martes, 5 de junio de 2012

Si se te infecta tu Windows estarás en llamas (Gusano Flame)

Introducción
El CERT de Irán, en el constante análisis luego de Stuxnet, Duqu, y en la búsqueda de códigos maliciosos, detectaron un nuevo malware que denominaron llama  debido a uno de los módulos de ataque, que se encuentra en varios lugares en el código de malware descifrado. De hecho, este malware es una plataforma que es capaz de recibir e instalar varios módulos para diferentes objetivos. Al día de hoy, el Cert Irán reporta , que ninguno de los 43 antivirus probados podría detectar cualquiera de los componentes maliciosos.

Características:
Según el CERT Irán, algunas de las características del gusano son:
1) Distribución a través de medios extraíbles.
2) Distribución a través de redes locales.
3) Sniffeo de la red, detectando los recursos de la red y la recolección de listas de contraseñas vulnerables.
4) Exploración del disco del sistema infectado en busca de contenidos y extensiones específicas.
5) Creación de la serie de la pantalla del usuario cuando se capta algunos procesos específicos o ventanas activas
6) El uso del micrófono conectado al sistema infectado para grabar los sonidos del medio ambiente.
7) La transferencia de los datos guardados para el control de los servidores
8) Establecimiento de una conexión segura con los servidores C & C a través de SSH y HTTPS
9) Anulación de los antivirus conocidos, anti malware y otro software de seguridad.
10) Es capaz de infectar sistemas operativos Windows XP, Vista y 7.
11) Infección de las grandes redes a escala local.

Según Websense el malware tiene un tamaño total de casi 20MB, es una archivo muy grande para un gusano, ya que normalmente es menor a 1MB. Una de las principales razones para su tamaño mucho mayor es su amplia funcionalidad integrada. Consiste de varios módulos, como bibliotecas de descompresión, una base de datos SQL y una máquina virtual LUA. Hasta ahora las vulnerabilidades conocidas utilizadas en este malware son: MS10-046 y MS10-061. Estas fueron usadas en Stuxnet y Duqu.
El código también es conocido como Skywiper.

Binarios
Los binarios detectados son:

Windows\system32\mssecmgr.ocx

Windows\System32\ccalc32.sys
Windows\System32\msglu32.ocx
Windows\System32\boot32drv.sys
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx

El laboratorio CrySyS ha publicado un documento muy completo que recomendamos su lectura, para bajarlo presione AQUI.

Referencias y fuentes
http://technet.microsoft.com/en-us/security/advisory/2718704
http://certcc.ir/index.php?name=news&file=article&sid=1894

http://nakedsecurity.sophos.com/2012/05/28/flamer-iran-malware/
http://www.crysys.hu/skywiper/skywiper.pdf
http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

Recomendamos actualizar las plataformas y leer el artículo del laboratorio CrySyS.
Hasta la próxima!

No hay comentarios.: