Una nueva historia de la familia Gamarue está afectando a varios ordenadores de nuestros usuarios, que algunos antivirus detectan llamandoles de diferente manera, a saber:
Worm.Win32.Gamarue.* (Microsoft)
W32.Autorun.worm.aaex (McAfee)
UDS.Dangerous/Object.Multi.Generic (Kaspersky)
Trojan-Dropper.Agent (Ikarus)
BackDoor.Andromeda.22 (DrWeb)
W32.AutoRun.AAEX!worm (Fortinet)
En los pendrives afectados aparecen estos ficheros:
X:\ Autorun.inf -----------> (+s+h) a 0 Bytes ¿¿¿???
X:\ Thumbs.db -------------> (+s+h+r) el malware codificado
X:\ ~$W****.fat -----------> (+s+h+r) Dll empaquetada con UPX
~$W****.fat32
ó _******.init
X:\ Desktop.ini -----------> (+s+h+r)
X:\ %label% (%size%GB).lnk
X:\ Carpeta (Alt255) ------> (+s+h) con el contenido original de la unidad.
Al ejecutar el Link
C:\WINDOWS\system32\rundll32.exe ~$W****.fat,crys ******** ********
C:\WINDOWS\system32\rundll32.exe ~$W***.fat32,_rev@16 desktop.ini *** *** " "
C:\WINDOWS\system32\rundll32.exe _*****.init,crys ******** ********
C:\WINDOWS\system32\rundll32.exe _*****.init,krnl ******** ********
...
Decodifica el Thumbs y ejecuta el fichero resultante "C:\Temp\TrustedInstaller.exe" (+s+h)
Dicha ejecución genera un FakeWrite
Nota:
Los ficheros "~$W****.fat", "_*****.init", etc. contienen la rutina
de decodificación del "Thumbs.db", que es el malware propiamente sí. Sus nombres y sus
tamaños varian en cada infección. (código variable y añadido al final del fichero)
Los "Desktop.ini" también incrementan su tamaño, añadiendoles al principio una cantidad variable de 0x90s (NOPs, instruccion de assenbler que solamente ocupa posicion)
La Carpeta "Alt255" contiene el contenido original de la unidad.
Su icono es el de una unidad de Disco, para ello crea en ella un
"Desktop.ini" con el siguiente contenido:
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7
Varios ficheros creados contienen las funciones crys y _rev@16()
Las nuevas variantes serán controladas heuristicamente a partir del ElistarA 27.57 y especificamente segun recibamos las muestras que se soliciten, si es el caso.
saludos
ms, 1-5-2013
Worm.Win32.Gamarue.* (Microsoft)
W32.Autorun.worm.aaex (McAfee)
UDS.Dangerous/Object.Multi.Generic (Kaspersky)
Trojan-Dropper.Agent (Ikarus)
BackDoor.Andromeda.22 (DrWeb)
W32.AutoRun.AAEX!worm (Fortinet)
En los pendrives afectados aparecen estos ficheros:
X:\ Autorun.inf -----------> (+s+h) a 0 Bytes ¿¿¿???
X:\ Thumbs.db -------------> (+s+h+r) el malware codificado
X:\ ~$W****.fat -----------> (+s+h+r) Dll empaquetada con UPX
~$W****.fat32
ó _******.init
X:\ Desktop.ini -----------> (+s+h+r)
X:\ %label% (%size%GB).lnk
X:\ Carpeta (Alt255) ------> (+s+h) con el contenido original de la unidad.
Al ejecutar el Link
C:\WINDOWS\system32\rundll32.exe ~$W****.fat,crys ******** ********
C:\WINDOWS\system32\rundll32.exe ~$W***.fat32,_rev@16 desktop.ini *** *** " "
C:\WINDOWS\system32\rundll32.exe _*****.init,crys ******** ********
C:\WINDOWS\system32\rundll32.exe _*****.init,krnl ******** ********
...
Decodifica el Thumbs y ejecuta el fichero resultante "C:\Temp\TrustedInstaller.exe" (+s+h)
Dicha ejecución genera un FakeWrite
Nota:
Los ficheros "~$W****.fat", "_*****.init", etc. contienen la rutina
de decodificación del "Thumbs.db", que es el malware propiamente sí. Sus nombres y sus
tamaños varian en cada infección. (código variable y añadido al final del fichero)
Los "Desktop.ini" también incrementan su tamaño, añadiendoles al principio una cantidad variable de 0x90s (NOPs, instruccion de assenbler que solamente ocupa posicion)
La Carpeta "Alt255" contiene el contenido original de la unidad.
Su icono es el de una unidad de Disco, para ello crea en ella un
"Desktop.ini" con el siguiente contenido:
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7
Varios ficheros creados contienen las funciones crys y _rev@16()
Las nuevas variantes serán controladas heuristicamente a partir del ElistarA 27.57 y especificamente segun recibamos las muestras que se soliciten, si es el caso.
saludos
ms, 1-5-2013