Sality
Sality es la clasificación para una familia de software malicioso (malware), que infecta archivos en Microsoft Windows sistemas. Sality fue descubierto en 2003 y ha avanzado durante los años para convertirse en una forma dinámica, duradera y completa de programas malintencionados. Sistemas infectados con Sality pueden comunicarse a través de un Peer-to-peer Red (P2P) con el propósito de transmitir spam, proxy de comunicaciones, ausencia de datos sensibles, comprometer servidores Web o coordinación de distribuir las tareas informáticas con el fin de procesar tareas intensivas (e.g. descifrado de contraseñas). Desde 2010, ciertas variantes de Sality también han incorporado el uso de Rootkit funciones como parte de una continua evolución de la familia de malware. Debido a su continuo desarrollo y capacidades, Sality se considera ser una de las formas más complejas y formidables de malware hasta la fecha.
Contenido
- 1 Alias
- 2 Perfil de malware
- 2.1 Resumen
- 2.2 Instalación
- 2.3 Método de propagación
- 2.3.1 Infección de archivo
- 2.3.2 Las unidades extraíbles y recursos compartidos de red
- 2.4 Capacidad de carga
- 3 Prevención
- 4 Recuperación
- 5 Véase también
- 6 Referencias
Alias
La mayoría de Antivirus (A / V) vendedores utilizan las siguientes convenciones de nomenclatura al referirse a esta familia de malware (el * al final de los nombres es un comodín para todas las posibles clasificaciones o reconocimientos por este malware de la familia):
- Sality
- SalLoad
- KooKoo
Perfil de malware
Resumen
Sality es una familia de polimórfica infectores, enfocadas en los archivos ejecutables de Windows con las extensiones .EXE o .SCR.[1] Sality utiliza polimórfico y punto de entrada ocultación técnicas (EPO) para infectar archivos utilizando los siguientes métodos: no cambiar la dirección de punto de entrada de la hosty reemplazando el código original del host en el punto de entrada del archivo ejecutable con un trozo de variable para redirigir la ejecución del código viral polimórfico, que se ha insertado en la última sección del archivo de host;[2][3] el trozo descifra y ejecuta una región secundaria, conocida como el cargador; Finalmente, el cargador se ejecuta en un subproceso independiente dentro del proceso infectado eventualmente cargar la carga Sality.[2]
Sality puede ejecutar un malicioso capacidad de carga Eso elimina archivos con ciertos extensiones o comenzando con específicos cuerdas, termina relacionadas con la seguridad procesos de y servicios, busca en libreta de direcciones del usuario para direcciones de correo electrónico enviar mensajes de spam,[4] y entra en contacto con un host remoto. Sality también puede descargar archivos ejecutables adicionales para instalar otros programas maliciosos y con el propósito de propagar pago por instalar aplicaciones. Sality puede contener Troyano componentes; algunas variantes pueden tener la capacidad de robar información personal o financiera sensible (es decir, ladrones de información),[5] generar y relé spam, tráfico de retransmisión vía HTTP proxies, infectar sitios web, lograr tareas de computación distribuidas como agrietamiento de contraseña, así como de otras capacidades.[2]
Mecanismo de Sality downloader descarga y ejecuta malware adicional a lo indicado en el Direcciones URL recibido mediante el componente de peer-to-peer. El malware distribuido puede compartir la misma "firma de código" como la carga de Sality, que puede proporcionar la atribución a un grupo o que comparten una gran parte del código. El malware adicional típicamente se comunica con e informa a la Comandancia y control (C & C) servidores distribuidos por todo el mundo. Según Symantec, la "combinación de mecanismo de infección de archivos y la red peer-to-peer totalmente descentralizada [...] hacer Sality uno del malware más eficaces y flexible en el panorama de hoy amenaza".[2]
Dos versiones de la botnet están actualmente activo, las versiones 3 y 4. El malware distribuido en las botnets son firmado digitalmente por los atacantes para evitar una adquisición hostil. En los últimos años, Sality también ha incluido el uso de técnicas de rootkit para mantener persistencia en sistemas comprometidos y evadir las detecciones basadas en host, tales como el software anti-virus.[6]
Instalación
Sality infecta archivos en el ordenador afectado. Mayoría de las variantes utiliza un DLL una vez cae en cada equipo. El archivo dll, el cual está escrito en el disco en dos formas, por ejemplo:
- %System%\wmdrtc32.dll
- %System%\wmdrtc32.dl_
El archivo DLL contiene la mayor parte de la virus código. El archivo con la extensión ".dl_" es la copia comprimida. Recientes variantes de Sality, tales como Virus: Win32-Sality.AM, no deje caer la DLL, pero en su lugar carga enteramente en memoria sin escribir en el disco. Esta variante, junto con otros, también cae un controlador con un nombre de archivo aleatorio en la carpeta % SYSTEM%\drivers. Otro tipo de malware también puede caer Sality en la computadora. Por ejemplo, una variante del Sality detectada como Virus: Win32-Sality.AU se deja caer por gusano: Win32-Sality.AU.[1] Algunas variantes del Sality, también puede incluir un rootkit mediante la creación de un dispositivo con el nombre de Device\amsint32 o \DosDevices\amsint32.[6]
Método de propagación
Infección de archivo
Sality generalmente está dirigido a todos los archivos en la unidad C: que tienen.SCR o.Las extensiones de archivo EXE, comenzando con el raíz carpeta. Infecta archivos aumento de tamaño por una cantidad variable.
