Análisis Virus Flame



Hola a tod@s

El virus que tiene atemorizada a toda la Red se llama Flame, este virus sobre todo afectó a los equipos informáticos de Oriente Medio, es capaz de grabar audios espías desde un micrófono conectado y realizar capturas de pantalla, actúa como keylogger, etcétera.



¿Qué es Flame?

Karspersky describe a Flame: “como un troyano con las capacidades de un gusano informático”. El punto de entrada del virus es desconocido, pero una vez que se ha introducido en un equipo, el virus es capaz de propagarse a través de memorias USB y redes locales. Por lo que Flame está destinado a recabar información de las computadoras afectadas.
Para Kaspersky, el virus es muy similar al gusano Stuxnet que causó verdaderos estragos en Irán durante el año 2010, sólo que Flame es mucho más complejo porque sus módulos ocupan más de 20 MB  de código, “si para analizar el código de Stuxnet se necesita varios meses, para descifrar el de Flame seguramente requeriremos de años”.



¿Cómo y quien lo detectó?

Kaspersky no tiene nada claro la fecha original de su creación. Fue el Ministerio del Petróleo el que dio la voz de alarma en Irán, cuando descubrió que varios servidores habían sido a atacados. Por el momento, también se desconoce quién es el creador del virus, aunque seguramente estemos hablando de autores, ya que los expertos de numerosas compañías de seguridad creen que detrás de Flame se encuentra un grupo organizado, quizás ciberguerra, quizás Israel o Estados Unidos, quien sabe.
  
¿A quién afecta?

Otro dato que hace pensar mucho y plantear cosas es que Flame no fue pensado para robar datos bancarios y obtener el dinero de las cuentas, sino que todo apunta que su objetivo es el de robar información, como si de una trama de espionaje se tratara. Decirme que delincuente fabrica un virus o troyano para no llenarse los bolsillos. Pues ninguno todos los ciberdelicuentes que existen en la red buscan estafar a los usuarios con por ejemplo Phishing bancario.
 Y las empresas de seguridad tampoco están alertando a los usuarios comunes, como lo hicieron con el virus de Flashback.



Su principal arma

Flame tiene componentes de un troyano, un backdoor, y un gusano, al ser un bicho tan complejo su estudio se hace muy complicado, su principal arma se centra en su modulo principal que lleva el nombre de MSSECMGR.OCX.
El módulo principal del bicho es un archivo DLL llamado mssecmgr.ocx. Han descubierto dos cambios de este módulo. La mayoría de las máquinas infectadas contenía su versión de 6 MB de tamaño.
La primera activación de este archivo es iniciada por uno de los rasgos externos  ya sea herramientas de Windows WMI mediante un archivo MOF.
Cuando se activa, mssecmgr se registra como un paquete de autenticación personalizada en el Registro de Windows y en el siguiente arranque del sistema, el módulo es cargado automáticamente por el sistema operativo.
Después de actualizar el registro de Windows, mssecmgr se hace más fuerte y extrae los módulos adicionales que están presentes en su sección de recursos cifrado y comprimido y los instala. El recurso es un diccionario que contiene las opciones de configuración para los módulos mssecmgr y otros. Cuando la instalación se haya completado, mssecmgr carga los módulos disponibles y comienza la ejecución. La funcionalidad del módulo se separa en diferentes "unidades" que tienen espacios de nombres diferentes en la configuración de recursos y tienen nombres diferentes en los mensajes de registro, que se usan ampliamente en todo el código.



Algunas de las unidades disponibles del recurso 146 son las siguientes:
Beetlejuice: Bluetooth: enumera los dispositivos que hay cerca del ordenador infectado.
Puede convertirse en una baliza. Muestra el ordenador como un dispositivo detectable y codifica el estado del programa malicioso en la información del dispositivo mediante base64.
Microbe : Graba audio desde recursos existentes de hardware. Enumera todos los dispositivos multimedia, guarda la configuración completa de los dispositivos, intenta seleccionar el dispositivo de grabación mas apropiado.
Infectmedia : Selecciona uno de los métodos para infectar los dispositivos, como los discos USB. Métodos disponibles: Autorun_infector, Euphoria.
Autorun_infector : Crea “autorun.inf” que contiene el programa malicioso y comienza con un comando especial “open”. Stuxnet usaba el mismo método antes del exploit LNK.
Euphoria : Crea un directorio “punto de empalme” con “desktop.ini” y “target.lnk” desde las entradas LINK 1 y LINK 2 del recurso 146 (no se encontraban en el archivo recurso). El directorio actúa como un atajo para ejecutar Flame.
Limbo : Crea cuentas puerta trasera cuyo login es “HelpAssistant” en los ordenadores en la red del dominio si se cuenta con las autorizaciones apropiada.
Frog : Infecta ordenadores mediante cuentas predeterminadas de usuario. La única cuenta de usuario especificada en el recurso de configuración es “HelpAssistant” que se crea mediante el ataque “Limbo”.Munch : Servidor HTTP que responde a "/ view.php" y "/" wpad.dat peticiones.
Snack : Escucha las interfaces de la red, recibe y guarda paquetes NBNS en un archivo de registro. Cuenta con una opción para comenzar solo cuando comienza "Munch". Entonces, los datos recopilados se usan para replicaciones en la red.
Boot_dll_loader :  Sección de la configuración que contiene la lista de todos los módulos adicionales que deben cargarse y ejecutarse.

