AutoRun.VB.UG: Gusano que dificulta el análisis dinámico

En nuestro blog ya se ha tratado el tema del análisis dinámico, procedimiento que nos resulta útil para conocer el comportamiento de un determinado código malicioso en un sistema que por lo general, es un entorno virtual.

En este caso analizamos un gusano recibido por nuestro Distribuidor Exclusivo para Perú, Startlabs. Tras el análisis de la muestra por parte de nuestro laboratorio,  ESET NOD32 Antivirus detecta esta amenaza como Win32/AutoRun.VB.UG Gusano.

Cuando este es ejecutado, busca algunos procesos de programas que se encuentren en ejecución para terminarlos y no permitir que se vuelvan a iniciar. Dentro de esta lista, se encuentran programas antivirus y utilidades que sirven para realizar análisis dinámicos de muestras, entre otras funciones. Algunos de los archivos que finaliza son Process Monitor, Process Explorer y Sandboxie.

Para dificultar su remoción, desactiva algunas funciones de Windows como el comando ejecutar. También imposibilita abrir el Administrador de Tareas, no permite cambiar las distintas opciones de carpeta, como poder mostrar archivos cuyos atributos sean oculto o de sistema, ni tampoco ver la extensión del fichero en el nombre del mismo.

Pese a que Win32/AutoRun.VB.UG permite su ejecución en máquinas virtuales, este no se ejecuta y muestra varios errores hasta llenar el escritorio de mensajes si es abierto mediante un programa del tipo sandbox. Esta categoría de software permite aislar del sistema anfitrión las diferentes acciones que pueda llevar a cabo una determinada amenaza. Esta operación representa una dificultad más para determinar el comportamiento de la muestra.

AutoRun.VB.UG no se ejecuta en sandbox

Como su clasificación de AutoRun lo indica, VB.UG se expande copiándose a dispositivos de almacenamiento masivo USB como memorias flash o discos duros portátiles. Esto permite que el gusano sea ejecutado automáticamente en versiones de Windows XP sin el respectivo parche.

Para lograr este objetivo, el malware se copia en una carpeta cuyo nombre elige aleatoriamente. Esta tiene atributo de oculto y de sistema para que el usuario no pueda verla, debido a la configuración de carpeta que establece anteriormente. Luego, la amenaza procede a ocultar todos los archivos de la víctima que residan en esta clase de dispositivos.

Finalmente, el gusano crea diferentes accesos directos que apuntan tanto a los archivos ocultos de la persona como a este mismo. De esta forma, cada vez que el usuario abre un acceso directo malicioso, ve su archivo real y además, infecta su sistema sin darse cuenta, como puede verse en las rutas de archivos en la siguiente imagen:

Técnica de expansión mediante accesos directos

Esta técnica de Ingeniería Social ha sido observada en algunas variantes de Dorkbot, y permite que el código malicioso pueda afectar una mayor cantidad de versiones de Windows al no depender de la característica de autoejecución de Windows XP como principal vector de propagación.

Como siempre, se recomienda al usuario contar con una solución antivirus con capacidad de detección proactiva para protegerse frente a este tipo de gusanos y otras amenazas y además, se le sugiere a los usuarios corporativos considerar bloquear los puertos USB.

André Goujon
Especialista de Awareness & Research

Autor , ESET

Síguenos