El virus también objetivos de aplicaciones que se ejecutan en cada Windows iniciar y utilizan con frecuencia aplicaciones, hace referenciadas a los siguientes claves del registro:
- HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKLM[1]
Sality evita infectar archivos particulares, con el fin de permanecer ocultos en el ordenador:
- Archivos protegidos por el comprobador de archivos de sistema (SFC)
- Archivos en la carpeta % SystemRoot %
- Los ejecutables de varios antivirus /cortafuegos productos haciendo caso omiso de los archivos que contienen ciertas subcadenas
Algunas variantes del Sality pueden infectar archivos legítimos, que luego son trasladados a disponible unidades extraíbles y recursos compartidos de red mediante la enumeración de toda la red compartir carpetas y recursos de la computadora local y todos los archivos en la unidad C: (comenzando con la carpeta raíz). Infecta los archivos que encuentra agregando una nueva sección de código al host e insertando su código malicioso en la sección recién agregada. Si existe un archivo legítimo, el malware copiará el archivo a la Archivos temporales carpeta y luego infectar el archivo. El resultado infectados luego mover archivo a la raíz de todos los recursos compartidos de red y unidades extraíbles disponibles como cualquiera de los siguientes:
- \ < nombre de archivo aleatorio > .pif
- \ < nombre de archivo aleatorio > .exe
- \ < nombre de archivo aleatorio > .cmd
La variante Sality también crea un archivo "autorun.inf" en la raíz de todas estas unidades que apunta a la copia del virus. Cuando una unidad es accesible desde una computadora apoyando la AutoRun característica, el virus se lanza entonces automáticamente.[1] Algunas variantes Sality pueden también soltar un archivo con una extensión de fichero .tmp a los recursos compartidos de red descubierta y así como soltar un .LNK archivo para ejecutar el virus dejó caer.[7]
Capacidad de carga
- Sality puede inyectar código en procesos que se ejecutan mediante la instalación de un gancho de mensaje[8]
- Sality comúnmente busca e intenta eliminar los archivos relacionados con actualizaciones antivirus y terminar aplicaciones de seguridad, como programas antivirus y personal firewall; intenta poner fin a las aplicaciones de seguridad que contienen las mismas cadenas como los archivos que evita infectar; y también puede terminar servicios relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad que contienen ciertas subcadenas[1][2][3][7][9][10][11][12][13][14][15][16]
- Sality variantes pueden modificar el registro de computadora para bajar la seguridad de Windows, desactivar el uso del Editor del registro de Windows y prevenir la visualización de archivos con atributos ocultos; Algunos Sality variantes recursivamente borrar todos los valores del registro y datos en virtud de las subclaves del registro para HKCU\System\CurrentControlSet\Control\SafeBoot y HKLM\System\CurrentControlSet\Control\SafeBoot evitar que el usuario iniciar Windows en modo seguro[1][4][7][9][10][17][18][19]
- Algunas variantes Sality pueden robar información confidencial como las contraseñas almacenadas en caché y registran las pulsaciones de teclado, que fueron introducidos en el ordenador afectado[1][12][14]
- Sality variantes generalmente intentan descargar y ejecutar otros archivos, incluyendo pago por instalación ejecutables utilizando una lista preconfigurada de hasta 1000 pares; el objetivo de la red P2P es intercambiar listas de URL para alimentar a la funcionalidad downloader; los archivos se descargan en la carpeta archivos temporales de Windows y descifrado utilizando uno de varias contraseñas codificadas[1][2][3][5][8][9][10][11][12][13][14][15][17][19][20]
- La mayoría de la carga del Sality se ejecuta en el contexto de otros procesos, lo que dificulta la limpieza y permite que el malware evitar algunos firewalls; para evitar múltiples inyecciones en el mismo proceso, a todo el sistema mutex llamado "< nombre > .exeM_ < ID de proceso > _" se crea para cada proceso en el cual se inyecta código, que impediría a más de una instancia corriendo en memoria al mismo tiempo.[1]
