W32/Sality

Descripción:

W32/Sality, es un virus con características de troyano backdoor y keylogger (captura pulsaciones de teclado), infecta archivos ejecutables que encuentre en el computador atacado.

Cuando el virus se ejecuta copia uno de los siguientes archivos dentro de la carpeta %system% o %temp%

• %system%\SYSLIB32.DLL
• %system%\OLEDSP32.DLL
• %system%\SYSDLL.DLL
• %temp%\SYSLIB32.DLL
• %temp%\OLEDSP32.DLL
• %temp%\SYSDLL.DLL

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).

Además crea un mutex de nombre "KUKU300a", el cual permite que solo una instancia del gusano se ejecute en memoria.

Luego verifica la hora actual del sistema, si este es igual a los minutos y si el la fecha del sistema es el 1 de Mayo o el 10 o 12 de algún mes, el virus activara su rutina maliciosa (payload)

Seguidamente visualiza un mensaje con las siguientes características:

Win32.HLLP.Kuku v[número de versión]

<<<<<Hey, Lamer! Say "Bye-bye" to your data! >>>>>

'Copy[Removido]tor'

También adiciona los siguientes datos de configuración al archivo "%windows%\system.ini"

[TFTempCache]
id=[Números Aleatorios]
RtlMoveMeory=[Números Aleatorios]
PING=[Número]
TIME=[Hora]

Utiliza un keylogger para poder capturar la siguiente información del computador atacado

• Dirección IP, nombre del Computador, nombres de usuario.
• Información del computador, como Memoria, Discos Locales, Versión de Windows, Clave del Producto.
• Cuentas dialup RAS.
• Contraseñas Net Share
• Programas del Inicio
• Archivos Web Money

Toda la información recolectada es guardada en un archivo encriptado dentro de:

• %system%\TFTempCache

Envia la información capturada utilizando un servidor SMTP [msx.mail.ru] a través del puerto TCP 25, a una dirección de email localizada en Rusia.

Características del Mensaje de E-mail:

De: CyberMazafaka@mailru.com

Para: sector2007@list.ru, bespontovik@list.ru

Asunto: Administrator

Archivo Adjunto:

• readme.tjc
• TFTempCache.tjc

----------------------------

Seguidamente intentará establecer conexión con un servidor IRC [rinet.msk.wenet.ru], si logra conectarse queda a la espera de recibir ordenes remotas.

Finalmente realiza las siguientes acciones:

• Infecta todos los archivos ejecutables que encuentre en el computador atacado, adicionandole su código malicioso.
• Elimina archivos que tengan las siguientes extensiones .vdb, .avc y .key
• Elimina archivos que tengan como nombre alguno de los siguientes textos, KAV, NOD, ANTI, SCAN, ZONE, ANDA, TROJ, TREN, ALER, CLEAN, OUTP, GUAR, AVP y TOTAL.

Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú