Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Aunque basado en W32/Zmist esta variante es letal de necesidad
W32/Xpaj: Conozca a Su Enemigo Polimorfo
El 22 de septiembre de 2009

Hoy día, la mayor parte de productos de antivirus pueden tratar con virus relativamente fácilmente la utilización de una variedad de tecnologías. Motores de exploración decentes a base de emulador pueden manejar una mayoría de virus polimorfos y metamórficos, incluyendo aquellos que usan el punto de entrada que obscurece la técnica (EPO). Pero cuando esto viene a virus con la carga de retraso y la inserción de bloques de código arbitraria como W32/Zmist, ( a.k.a. Mistfall) los emuladores de código no son el mejor acercamiento. Recientemente cruzamos un nuevo W32/Xpaj la variante que activamente se extiende. Esto utiliza técnicas conocidas para evadir la detección que de otra manera raras veces es encontrada en el análisis de virus vivo.

Nuevo W32/Xpaj usa una técnica de integración de bloque de código arbitraria para infectar archivos. Esto no cambia el punto de entrada original del archivo. En cambio, W32/Xpaj construye varios bloques de código responsables de funcionalidades diferentes y los mueve en posiciones arbitrarias en todas partes de la sección de código del archivo infectado. Es similar a lo que W32/Zmist solía emplear, pero el reemplazo de código de empleos de W32/Xpaj en vez de la inserción de código.

Su decryptor polimorfo es representado por un número de bloques de código unidos por incondicional salta. Una vez ejecutado, los beneficios de decryptor polimorfos controlan y realiza tareas diferentes:

1. Ahorro del estado original del uso infectado y conservando todos los registros usados por el virus
2. El cambio de las banderas de protección de la memoria donde el cuerpo de virus es localizado
3. Descifre del cuerpo de virus
4. Saltos al cuerpo de virus descifrado, etc.

Cada tarea puede ser localizada en un bloque separado de código o combinada en un bloque grande.

Una vez que el desciframiento es hecho, el control pasa al cuerpo de virus principal, por lo general localizado en una sección diferente. Sus autores decidieron usar a base de registro salta en vez del pariente salta. El antiguo, juntos con un cuerpo de virus pesadamente cifrado y funciones robadas, hacen esta nueva variante más complicada para reparar:

En una tentativa de asegurarse el virus es ejecutado al menos una vez que, W32/Xpaj busca y sustituye un número de instrucciones de llamada para indicar el principio de uno de los bloques de código de virus creados durante la infección.

La posición arbitraria de los bloques de código polimorfos quiere decir que para algunas muestras, los emuladores de código nunca pueden alcanzar las instrucciones virales. Tales muestras pueden presentar una sorpresa ocultada a algunos vendedores de antivirus, que no podrían ser capaces de descubrir todos los casos de W32/Xpaj, omitiendo un cierto porcentaje de archivos infectados. Sin embargo, en otros casos, el virus nunca puede ganar el control en absoluto, como en las muestras siguientes encontradas en el hábitat natural:

* 4843998e3564ac1a1e137149bc3ce28e
* 8e4260d0a29c0133bad3bc0e39057456
* Db4fff8a4a21e9c824cde3ebd151fbf2

Descifrando el cuerpo de virus, W32/Xpaj puede generar millones de iteraciones. Los emuladores de código sin el apoyo decente de traducción de código dinámica pueden fallar en traspasarlo correctamente. Esto se integra en archivos infectados y se hace una parte del flujo de control de programa de anfitrión. Funciones originales substituidas por el virus decryptor son salvadas, codificadas, y son localizadas en la misma sección con el cuerpo de virus.

Esta variante de W32/Xpaj aumenta el tamaño virtual de la sección que contiene el cuerpo de virus por 150 kilobyte. Pesadamente es ofuscado y contiene la funcionalidad para recibir remotas instrucciones de servidores remotos:

* tooratios.com (82.98.235.66)
* abdulahuy.com (82.98.235.66) cuidado sei ves estas IP,s en tu firewall

El servidor es actualmente activo y localizado en Bélgica, y envía instrucciones por el archivo siguiente:

* hxxp: // abdulahuy.com / {bloqueó}/stamm.dat

De modo interesante, los autores de malware decidieron supervisar su propia actividad de virus y el apoyo de tala incluido a esta bestia. Cada archivo infectado por W32/Xpaj hace un informe al servidor antedicho y envía la información sobre el sistema (OS la versión, el Paquete de Servicio, IP, etc.) sobre el cual el archivo infectado corre:

Os=00000005.00000001.02000B28 y amperio; cm=18B51294*adn=A120BB0F y amperio; knv=00000012 y amperio; hdd=002F606E y amperio; cid=0000000C y amperio; vvr=00000001

La mayoría de vendedores AV actualmente no descubre esta variante W32/Xpaj !!!CUIDADO SOLO TRES ANTIVIRUS LO DETECTAN EN VIRUSTOTAL!!!