- Algunas variantes del Win32-Sality gota un conductor con un nombre de archivo aleatorio en la carpeta %SYSTEM%\drivers para llevar a cabo funciones similares tales como terminar los procesos relacionados con la seguridad y bloquear el acceso a sitios web relacionados con la seguridad y también puede deshabilitar cualquier tabla del sistema servicio descriptor (SSDT) ganchos para evitar que ciertos software de seguridad funcionan correctamente[1][2][3][9][10][11][17][19][21][22]
- Algunas variantes Sality extensión moviendo para unidades extraíbles/remoto disponibles y recursos de red compartidos[1][2][3][7][8][10][11][19]
- Algunas variantes Sality suelta.Archivos LNK, que se ejecutan automáticamente el virus dejó caer[7]
- Algunas variantes Sality pueden buscar la libreta de direcciones de Outlook del usuario y archivos de Internet Explorer almacena en caché para correos electrónicos para enviar mensajes de correo basura, que luego envía mensajes spam basados en información recupera desde un servidor remoto[4]
- Sality puede agregar una sección a la configuración archivo %SystemRoot%\system.ini como un marcador de infección, contactos hosts remotos para confirmar la conexión a Internet, informe una nueva infección a su autor, recibir configuración u otros datos, descargar y ejecutar archivos arbitrarios (incluyendo las actualizaciones o malware adicional), reciben instrucciones de un atacante remoto o cargar datos extraídos de la computadora afectada; algunas variantes Sality puede abrir una conexión remota, permitiendo a un atacante remoto descargar y ejecutar archivos arbitrarios en el ordenador infectado[4][8][10][11][12][13][14][15][17][19][20]
- Ordenadores infectados con las versiones recientes de Sality, tales como Virus: Win32-Sality.AT y Virus: Win32-Sality.AU, conectarse a otros ordenadores infectados por incorporarse a una red peer-to-peer (P2P) para recibir direcciones URL apuntando a los componentes de malware adicional; recorre el protocolo P2P UDP, todos los mensajes intercambiados en la red P2P se cifran y se genera el número de puerto UDP local utilizado para conectarse a la red en función del nombre del equipo[1]
- Sality puede agregar un rootkit que incluye un conductor con capacidades tales como la terminación de procesos a través de NtTerminateProcess, así como bloquear el acceso para seleccionar recursos antivirus (por ejemplo sitios web de proveedores de antivirus) mediante el filtrado de IP; este último requiere el controlador registrar una función de devolución de llamada, que se utilizará para determinar si los paquetes deben cayó o reenviar (e.g. paquetes gota si la cadena contiene el nombre de un proveedor de antivirus de una lista compone)[6]
Prevención
Los siguientes pasos pueden ayudar a prevenir la infección:
- Habilitar un firewall en tu computadora
- Obtenga las últimas actualizaciones de computadoras para todo su software instalado
- Evite descargar archivos ejecutables no confiables
- Utilizar software antivirus actualizado
- Privilegios de usuario límite en el equipo
- Tenga cuidado al abrir archivos adjuntos y la aceptación de la transferencia de archivos
- Tenga cuidado al hacer clic en enlaces a páginas web
- Evite descargar software pirata[citación necesitada]
- Protéjase contra Ingeniería social ataques
- Uso contraseñas[1][4][7][8][9][10][10][11][11][12][12][13][13][14][14][15][15][16][16][20][21][22][23][24][25][26]
Recuperación
Sality usa sigilosos medidas para mantener la persistencia de un sistema; por lo tanto, puede que deba Bota en un entorno de confianza para sacarlo. Sality también puede hacer cambios a su computadora tales como cambios en el registro de Windows, que lo hace difícil de descargar, instalar o actualizar su protección antivirus. También, puesto que muchas variantes de Sality intentan propagar para unidades extraíbles/remoto disponibles y las acciones de la red, es importante asegurar el proceso de recuperación completamente detecta y elimina el malware de cualquier conocido/posibles ubicaciones.
Véase también
- Virus informático
- Botnet
Referencias
- ^ a b c d e f g h i j k l m Microsoft Malware Protection Center (2010-08-07). "Win32-Sality". Microsoft. Archivado de el original el 2013-09-17. 22 / 04 / 2012.
