65 - Infección con Malware utilizando archivos ANI - 14/04/2007

Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar



Para las personas que estamos acostumbradas a lidiar día a día con el Malware (virus informáticos para simplificar), es demasiado común ver el tipo de amenaza comentada en este artículo pero para aquellos que se mantienen ajenos a esta realidad puede parecer complejo y lejana la forma de funcionamiento.


En el Boletín 84 mencionaba la criticidad de la vulnerabilidad en el manejo de cursores animados con la extensión ANI. También mencionaba que la misma vulnerabilidad podía ser utilizada si se renombraba el archivo a cualquier extensión conocida de imagen (GIF, JPG, etc.)


Para completar el cuadro, también decíamos que la vulnerabilidad podría ser aprovechada con SOLO leer un correo o ver una página web.


Para el usuario final, generalmente ajeno a estos problemas y términos técnicos, es preferible no recibir este volúmen de información, difícil de procesar y, a veces, de entender.


El objetivo de este artículo es demostrar lo sencillo que puede ser infectar nuestro sistema con el sólo hecho de ver una página web, de un juego en este caso. No mostraremos internamente como funciona el Malware pero sí completaremos el proceso de infección.


A modo de ejemplo de lo que realizaremos puede visitarse la demostración y los detalles de Hispasec con la diferencia que nuestra presentación será con una infección real y activa al momento de escribir el presente.


Lo primero (y último) que hacemos será infectarnos es ingresar al sitio de nuestro juego favorito. Sí, aquí termina la infección si Ud. no ha actualizado su sistema como recomienda Microsoft.


En este caso no es necesario realizar ninguna acción (ni click) para descargar los ejecutables dañinos ya que la vulnerabilidad permite la ejecución automática de código en el sistema del usuario (sin que este se entere).


Para comenzar procedemos a ver el código fuente de la página descargada. En el podemos ver el siguiente código "sospechoso" para alguien que sabe lo que busca, de otro modo pasa inadvertido.


Como se puede ver, se descarga una página web para mostrar en un cuadro (iframe) de 0px de ancho y 0px de alto (invisible al usuario).
A partir de este momento y ya confirmado que algo "sospechoso" sucede procedemos a descargar la página web que se indica utilizando el software cURL para ese fin, evitando así utilizar el navegador web.


Procedemos de este modo para poder verificar que se descarga y evitar el disparo automático de la cadena de infección. Cada archivo, a partir de este momento, se descarga individualmente y se verifica su funcionamiento.


La página descargada es llamada "a.txt" si bien sabemos que es una página HTML. A continuación verificamos el código fuente del archivo descargado.


En su primera parte, nos encontramos con un galimatías que no es más que un código fuente ofuscado para evitar su seguimiento. Si llevamos este código a terreno conocido, vemos la primera forma de infección descargando un ejecutable pero, en este caso, no se hace uso de archivos ANI.


Si procedemos a descargar el archivo ejecutable podremos verificar que efectivamente se trata de un troyano.


A continuación, volvemos a nuestra código anterior y confirmamos que existe otro código que puede descargarse (goldani.htm).


Repetimos el procedimiento de descarga y nos encontramos con más código HTML en donde se puede apreciar la descarga de dos imágenes GIF. Evidentemente nos estamos acercando al objetivo.


Se descargan los archivos GIF y nos encontramos que los archivos en realidad son cursores animados (indicados por su cabecera RIFF) especialmente manipulados para lograr archivos ejecutables en el sistema del usuario.


Se descarga el .exe encontrado de 10.137 bytes y efectivamente comprobamos que se trata de un archivo ejecutable (marca MZ) y que el mismo ha sido empaquetado con el popular FSG, comúnmente utilizado para empaquetar software dañino que es enviado por correo o descargado de sitios web.


Como podemos ver, el ingreso a un sitio web suele no ser tan inocente como parece. En este ejercicio se puede ver que sólo ingresando a un sitio se pueden desencadenar una serie de procesos que generalmente desconocemos pero que atentan contra nuestro sistema (y nosotros).



Buenos Aires, 14 de abril de 2007



Actualidad

Virus-Antivirus