h1

Tidserv / MS10-015

29/10/2011

Descubierto: 18 de septiembre 2008
Actualizado: 18 de septiembre 2008 04:01:39 PM
Tipo: Troyano – Rootkit
Sistemas afectados: Windows 2000, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Alias: Alureon, TDSS y TDL (varias versiones, tales como TDL-3 o TDL-4).

Família Tidserv Symantec (variantes)

· Boot.Tidserv
· Boot.Tidserv.B
· Backdoor.Tidserv
· Backdoor.Tidserv.J
· Backdoor.Tidserv.K
· Backdoor.Tidserv.L
· Backdoor.Tidserv.M
· Backdoor.Tidserv!inf
· Backdoor.Tidserv.H!inf
· Backdoor.Tidserv.I!inf
· W32.Tidserv
· W32.Tidserv.G

Propagación:

Este troyano se distribuye generalmente mediante una serie de medios comunes a muchas otras amenazas conocidas. Es decir, se ha observado que se transmite por blogs falsos equipados con las direcciones URL de videos con mensajes al estilo “debe ser visto” o un blog falso o comentarios en el foro con cebos similares. El troyano también se pueden encontrar en los archivos Torrent falsos y las descargas P2P, los sitios warez Web, y también en el hackeado los sitios Web legítimos y falsos equipados con exploits para varias vulnerabilidades que permite lo que se conoce como un “drive-by download” (Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad, pueden contener los llamados “drive by downloads” que son sitios que instalan spyware o códigos que dan información de los equipos sin percatarse el usuario).

 

Destripando a Tidserv

Creación de archivos
Los siguientes archivos se pueden ver en el ordenador infectado:

· %System%\spool\prtprocs\[archivo temporal].tmp(archivo ejecutable incial)
· %System%\drivers\TDSServ.sys
· %System%\TDSS[RANDOM VALUE].log
· %System%\TDSS[RANDOM VALUE].dat
· %System%\TDSS[RANDOM VALUE].dll
· %System%\drivers\H8SRTd.sys

El siguiente archivo pueden se borrado de la computadora comprometida:

· %System%\spool\prtprocs\[archivo temporal].tmp(archivo ejecutable incial)

Instalación
Durante la instalación, la amenaza se inyecta en spoolsv.exe (cola de impresión) para cargar el código de la amenaza. El código cargado en la memoria puede contener los archivos siguientes:

tdlcmd.dll (para conectar las consultas de búsqueda): Este archivo contiene el código para llevar a cabo las siguientes actividades tales como, descargar, descifrar y ejecutar archivos. Actualizar el archivo de configuración.

tdlcmd.dll (funcionalidad principal puerta de atrás): El archivo contiene el código para llevar a cabo las siguientes actividades (las últimas variantes tienen la funcionalidad de tdlwsp.dll incorporado en tdlcmd.dll):

· Gancho Winsock rutinas para que pueda examinar el tráfico de red.
· Registro de las cadenas de motores de búsqueda y los envía a un equipo remoto.
· Inyectar o construir respuestas HTTP para que pueda modificar o reemplazar el contenido Web que devuelve un servidor Web durante una sesión de navegación.

· config.ini (detalles de la configuración)Este es un archivo de configuración que detalla los identificadores bot, información sobre la versión y otros parámetros. Éste es un archivo config.ini de la muestra:

[main]
quote=Tomorrow will be the most beautiful day of Raymond K. Hessel’s life
version=3.241
botid=xxxxx
affid=20273
subid=0
installdate=7.2.2010 16:8:33
builddate=7.2.2010 15:1:5
[injector]
*=tdlcmd.dll
[tdlcmd]
servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.62/
wspservers=http://b11335599.cn/;http://b00882244.cn/
popupservers=http://m3131313.cn/
clkservers=http://clkmfd001.ws/
version=3.64
delay=7200
[tasks]
tdlcmd.dll=https://91.212.226.64/pOxhFds1itxq

Una vez que el código de la amenaza se instala, borra el archivo ejecutable original que fue ejecutado y al hacer esto elimina cualquier rastro evidente de su presencia en el sistema de archivos. A continuación, infecta uno de los niveles más bajos de los controladores (atapi.sys) y lo manipula para cargar la amenaza cuando se inicia el equipo.

A continuación, crea un sistema de archivos cifrado RC4 (la clave utilizada es “TDL”) en los últimos sectores del disco duro y guarda los archivos lógicos (tdlwsp.dll, tdlcmd.dll, config.ini, y la parte original de la archivo infectado driver) de la memoria en el sistema de archivos recién creados. Una vez que estas acciones se han completado, no habrá huellas visibles de la amenaza al examinar el sistema de archivos del equipo, excepto, eventualmente, un cambio en el tamaño del archivo del driver infectado.

Después de reiniciar el equipo, el archivo del driver infectado (atapi.sys) cargará a la amenaza en los sectores finales del disco duro. Se crearán los ganchos para que el rootkit haga su trabajo, así como inyectar el código de tdlcmd.dll en todos los procesos o en procesos específicos como se define en el archivo config.ini.

Tidserv opera a un nivel muy bajo por lo que no es fácilmente detectable por un software de seguridad. Realiza un trabajo muy bueno en ese sentido, sobre todo con la última versión (TDL3), que utiliza una avanzada tecnología de rootkit para ocultar su presencia en un sistema mediante la infección de uno de los controladores del núcleo de bajo nivel y luego cubrir sus pistas. Mientras que el rootkit está activo no hay forma fácil de detectar la infección, puesto que se encuentra en las profundidades del núcleo, la mayoría de los usuarios no pueden ver nada malo en el sistema.