- ^ a b c d e f g h Nicolas Falliere (03-08-2011). "Sality: historia de una red Viral Peer-to-Peer". Symantec. 2012-01-12.
- ^ a b c d e Angela Thigpen y Eric Chien (2010-05-20). "W32.Sality". Symantec. Archivado de el original el 2013-10-05. 22 / 04 / 2012.
- ^ a b c d e Microsoft Malware Protection Center (2009-05-29). "Win32-Sality.A". Microsoft. 22 / 04 / 2012.
- ^ a b FireEye, Inc (14 / 02 / 2012). "FireEye avanzada amenaza Informe - 2H 2011". FireEye. Archivado de el original el 2012-05-22. 22 / 04 / 2012.
- ^ a b c I. Artem Baranov (15 / 01 / 2013). "Sality Rootkit análisis". Archivado de el original el 2013-08-10. 19 / 01 / 2013.
- ^ a b c d e f Microsoft Malware Protection Center (2010-07-30). "Gusano: Win32-Sality.AU". Microsoft. Archivado de el original el 2013-09-27. 22 / 04 / 2012.
- ^ a b c d e Microsoft Malware Protection Center (2010-04-28). "Virus: Win32-Sality.G.dll". Microsoft. 22 / 04 / 2012.
- ^ a b c d e Microsoft Malware Protection Center (2010-06-28). "Virus: Win32-Sality.AH". Microsoft. 22 / 04 / 2012.
- ^ a b c d e f g h Microsoft Malware Protection Center (2010-08-27). "Virus: Win32-Sality.gen!AT". Microsoft. 22 / 04 / 2012.
- ^ a b c d e f g Microsoft Malware Protection Center (2010-10-21). "Virus: Win32-Sality.gen!Q". Microsoft. 22 / 04 / 2012.
- ^ a b c d e f Microsoft Malware Protection Center (2008-07-03). "Virus: Win32-Sality.R". Microsoft. Archivado de el original en 2014-04-04. 22 / 04 / 2012.
- ^ a b c d e Microsoft Malware Protection Center (2008-07-07). "Virus: Win32-Sality.T". Microsoft. Archivado de el original en 2014-04-04. 22 / 04 / 2012.
- ^ a b c d e f Microsoft Malware Protection Center (2008-07-07). "Virus: Win32-Sality.AN". Microsoft. 22 / 04 / 2012.
- ^ a b c d e Microsoft Malware Protection Center (2009-03-06). "Virus: Win32-Sality.S". Microsoft. 22 / 04 / 2012.
- ^ a b c Microsoft Malware Protection Center (2008-07-08). "Virus: Win32-Sality". Microsoft. Archivado de el original en 2012-01-01. 22 / 04 / 2012.
- ^ a b c d Microsoft Malware Protection Center (2010-07-30). "Virus: Win32-Sality.AU". Microsoft. Archivado de el original el 2013-09-27. 22 / 04 / 2012.
- ^ Microsoft Malware Protection Center (2010-07-30). "TrojanDropper:Win32-Sality.AU". Microsoft. 22 / 04 / 2012.
- ^ a b c d e Microsoft Malware Protection Center (2010-04-26). "Virus: Win32-Sality.AT". Microsoft. Archivado de el original en 2014-01-30. 22 / 04 / 2012.
- ^ a b c Microsoft Malware Protection Center (2007-11-16). "Virus: Win32-Sality.M". Microsoft. Archivado de el original en 2014-04-05. 22 / 04 / 2012.
- ^ a b Microsoft Malware Protection Center (2010-08-10). "Troyano: WinNT-Sality". Microsoft. Archivado de el original el 2013-12-05. 22 / 04 / 2012.
- ^ a b Microsoft Malware Protection Center (2010-09-17). "WinNT-Sality". Microsoft. 22 / 04 / 2012.
- ^ Microsoft Malware Protection Center (2010-04-14). "Virus: Win32-Sality.G". Microsoft. Archivado de el original en 2014-04-05. 22 / 04 / 2012.
- ^ Microsoft Malware Protection Center (2008-07-08). "Virus: Win32-Sality.AM". Microsoft. Archivado de el original en el 2013-12-09. 22 / 04 / 2012.
- ^ Microsoft Malware Protection Center (2009-06-17). "Virus: Win32-Sality.gen!P". Microsoft. 22 / 04 / 2012.
- ^ Microsoft Malware Protection Center (2009-09-02). "Virus: Win32-Sality.gen". Microsoft. 22 / 04 / 2012.
|