SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Nuevas técnicas
maliciosas vinculadas a la Protección de
Archivos de Windows
En
esta nota informativa nos hacemos eco de un artículo publicado por
Prashanth PR,
antivirus researcher de McAfee, donde informa de nuevas técnicas utilizadas por
los creadores de malware en general. Estas se valen de la ejecución de funciones
no documentadas en los ficheros SFC.dll y SFC_OS.dll, ambos
directamente relacionados con la característica de Protección de Archivos de
Windows. La llamada a estas funciones no documentadas permite abrir el sistema a
la modificación de cualquier archivo o directorio, exponiendo el sistema a
cualquier infección de código malicioso. McAfee ya controla (desde los DAT
5068), una nueva variante vírica (w32/Crimea) que se vale de una de estas
técnicas.
Blog original de Prashanth PR (en inglés):
http://www.avertlabs.com/research/blog/index.php/2007/07/05/wfp-hack-redefined/
Jueves 5 de Julio de 2007, 2:40
pm CST
Publicado por Prashanth PR
Hoy, en McAfee Avert Labs nos hemos encontrado con un malware interesante, W32/Crimea que utiliza una característica no documentada de la Protección de Archivos de Windows.
Windows File Protection (WFP) es una característica del sistema operativo Windows, que evita que otros programas modifiquen/sustituyan/borren ficheros críticos del sistema. SFC.dll y SFC_OS.dll son los ficheros que contienen funciones utilizadas para monitorizar los ficheros del sistema. Anteriormente, el malware solía parchear estas dlls o modificar los registros para desactivar esta característica. En blogs anteriores hemos hablado sobre algunas técnicas utilizadas por malware, y dirigidas a Archivos de Windows.
Parchear SFC.dll y SFC_OS.dll hacía inútiles muchas de las defensas del sistema, pero las empresas de Anti-Virus encontraron una manera de identificar estas dlls parcheadas y proporcionaron soluciones para limpiar los equipos afectados. De nuevo los autores de malware han encontrado un método alternativo con la ayuda de funciones no documentadas en el mismo SFC_OS.dll.
Aquellos interesados exploraron esta posibilidad, y voila! Dieron en el clavo! Las funciones claves a mencionar son:
1. Ordinal
2: SfcTerminateWatcherThread
2. Ordinal 5: SetSfcFileException
Las función Ordinal 2 finaliza el hilo de vigilancia del Sistema de Archivos, y el sistema queda abierto a cualquier modificación a directorios/ficheros generada por malware, hasta el siguiente reinicio. Este método requiere que el malware inyecte código en winlogon.exe para llamar a esta función, ya que sfc_os.dll es utilizado por el proceso winlogon para lograr esta protección.
La función Ordinal 5 desactiva la Protección de Archivos de Windows para un fichero en particular, normalmente durante un minuto. Este es el tiempo necesario para que el malware pueda hacer su trabajo con éxito!!! Ahora el sistema vuelve a funcionar, pero está infectado por malware. Incluso cuando estas técnicas ya se conocían hace más de un año, estamos viendo el uso de ellas en la actualidad. El segundo método es utilizado por W32/Crimea para infectar un fichero de sistema (imm32.dll).
Uno podría comenzar a pensar con qué finalidad suministra Microsoft estas API en Windows, que hacen al sistema vulnerable de múltiple malware. Uno de los motivos podría ser para actualizar los ficheros de sistema e instalar parches. Pero ello proporciona una via para que el malware infecte fácilmente el sistema.
Por lo que parece, Microsoft está proporcionando una manera para desactivar su propia protección utilizando sus propias API. Por tanto, ¿son estas API una característica, o un defecto?.
_____________________
Aprovechamos esta nota informativa para recordarles que
nuestro horario de soporte técnico desde el 2 de Julio al 31 de Agosto será de 8
a 15 horas. Los servicios comerciales de la empresa permanecerán cerrados del 6
al 24 de Agosto por vacaciones del personal.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 06 de Julio de 2007