De momento solo han sido infectados unos pocos miles de ordenadores pero su crecimiento es vertiginoso y en apenas unos dias podria hacernos olvidarnos del temido Sality ya que es mas fuerte que el, contandose los casos de formateo casi en el 100% de los casos conocidos de infeccion

Mas informacion:
INTECO - Seguridad, INTECO-CERT, Actualidad, Virus, Detalle de virus
TrustedSource - Blog - W32/Xpaj: Know Your Polymorphic Enemy

Aunque en INTECO se trata como un virus de peligrosidad "1" yo lo he conocido en directo,ya que ha infectado varios servidores de organismos oficiales,
Lo peor es que se propaga por red (de un ordenador a otro que esten en la misma red) y no hace falta la intervencion humana para la infeccion, solo con ejecutar cualquier archivo puedes resultar contagiado.
Soluciones hasta ahora: retirada de servidores infectados (con sus consecuencias economicas) y Formateo entero de grupos de red

EDITO

Ya metiste el link de Inteco asi que retiro el mio

a tener cuidado

Gracias herrante ya fui avisado que me deje la fuente

Supongo que un buen HIPS puede detectar y bloquear la ejecución de este bicho mediante el comportamiento, no? (si no estamos en problemas, tal vez Virut sea poco... Parite un grano de arena... y Sality ni que hablar )

Aunque el virus podria ser reconocido por "comportamiento" recuerda que se encubre dentro de un archivo legitimo, para en el momento de ser ejecutado crear ciertos bloques de codigo para asegurarse infectar los siguientes archivos.

Un usuario normal, con su buen antivirus de usuario seria incapaz (de momento) de ver a este gusano
Ha sido detectado por sistemas de alto nivel (y no me refiero a symantec, Macaffe ni Sophos, que son los que dieron la alarma)
Se trata de sistemas que avisan de cualquier modificacion en el registro, o de archivos, a pesar de esto algunos señores (por llamarlos de alguna manera) que trabajan supervisando servidores, les da igual decir "si" a un cambio en el sistema..........
Si las protecciones saltan que mas da......... ignoremoslas, en realidad no hay nada que temer "no estamos infectados" .
Seamos serios si a sido avisado de que el estatus de el servidor o servidores que usted cuida a sido modificado y esto no ha sido informado de que va a suceder, no deje que un automatismo lo haga (ESTE ES SU TRABAJO) precisamente ese, asegurarse de que el servidor mantiene su integridad (no me sea zoquete)
La infeccion no pone en peligro solo su servidor (y por lo tanto SU TRABAJO) si no todos los ordenadores que por red estan conectados a el.... y estos ordenadores señor mio... tienen datos sensibles de millares de personas.
Lo peor de este virus es que mediante su servidor remoto puede traerse a sus amiguitos (troyanos como no) encubrirlos en el sistema y dejarlos de fiesta de robo de datos en el

Si se coje a tiempo... cosa de momento dificil.... y se sabe cual es el pirmer archivo dañado, eliminando este , se mata el virus.
Claro que si ya corre por Explorer.exe.......... el final es otro.
Ya dije que el Sality (con el que tiene alguna similitud) podria ser superado ampliamente por este gusano, en cuanto a Virut desconozco el porcentaje de formateos que causa en este momento (mi ultimo dato esta en torno al 80%)
Este nuevo gusano se acerca muchisimo al 100%
P.D. Si alguno de tus .exe "crece" y tu sistema no detecta nada podrias estar enfrente de este gusano

y yo que pensaba que ell virut era horrible, este me aterra mas

gracias por informarnos

ja yo pensaba que algun dia iba a aparecer uno de estos
donde se puede infectar
porque estoy bajando archivos y musica de eMule