lunes, 27 de octubre de 2008

Virus n0k3b2.bat

Alien [blackhat4all@gmail.com]

Datos del Virus

Es un Troyano bastante común, utiliza como medio de propagación la autoejecución en memorias flash gracias a un autorun.inf que está ofuscado. Tiene fecha de modificación del domingo 31 de agosto de 2008 a las 11:42:42. No está comprimido con UPX y es posible que esté programado en C y es posible que sea una variante de kavo.exe


Características:

Al ejecutarse lo primero que hace es dirigirse a todas las raíces de las unidades guardándose como n0k3b2.bat y haciéndose acompañar de un autorun.inf, con lo que garantiza su ejecución cada vez que se abre el explorador y se hace doble clic para entrar a una unidad infestada, o en su defecto cada vez que se introduce una memoria infestada y la máquina permite la autoejecución. Así como se guarda en las raíces también va a parar a la carpeta C:\Windows\System32 donde se aloja con el nombre kxvo.exe y al parecer no se va acompañado de ningún otro archivo.

Mediante el registro es llamado cada ves que la máquina inicia sesión y esto lo hace desde la dirección del registro: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, clave kxva valor C:\WINDOWS\system32\kxvo.exe

Una vez que el virus se ha instalado correctamente en la PC, se mantiene ocultando a todos los Archivos y Carpetas de las raíces de las unidades, pero no del resto de la unidad, por lo que si se logra quitarle los atributos de oculto y sistema al archivo C:\WINDOWS\system32\kxvo.exe, este queda totalmente expuesto de forma permanente.

A diferencia de otros virus, el archivo que se carga al inicio de sesión y el que está en la raíz de la unidad tienen el mismo tamaño y código, por lo que se trata en realidad del mismo fichero que se comporta de forma distinta según desde el lugar que se haya cargado.

Desinfección.

Para librarnos de este virus, simplemente debemos ir al registro de Windows y desde allí eliminar la clave kxva que se encuentra en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Una ves hecho esto, para mayor seguridad eliminaremos en C:\WINDOWS\system32\ el archivo kxvo.exe.

Interesante:

Una vez que nos hayamos librado del virus y ya no esté ni ejecutándose ni físicamente en nuestro sistema, a pesar de que reiniciemos continuaremos sin poder ver los archivos ocultos, y es que no solo el virus era quien controla esto, sino que modificó algunas claves en el registro para que estos archivos y carpetas continuaran siendo invisibles para el usuario.

Y digo interesante porque en realidad son claves que por lo general o no son dominadas por otros viruker o no han sabido trabajar con ellas.

Las claves en cuestión se encuentran en HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ NOHIDDEN y HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL

En ambas direcciones existe una clave denominada CheckedValue que se corresponde con los valores para el tratamiento de los archivos y carpetas ocultos que aparece en las Opciones de Carpetas del Explorador.

Este virus en particular coloca en ambas claves de las direcciones del registro el valor 0, pero será muy difícil que puedan entender esto sin antes saber que significa, así que trataré de exponerlo de la mejor forma posible haciendo uso de una tabla.

Nota: En la tabla HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ NOHIDDEN\ CheckedValue ha sido reemplazado por NOHIDDEN simplemente y HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ CheckedValue por SHOWALL

Clave

Valor

Acción

NOHIDDEN

0

Esto significa que por más que se intente marcar una opción, esta no surtirá efecto en el Explorador y cuado se visualicen las opciones de carpeta aparecerán ambas opciones desmarcadas.

SHOWALL

0

NOHIDDEN

1

Esto significa que hará lo contrario de lo que está diciendo, o sea, si se marca "Mostrar todos los archivos y carpetas ocultos" el efecto será el contrario, y viceversa. Cuando está así, al abrir las opciones de carpetas solo aparecerá marcada la opción “No mostrar archivos ni carpetas ocultos” en caso que esa haya sido la selección del usuario anteriormente, en caso contrario ambas aparecerán desmarcadas.

SHOWALL

0

NOHIDDEN

2

Esto significa que por más que se quieran mostrar los archivos ocultos, estos no serán mostrados y cuando se abran las opciones de carpetas estará en "No mostrar archivos ni carpetas ocultos".

SHOWALL

0

NOHIDDEN

0

Esto significa que mostrará o no los archivos y carpetas ocultas tal y como se solicita, pero en caso que la opción deseada sea "No mostrar archivos ni carpetas ocultos" cada vez que se abran las opciones de carpetas aparecerán ambas opciones desmarcadas, no siendo así cuando se seleccione "Mostrar todos los archivos y carpetas ocultos" en cuyo caso todo aparecerá normal.

SHOWALL

1

NOHIDDEN

0

Esto significa que por más que se quiera seleccionar "Mostrar todos los archivos y carpetas ocultos", estos jamás serán mostrados y al abrir las opciones de carpetas el único valor que aparecerá marcado es "No mostrar archivos ni carpetas ocultos"

SHOWALL

2

NOHIDDEN

1

Esto significa que, sin importar la opción que se seleccione, cada vez que se abran las opciones de carpetas ambas elecciones aparecerán marcadas y en cualquiera de los casos siempre se mostrarán los archivos y carpetas ocultos.

SHOWALL

1

NOHIDDEN

1

Esto significa que en las opciones de carpetas se conservará la selección hecha por el usuario, pero las acciones serán inversas.

SHOWALL

2

NOHIDDEN

2

Si está así, entonces ejecutará exactamente la acción que se desee y además las opciones de carpetas conservarán el último valor que se seleccionó por parte del usuario. (Ok)

SHOWALL

1

NOHIDDEN

2

Esto significa que, a pesar de la selección que se haga en las opciones de carpetas, al abrirla esta siempre tendrá ambas opciones de selección marcadas y en cualquiera de los casos no se mostrarán los archivos o carpetas ocultos.

SHOWALL

2


Dada la variante utilizada por el Viruker, esto hace que por el momento este sea mi virus favorito (después del runauto del cual aún no me dejan hablar).

No obstante espero que Carlos y todos aquellos que se encuentran infestados por este virus puedan resolver su situación y de paso aprender algo nuevo.



Artículos relacionados


No hay comentarios: