sábado, 11 de agosto de 2012

XDocCrypt/Dorifel. ¿Hacia la unión del troyano bancario y ransomware? (I)


Se ha descubierto Dorifel, un malware con dos características concretas que lo hacen interesante. Infecta ejecutables y documentos de Microsoft Word y Excel. Con estos últimos, se comporta como un "virus de los de antes", replicándose por todos los ficheros de este tipo. Vuelve a poner de moda una técnica para pasar desapercibido de la que ya hablamos el año pasado... y puede significar un cambio de modelo en el malware.

XdocCrypt/Dorifel está escrito en Delphi. Delphi es el lenguaje preferido de los creadores de malware brasileños, aunque este no parece el origen de Dorifel. Lo que caracteriza a este malware técnicamente es interesante.

Qué hace en el sistema

Inyecta su código en ficheros Word y Excel. Los cifra y los convierte en ejecutables. Simplemente crea un nuevo fichero que contiene una primera parte que es el malware en sí. Luego el delimitador [+++scarface+++] y a continuación el fichero Word o Excel cifrado con RC4, y con la clave (hasta ahora) \x0d\x0a\x05\x0f\x59\x7b\x38\x5a\x5b\x36\x31\x69\x7e\x0d\x0d\x09.

Todo esto (código más el contenido cifrado del documento) lo guarda como un ejecutable con extensión .scr. Pero con una salvedad, y es que usa un "viejo truco". Se ayuda de un carácter especial de la codificación Unicode. Unicode implementa una serie de códigos especiales llamados "Right to Left" (RTL). A todo lo escrito a partir de ese código Unicode, se le "dará la vuelta" cuando es representado, además de que el código en sí es invisible. Por ejemplo el malware crea un archivo "Presupuesto[U+202E]sxl.scr" (con extensión real .scr, o sea, ejecutable y carácter Unicode 202E insertado) que en el explorador aparecerá como "Presupuestoscr.xls". De esto hablamos hace algún tiempo aquí (con ejemplos prácticos).


Además busca documentos en todas las unidades de red y fijas conectadas al sistema. Evita la unidad de sistema c:\, mirando que exista "System Volume Information". Esto quiere decir que en las unidades donde exista ese directorio, no buscará documentos (lo que puede suponer un truco para evitar su expansión).

Se asegura su supervivencia creando en la rama del registro:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\

Un enlace al programa en la clave "Load". (WinLockLess lo hubiera impedido).

Contacta con un centro de control remoto, pero por ahora no devuelve comandos. Esto da un indicio (veremos otro más) de que puede tratarse de una especie de ensayo.

Para recuperar los documentos, se pueden emplear multitud de herramientas que han creado las casas antivirus.

Cómo llega al sistema

Esta es la parte más curiosa. Parece que el malware no ha aparecido principalmente como habitualmente ocurre: aprovechando alguna vulnerabilidad o a través de una campaña de spam en la que se le pide al usuario ejecutar un fichero (que también). Parece que ha sido otro malware el que lo ha descargado y lanzado en el sistema. En un principio solo los infectados por una variante de Citadel se han visto afectados por Dorifel.

Por tanto, la empresa (ha afectado principalmente a empresas) o usuario que haya visto sus documentos cifrarse mágicamente, probablemente tenga un problema más serio aún del que aparenta... podría haber estado infectado previamente por Citadel, un malware de la categoría de Zeus que le ha podido robar datos bancarios y que, obviamente (ha instalado otro malware) controla su equipo.

¿Cuál es el propósito de Dorifel? Lanzamos alguna teoría en la próxima entrega.

Más información:

Inside a ‘Reveton’ Ransomware Operation
http://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware-operation/

ZeuS Ransomware Feature: win_unlock
http://www.f-secure.com/weblog/archives/00002367.html

Fake G-Men Attack Hijacks Computers for Ransom
http://www.trusteer.com/blog/fake-g-men-attack-hijacks-computers-ransom

Joint attack by banking Trojan and ransomware
http://www.net-security.org/malware_news.php?id=2092

Práctico: Cómo ocultar las extensiones de ficheros gracias a la codificación Unicode.
http://unaaldia.hispasec.com/2011/08/practico-como-ocultar-las-extensiones.html

 XDocCrypt/Dorifel – Document encrypting and network spreading virus
http://blog.fox-it.com/2012/08/09/xdoccryptdorifel-document-encrypting-and-network-spreading-virus/

Dorifel crypto malware paralyzes Dutch companies and public sector
http://blog.emsisoft.com/2012/08/09/dorifel-crypto-malware-paralyzes-dutch-companies-and-public-sector/

Dorifel crypto malware paralyzes Dutch companies and public sector
http://blog.emsisoft.com/2012/08/09/dorifel-crypto-malware-paralyzes-dutch-companies-and-public-sector/

Dorifel Malware Encrypts Files, Steals Financial Data, May Be Related to Zeus or Citadel
http://threatpost.com/en_us/blogs/dorifel-malware-encrypts-files-steals-financial-data-may-be-related-zeus-or-citadel-081012


Dorifel Malware Encrypts Files, Steals Financial Data, May Be Related to Zeus or Citadel
http://threatpost.com/en_us/blogs/dorifel-malware-encrypts-files-steals-financial-data-may-be-related-zeus-or-citadel-081012



Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Etiquetas: , , , , , ,

2 comentarios:

  1. Anónimo14 de agosto de 2012 a las 8:55

    Hay una errata:
    "Presupuesto[U+202E]sxl.scr" (con extensión real .scr, o sea, ejecutable y carácter Unicode 202E insertado) que en el explorador aparecerá como "Presupuestoscr.xls"

    Sería:
    Presupuesto[U+202E]slx.scr
    Y:
    Presupuestorcs.xls

    Saludos.

    ResponderEliminar
  2. ssantos14 de agosto de 2012 a las 16:16

    Corregido. Gracias.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017