogging y el análisis de archivos de contraseñas del usuario que luego los envía al delincuente, continuando residente en el sistema para seguir con su ciclo de vida.

Juan Sacco
Analista de Malware

Autor , ESET

  • Alicia

    Ver cómo funcionan estos malwares es muy interesante. Pero me gustaría saber qué podemos hacer para evitar infectarnos. Y si ya lo estamos cómo eliminar la alimaña. Muchas gracias

    • Hola Alicia,

      Cada día desde aquí damos consejos para eso y también te recomendamos que utilices ESET NOD32 como antivirus.

      Cristian

  • Alicia

    Hola Cristian, muchas gracias por tu respuesta. Los consejos que dan habitualmente los tengo claros, pero yo me refería a este malware en particular.

    • Hola Alicia,

      Tal y como menciona Juan en el post, este malware es detectado y eliminado por ESET NOD32 como Win32/Spatet.A.

      Cristian

  • nicolas

    yo tengo ese viru y e echo hazta lo imposible por tratar de eliminarlo alguien me podria decir como porfavor

  • Tomas Mazziado

    Hay algunas cosas que no entiendo.

    1) Como es eso de “enviar datos” a un mutex? No sera parte de una URL lo que estamos viendo? Ademas hay otro string similar que dice “update”, eso parece ser un sistema de actualizacion del virus, seria interesante ver como funciona eso…

    2) Como funciona exactamente el keylogger? Tiene relacion con el capturador de passwords de RAS?

    En todo caso el codigo que se muestra aqui lo que esta haciendo es tomar dos punteros a variables locales en una funcion y verificando que no sean NULL – que por definicion es imposible, esto nos dice que el programador sabe mas bien poco de C.

    3) Si realmente hay un mutex, mas probablemente sea para evitar que se ejecute mas de una instancia del virus en la misma maquina. De ser asi, estaria bien saber que nombre tiene el mutex, porque es una forma sencilla de detectar el virus en memoria.

    Ademas queria agregar un comentario, el codigo de inyeccion que se muestra en verdad esta creando una instancia nueva de explorer.exe, no se esta inyectando a una instancia que ya exista. Eso me llama la atencion, puede ser que debajo de eso haya alguna llamada a WriteProcessMemory por ejemplo?

    Un saludo.

    • Hola Tomas,

      1) Los mutex son algoritmos de exclusión mutua (comúnmente abreviada como mutex por mutual exclusión) se usan en programación concurrente para evitar el uso simultáneo de recursos comunes, como variables globales, por fragmentos de código conocidos como secciones críticas.
      2) Tiene relación indirecta con el log de RAS, pero no fue incluido el código del keylogger por motivos de espacio.
      3) Los mutex no se pueden usar de otra forma. Son la forma más común de implementar la sincronización de threads y de proteger datos compartidos cuando acontecen multitud de escrituras sobre esos datos compartidos.
      4) Al inyectar código en Explorer.exe y hacer un Hook a la API CreateProcess que a su vez inyecte el código en todo proceso que se cree, para así controlar procesos lanzados por otros procesos.

      Para aclarar tus dudas sobre los mutex, te recomiendo leer: http://msdn.microsoft.com/en-us/library/ms686927%28VS.85%29.aspx

      Saludos
      Juan Sacco
      Analista de Malware

  • Tomas Mazziado

    Hola Juan. Te agradezco que me hayas respondido. Me quedan un par de dudas:

    1) Se lo que es un mutex (y de hecho hablando de Windows nos referimos a a un tipo de objeto de kernel, no a un algoritmo. Pero no responde mi pregunta… no se pueden enviar datos a un mutex, los objetos mutex son el equivalente a los locks de Unix y tienen solo dos operaciones, adquirir o liberar. Quizas te refieras a que hay un buffer de memoria compartida cuyo acceso esta serializado por el mutex?

    3) Uno de los usos posibles de un mutex es crearlo con nombre (para que sea accesible desde otros procesos) y testear la presencia del mutex para saber si ya esta siendo ejecutada una instancia del mismo proceso. Aqui hay un ejemplo (ver el comentario, no el articulo que esta mal) http://www.codeproject.com/Messages/718238/Another-approach-using-mutexes.aspx

    2 y 4) Comprendo, no me habia quedado claro leyendo el articulo.

Síguenos