Hola a tod@s
El virus que tiene atemorizada a toda la Red se llama Flame, este virus sobre todo afectó a
los equipos informáticos de Oriente Medio, es capaz de grabar audios espías
desde un micrófono conectado y realizar capturas de pantalla, actúa como keylogger,
etcétera.
¿Qué es Flame?
Karspersky describe a Flame: “como un troyano con
las capacidades de un gusano informático”. El punto de entrada del virus es
desconocido, pero una vez que se ha introducido en un equipo, el virus es capaz
de propagarse a través de memorias USB y redes locales. Por lo que Flame está destinado a recabar
información de las computadoras afectadas.
Para Kaspersky, el virus es muy similar al gusano Stuxnet que causó verdaderos
estragos en Irán durante el año 2010, sólo que Flame es mucho más complejo porque sus módulos ocupan más de 20
MB de código, “si para analizar el código de Stuxnet se necesita varios
meses, para descifrar el de Flame
seguramente requeriremos de años”.
¿Cómo y quien lo detectó?
Kaspersky no tiene nada claro la fecha original de su
creación. Fue el Ministerio del Petróleo el que dio la voz de alarma en Irán,
cuando descubrió que varios servidores habían sido a atacados. Por el momento,
también se desconoce quién es el creador del virus, aunque seguramente estemos
hablando de autores, ya que los expertos de numerosas compañías de seguridad
creen que detrás de Flame se
encuentra un grupo organizado, quizás ciberguerra, quizás Israel o Estados
Unidos, quien sabe.
¿A quién afecta?
Otro dato que hace pensar mucho y plantear cosas es que
Flame no fue pensado para robar datos bancarios y obtener el dinero de las
cuentas, sino que todo apunta que su objetivo es el de robar información, como
si de una trama de espionaje se tratara. Decirme que delincuente fabrica un
virus o troyano para no llenarse los bolsillos. Pues ninguno todos los ciberdelicuentes que existen en la red buscan estafar a los usuarios con por ejemplo Phishing bancario.
Y las empresas de seguridad tampoco están alertando a
los usuarios comunes, como lo hicieron con el virus de Flashback.
Su principal arma
Flame tiene componentes de un troyano, un backdoor, y un gusano, al ser un bicho tan complejo su estudio
se hace muy complicado, su principal arma se centra en su modulo principal que
lleva el nombre de MSSECMGR.OCX.
El módulo principal del bicho es un archivo DLL llamado mssecmgr.ocx. Han descubierto
dos cambios de este módulo. La mayoría de las máquinas infectadas contenía su versión
de 6 MB de tamaño.
La primera activación de este archivo es iniciada por uno de los rasgos externos ya sea herramientas de Windows WMI mediante un archivo MOF.
La primera activación de este archivo es iniciada por uno de los rasgos externos ya sea herramientas de Windows WMI mediante un archivo MOF.
Cuando se activa, mssecmgr se registra como un paquete
de autenticación personalizada en el Registro
de Windows y en el siguiente arranque del sistema, el módulo es cargado
automáticamente por el sistema operativo.
Después de actualizar el registro de Windows, mssecmgr se hace más fuerte y extrae
los módulos adicionales que están presentes en su sección de recursos cifrado y
comprimido y los instala. El recurso es un diccionario que contiene las
opciones de configuración para los módulos mssecmgr
y otros. Cuando la instalación se haya completado, mssecmgr carga los módulos disponibles y comienza la ejecución. La
funcionalidad del módulo se separa en diferentes "unidades" que
tienen espacios de nombres diferentes en la configuración de recursos y tienen
nombres diferentes en los mensajes de registro, que se usan ampliamente en todo
el código.
Algunas de las unidades disponibles del recurso 146 son las siguientes:
Beetlejuice: Bluetooth:
enumera los dispositivos que hay cerca del ordenador infectado.
Puede convertirse en una baliza. Muestra el ordenador como un dispositivo detectable y codifica el estado del programa malicioso en la información del dispositivo mediante base64.
Puede convertirse en una baliza. Muestra el ordenador como un dispositivo detectable y codifica el estado del programa malicioso en la información del dispositivo mediante base64.
Microbe : Graba
audio desde recursos existentes de hardware. Enumera todos los dispositivos
multimedia, guarda la configuración completa de los dispositivos, intenta
seleccionar el dispositivo de grabación mas apropiado.
Infectmedia : Selecciona uno de los métodos para
infectar los dispositivos, como los discos USB. Métodos disponibles:
Autorun_infector, Euphoria.
Autorun_infector :
Crea “autorun.inf” que contiene el programa malicioso y comienza con un comando
especial “open”. Stuxnet usaba el mismo método antes del exploit LNK.
Euphoria : Crea
un directorio “punto de empalme” con “desktop.ini” y “target.lnk” desde las
entradas LINK 1 y LINK 2 del recurso 146 (no se encontraban en el archivo
recurso). El directorio actúa como un atajo para ejecutar Flame.
Limbo : Crea
cuentas puerta trasera cuyo login es “HelpAssistant” en los ordenadores en la
red del dominio si se cuenta con las autorizaciones apropiada.
Frog : Infecta
ordenadores mediante cuentas predeterminadas de usuario. La única cuenta de
usuario especificada en el recurso de configuración es “HelpAssistant” que se
crea mediante el ataque “Limbo”.Munch :
Servidor HTTP que responde a "/ view.php" y "/" wpad.dat
peticiones.
Snack : Escucha
las interfaces de la red, recibe y guarda paquetes NBNS en un archivo de
registro. Cuenta con una opción para comenzar solo cuando comienza
"Munch". Entonces, los datos recopilados se usan para replicaciones
en la red.
Boot_dll_loader :
Sección de la configuración que contiene la lista de todos los módulos
adicionales que deben cargarse y ejecutarse.
Weasel : Crea
un listado de directorio del ordenador infectado.
Boost : Crea
una lista de archivos "interesantes" usando varias mascaras para los
nombres de archivo.
Telemetry : Facilitador
de registros log.
Gator : Cuando
una conexión a Internet está disponible, se conecta con los servidores de
comando y control, descarga nuevos módulos, y carga los datos recogidos
(data./td>).
Security : Identifica
los programas que pueden ser peligrosos para Flame, como las soluciones
antivirus y los cortafuegos.
Bunny - Dbquery
- Driller - Headache – Gadget: Por el momento se desconoce
el propósito de estos módulos..
Modulos adicionales
Los módulos adicionales se instalan en la carpeta%windir%\system32\directorio:
·
mssecmgr.ocx
·
advnetcfg.ocx
·
msglu32.ocx
·
nteps32.ocx
·
soapr32.ocx
·
ccalc32.sys
·
boot32drv.sys
Módulos adicionales que se descargan desde los servidores de
comando y control se instalan en el mismo directorio.
Los módulos de Flame producen varios archivos de datos que contienen extensos registros de ejecución, además de la información recolectada: capturas de pantalla, listas de procesos, listas de hardware, etc.
Los archivos se guardan en el directorio %windir%\temp bajo estos nombres:
Los módulos de Flame producen varios archivos de datos que contienen extensos registros de ejecución, además de la información recolectada: capturas de pantalla, listas de procesos, listas de hardware, etc.
Los archivos se guardan en el directorio %windir%\temp bajo estos nombres:
~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat
También hay archivos opcionales que se pueden encontrar en
el directorio% windir% \ system32:
- Advpck.dat
- ntaps.dat
- Rpcnc.dat
Flame guarda sus objetos persistentes en archivos con
diferentes formatos. Todos los objetos están codificados con diferentes
algoritmos y llaves. Algunos archivos son bases de datos que se crearon
mediante una biblioteca SQLite3 incorporada. Los contenidos de estas bases de
datos provienen de información robada y de rutinas de replicación. En
posteriores publicaciones en este post ofreceremos más información sobre estos
archivos.
Los nombres de directorio que usan los componentes adicionales de Flame pueden variar ligeramente según el tipo de instalación y las opciones de configuración desde el recurso 146:
Los nombres de directorio que usan los componentes adicionales de Flame pueden variar ligeramente según el tipo de instalación y las opciones de configuración desde el recurso 146:
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix
C:\Program Files\Common Files\Microsoft Shared\MSAudio
C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl
C:\Program Files\Common Files\Microsoft Shared\MSAPackages
C:\Program Files\Common Files\Microsoft Shared\MSSndMix
Estos directorios pueden contener los siguientes archivos:
- dstrlog.dat
- lmcache.dat
- mscrypt.dat (or wpgfilter.dat)
- ntcache.dat
- rccache.dat (or audfilter.dat)
- ssitable (or audache)
- secindex.dat
wavesup3.drv (una copia del modulo principal,mssecmgr.ocx, en el directorio MSAudio)
Flame también puede producir o descargar archivos con los
siguientes nombres:
svchost1ex.mof
Svchostevt.mof
frog.bat
netcfgi.ocx
authpack.ocx
~a29.tmp
rdcvlt32.exe
to961.tmp
authcfg.dat
Wpab32.bat
ctrllist.dat
winrt32.ocx
winrt32.dll
scsec32.exe
grb9m2.bat
winconf32.ocx
watchxb.sys
sdclt32.exe
scaud32.exe
pcldrvx.ocx
mssvc32.ocx
mssui.drv
modevga.com
indsvc32.ocx
comspol32.ocx
comspol32.dll
browse32.ocx
¿Cómo saber si estoy infectado por Flame?
Realice una búsqueda para el archivo ~ DEB93D.tmp. Su
presencia en un sistema significa lógicamente que está infectado por Flame.
Compruebe la HKLM_SYSTEM clave de registro \
CurrentControlSet \ Control \ Lsa \ Packages autenticación.
Si encuentra mssecmgr.ocx o authpack.ocx allí - usted está infectado con Flame.
Verificar la presencia de los siguientes catálogos
C: \ Archivos de programa \ Archivos comunes \ Microsoft
Shared \ MSSecurityMgrC: \ Archivos de programa \ Archivos comunes \ Microsoft
Shared \ MSAudioC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared
\ MSAuthCtrlC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \
MSAPackagesC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \
MSSndMix
Sinceramente no creo que el usuario de a pie este infectado
por este tipo de virus, como se ha expuesto con anterioridad este virus fue
diseñado para espiar a países y/o empresas poderosas. Los que si tendrían que
realizar un estudio intensivo de sus servidores son los analistas de malware de
grandes compañías y algún que otro país, quizás tengan ahí viviendo el bichito
a sus anchas.
No seáis malos. 