La mayoría de las veces el controlador elegido por Tidserv para ser infectado es “atapi.sys“, pero puede variar dependiendo de la configuración del hardware. El controlador infectado se carga cuando inicia el sistema operativo para recuperar las direcciones fundamentales de la API para que se pueda asignar memoria para cargar el código malicioso.

Estas API se recuperarán a través de las direcciones en el código virtual relativo (RVA) en el módulo del núcleo, que se calculan en el momento de la infección. Microsoft lanzó el 9 de febrero 2010 un parche (MS10-015 / KB977165), para el kernel que se refiere a otra cuestión no relacionada con la amenaza , que actualiza los módulos del kernel. También lanzaron un blog acerca de los problemas de pantalla azul después de aplicar esta revisión.

Lo que parece haber ocurrido en el caso de Tidserv es que después de esta actualización, el RVA de la mencionada API ha cambiado y por lo tanto los controladores infectados intentan llamar a las direcciones no válidas y, a su vez, causar pantallas azules cada vez que Windows se inicia obteniendo un bucle infinito de BSOD:

BSOD Tidserv después de MS10-015

BSOD Tidserv después de MS10-015

La explicación de este BSOD la encontramos en que el controlador infectado “atapy.sys” es fundamental para la carga del sistema operativo, y además por ello Windows no arranca en modo seguro tampoco.

Desinfección/Solución:

Sin embargo, todavía hay esperanza para los usuarios, en el sentido de que no es necesario volver a instalar todo desde cero, sólo el/los controladores infectados (de una fuente conocida, limpia). Y aquí hay un ejemplo para el controlador del sistema más comúnmente infectadas, atapi.sys:

  1. Arrancamos de una fuente limpia (por ejemplo, el CD de Windows).
  2. En la pantalla programa de instalación, presionamos R para reparar la instalación de Windows XP. Presionamos C para utilizar la consola de recuperación.
  3. Escribimos el número (1) correspondiente a la instalación de Windows que desea reparar.
  4. Escribimos la contraseña de administrador.
  5. Escribimos map y, presionamos Intro. Anotamos la letra (E) que se asignó a la unidad de CD-ROM
  6. Reemplazamos atapi.sys en \%Windir%\system32\drivers por la copia limpia de atapy.sys:
  7. copy E:\i386\atapi.sy_ C:\WINDOWS\system32\drivers\atapi.sys
  8. Exit – Reiniciamos.

Aquí hay una lista con los nombres de los controladores más comunes infectados por el rootkit, que pueden ser utilizados en el proceso anterior:

atapi.sys
advapi32.dll
iaStor.sys
idechndr.sys
Ndis.sys
nvata.sys
vmscsi.sys

Symantec detecta estos controladores infectados en el disco como Backdoor.Tidserv! Inf, pero recomienda que los archivos se sustituyen de forma manual, ya que tratar de eliminar el archivo de forma automática puede hacer que el sistema que no arranque.

Los creadores de Tidserv han parcheado sus rootkit para evitar el problema de reinicio infinito, debido a las actualizaciones  del API en el módulo del kernel introducido por MS10-015.

Se puede observarm que la diferencia de tiempo entre las fechas de construcción de estas dos versiones es de 16 horas, lo cual es bastante pequeño en comparación con otras amenazas. Después de instalar los controladores infectados eran realmente capaces de hacer frente a los cambios en la API del núcleo.

A fin de lograrlo ahora utilizan las funciones hash en los nombres de API para recuperar las direcciones en el código virtual relativo (RVA) sobre la marcha.

A pesar de todo lo explicado anteriormente, en varias de las pruebas realizadas por expertos en seguridad de Symantec el bucle de BSOD aparecio en ambas muestras del malware, y eso sin aplicarel update MS10-015.

BSOD STOP 0x:0000007E

Variantes más recientes (L,M) también manipulan el Master Boot Record (MBR) de la computadora al estilo Mebroot para asegurarse de que se carga durante (o antes) el proceso de arranque del sistema operativo.

Para solucionar una infección en el MBR proceremos a su restauración:

  1. Arrancar con el CD de Windows XP.
  2. En la pantalla programa de instalación, presionamos R para reparar la instalación de Windows XP. Presionamos C para utilizar la consola de recuperación.
  3. Escribimos el número (1) correspondiente a la instalación de Windows que desea reparar.
  4. Escribimos la contraseña de administrador.
  5. Una vez que estamos en C:\Windows teclear FIXMBR y pulsar Intro.
  6. El sistema nos advierte de que si queremos continuar (S)

En principio con esto debería de funcionar.  Si nos da algun error relacionado con el archivo boot.ini quizás tengamos que ejecutar FIXBOOT en la consola de recuperación.

Una solución alternativa si pudieramos arrancar el sistema operativo (en Safe Mode, o si tuvieramos varios windows en un mismo disco) puede ser ejecutar la herramienta de Symantec FixTDSS

MBR infectado por Tidserv

MBR infectado por Tidserv

Fuentes:  Symantec/Microsoft

http://www.symantec.com/security_response/writeup.jsp?docid=2008-091809-0911-99&tabid=2
http://www.symantec.com/connect/blogs/tidserv-and-ms10-015
http://www.symantec.com/connect/blogs/tidserv-and-bsod
http://blogs.technet.com/b/seguridad/archive/2010/02/12/reinicio-bsod-y-el-ms10-015.aspx
http://blogs.technet.com/b/mmpc/archive/2010/02/17/restart-issues-on-an-alureon-infected-machine-after-ms10-015-is-applied.aspx

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: