Sality.AA


Virus para plataforma Windows que abre una puerta trasera para descargar otro software malicioso y recibir órdenes.

Difusión: Baja Fecha de Alta:10-06-2009
Última Actualización:10-06-2009

Daño: Medio

Dispersibilidad: Medio

Nombre completo: [email protected]+DE

Tipo: [Virus-Backdoor] - Programa que se propaga infectando otros archivos, normalmente ejecutables, y que permite además a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [SMB+DE] - Se propaga a través de dispositivos de red y extraíbles.

Alias:W32/Sality.AA (F-Secure)

MÉTODO DE INFECCIÓN-EFECTOS

Descarga el fichero:

* %System%\drivers\(nombrealeatorio).sys

Nota:

%System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Este fichero es detectado como Virus.Win32.Sality.ab

Modifica el fichero %System%\SYSTEM.INI, creando la sección:

[MCIDRV_VER]
DEVICE=[cadena aleatoria]

También infecta todos los ficheros con extensión EXE que aparecen en las entradas del registro:

Código:
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\run 

Clave: HLKM\Software\Microsoft\Windows\CurrentVersion\run
El virus se añade a sí mismo creando una nueva sección de 73728 bytes llamada "(Caracteres aleatorios)data", que contiene el código ofuscado del virus.

En cada fichero infectado, lso primeros 327 bytes son sobreescritos con un cófigo desofuscador. Si el usuario ejecuta el programa, el virus restaura el código original para ocultar su presencia.

Para asegurarse que solo hay una copia en ejecución, crea un Mutex.

* op1mutx9

El virus intenta desactivar procesos y servicios que contienen cadenas correspondientes a los principales antivirus.

Para verificar la conexión a Internet el virus se conecta a:

* http://www.microsoft.com

El virus se conecta a las siguientes direcciones para descargar otro software malicioso:

* http://kukutrustnet777.info/[...].gif
* http://kukutrustnet888.info/[...].gif
* http://kukutrustnet987.info/[...].gif
* http://www.musikrajt.sk/[...].gif
* http://macedonia.my1.ru/[...].gif
* http://jrsx.jre.net.cn/[...].gif
* http://www.musikrajt.wz.cz/[...].gif
* http://www.solidarnosc.org.pl/lublin/[...].gif
* http://gotcha.goldeye.info/[...].gif

El software que descargan de esas direcciones se desencripta en la carpeta temporal de Windows (%temp%) y se ejecuta.

Posiblemente se utilicen las sigueintes direccines para obtener instrucciones:

* http://89.119.67.154/[...]/
* http://klkjwre77638dfqwieuoi888.[...]/
* http://kukutrustnet777888.[...]/

Crea las siguientes entradas en el registro:

Código:
Clave:  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Valor: GlobalUserOffline = 6684751

Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system 

Valor: EnableLUA = 6422625 (Desactiva el control de usuario en Windows Vista)

Clave:  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ 
FirewallPolicy\StandardProfile\AuthorizedApplications\List 

Valor: (Ruta del virus) = (ruta del virus):*:Enabled:ipsec 

Clave: HKCU\Software\user914\1214104697 

Valor: 1919251317 = 3276857

Clave: HKCU\Software\user914\1214104697 

Valor: -456464662 = 3407926

Clave: HKCU\Software\user914\1214104697 

Valor:   1462786655 = 3604530

Clave:  HKCU\Software\user914\1214104697 

Valor: -912929324 = 3735602

Clave: HKCU\Software\user914\1214104697 

Valor: 1006321993 = 3342390

Clave: HKCU\Software\user914\1214104697 

Valor: -1369393986=0600687474703A2F2F7777772E6D7573696B72616A742E736B2F6D61696
E662E 
67696600687474703A2F2F6D616365646F6E69612E6D79312E7275 
2F6D61696E682E67696600687474703A2F2F6A7273782E6A7265 
2E6E65742E636E2F6C6F676F732E67696600687474

Clave: HKCU\Software\user914\1214104697 

Valor: 549857331 =    865E52A75BF33F5D5AA15DAFA722193EDDA8540E6C496C04CF49 
2EF296AFD1AFD
EDBC79CEA25E0F6F53B2D9CC0FA963F3A4CC7456 
15E85AFE1E18AEA7E620D11174F3892E84
B5B5DD288784938E304B2D65C454E833D6AF929 
809110987E5B4B3E4D581071DA4948CB9F84

Clave: HKCU\Software\user914 

Valor: u1_0 = 655360

Clave: HKCU\Software\user914 

Valor: u2_0 = 655360

Clave: HKCU\Software\user914 

Valor: u3_0 = 655360

Clave: HKCU\Software\user914 

Valor: u4_0 = 655360

Clave: HKLM\Software\Microsoft\Tracing\FWCFG 

Valor: EnableFileTracing = 7471188

Clave: HKLM\Software\Microsoft\Tracing\FWCFG 

Valor: EnableConsoleTracing = 7471188

Clave: HKLM\Software\Microsoft\Tracing\FWCFG 

Valor: FileTracingMask = 7209065

Clave: HKLM\Software\Microsoft\Tracing\FWCFG 

Valor: ConsoleTracingMask = 7209065

Clave: HKLM\Software\Microsoft\Tracing\FWCFG 

Valor: MaxFileSize = 7077993

Clave: HKLM\Software\Microsoft\Tracing\FWCFG 

Valor: FileDirectory = %windir%\tracing

Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ 
FirewallPolicy\StandardProfile 

Valor: EnableFirewall = 7471209

Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ 
FirewallPolicy\StandardProfile 

Valor: DoNotAllowExceptions = 7340133

Clave: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced 

Valor: Hidden = 4718592

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system 

Valor: DisableTaskMgr = 6357076

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system 

Valor: DisableRegistryTools = 7929970

Clave: HKLM\SOFTWARE\Microsoft\Security Center 

Valor: AntiVirusOverride = 6619254

Clave: HKLM\SOFTWARE\Microsoft\Security Center 

Valor: AntiVirusDisableNotify = 5111909

Clave: HKLM\SOFTWARE\Microsoft\Security Center 

Valor: FirewallDisableNotify = 5111909

Clave: HKLM\SOFTWARE\Microsoft\Security Center 

Valor: FirewallOverride = 6619254

Clave: HKLM\SOFTWARE\Microsoft\Security Center 

Valor: UpdatesDisableNotify = 5111909

Clave: HKLM\SOFTWARE\Microsoft\Security Center 

Valor: UacDisableNotify = 5111909

Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc 

Valor: AntiVirusOverride = 6619254

Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc 

Valor: AntiVirusDisableNotify = 5111909

Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc 

Valor: FirewallDisableNotify = 5111909

Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc 

Valor: FirewallOverride = 6619254

Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc 

Valor: UpdatesDisableNotify = 5111909

Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc 

Valor: UacDisableNotify = 5111909
Se copia a sí mismo en las unidades extraíbles y carpetas compartidas

* (nombre aleatorio).exe
* (nombre aleatorio).pif
* (nombre aleatorio).cmd

Crea un fichero AUTORUN.INF en cada unidad extraible en la que se copien los ficheros, de forma que al acceder a ella, se ejecute una copia del virus.

Fuente: Alerta-Antivirus.es: Detalles del virus Sality.AA