Weasel : Crea un listado de directorio del ordenador infectado.
Boost : Crea una lista de archivos "interesantes" usando varias mascaras para los nombres de archivo.
Telemetry : Facilitador de registros log.
Gator : Cuando una conexión a Internet está disponible, se conecta con los servidores de comando y control, descarga nuevos módulos, y carga los datos recogidos (data./td>).
Security : Identifica los programas que pueden ser peligrosos para Flame, como las soluciones antivirus y los cortafuegos.
Bunny - Dbquery - Driller - Headache – Gadget: Por el momento se desconoce el propósito de estos módulos..

Modulos adicionales

Los módulos adicionales se instalan en la carpeta%windir%\system32\directorio:
·         mssecmgr.ocx
·         advnetcfg.ocx
·         msglu32.ocx
·         nteps32.ocx
·         soapr32.ocx
·         ccalc32.sys
·         boot32drv.sys

Módulos adicionales que se descargan desde los servidores de comando y control se instalan en el mismo directorio.
Los módulos de Flame producen varios archivos de datos que contienen extensos registros de ejecución, además de la información recolectada: capturas de pantalla, listas de procesos, listas de hardware, etc.
Los archivos se guardan en el directorio %windir%\temp bajo estos nombres:

~DEB93D.tmp

~8C5FF6C.tmp

~DF05AC8.tmp

~DFD85D3.tmp

~DFL*.tmp

~dra*.tmp

~fghz.tmp

~HLV*.tmp

~KWI988.tmp

~KWI989.tmp

~rei524.tmp

~rei525.tmp

~rf288.tmp

~rft374.tmp

~TFL848.tmp

~TFL849.tmp

~mso2a0.tmp

~mso2a1.tmp

~mso2a2.tmp

sstab*.dat

También hay archivos opcionales que se pueden encontrar en el directorio% windir% \ system32:
  • Advpck.dat
  • ntaps.dat
  • Rpcnc.dat




Flame guarda sus objetos persistentes en archivos con diferentes formatos. Todos los objetos están codificados con diferentes algoritmos y llaves. Algunos archivos son bases de datos que se crearon mediante una biblioteca SQLite3 incorporada. Los contenidos de estas bases de datos provienen de información robada y de rutinas de replicación. En posteriores publicaciones en este post ofreceremos más información sobre estos archivos.
Los nombres de directorio que usan los componentes adicionales de Flame pueden variar ligeramente según el tipo de instalación y las opciones de configuración desde el recurso 146:
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio

C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

C:\Program Files\Common Files\Microsoft Shared\MSAPackages

C:\Program Files\Common Files\Microsoft Shared\MSSndMix
Estos directorios pueden contener los siguientes archivos:

  • dstrlog.dat
  • lmcache.dat
  • mscrypt.dat (or wpgfilter.dat)
  • ntcache.dat
  • rccache.dat (or audfilter.dat)
  • ssitable (or audache)
  • secindex.dat

wavesup3.drv (una copia del modulo principal,mssecmgr.ocx, en el directorio MSAudio)
Flame también puede producir o descargar archivos con los siguientes nombres:

svchost1ex.mof

Svchostevt.mof

frog.bat

netcfgi.ocx

authpack.ocx

~a29.tmp

rdcvlt32.exe

to961.tmp

authcfg.dat

Wpab32.bat

ctrllist.dat

winrt32.ocx

winrt32.dll

scsec32.exe

grb9m2.bat

winconf32.ocx

watchxb.sys

sdclt32.exe

scaud32.exe

pcldrvx.ocx

mssvc32.ocx

mssui.drv

modevga.com

indsvc32.ocx

comspol32.ocx

comspol32.dll

browse32.ocx


¿Cómo saber si estoy infectado por Flame?

Realice una búsqueda para el archivo ~ DEB93D.tmp. Su presencia en un sistema significa lógicamente que está infectado por Flame.

Compruebe la HKLM_SYSTEM clave de registro \ CurrentControlSet \ Control \ Lsa \ Packages autenticación.

Si encuentra mssecmgr.ocx o authpack.ocx allí - usted está infectado con Flame.




Verificar la presencia de los siguientes catálogos
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSecurityMgrC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAudioC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAuthCtrlC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAPackagesC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSndMix

Sinceramente no creo que el usuario de a pie este infectado por este tipo de virus, como se ha expuesto con anterioridad este virus fue diseñado para espiar a países y/o empresas poderosas. Los que si tendrían que realizar un estudio intensivo de sus servidores son los analistas de malware de grandes compañías y algún que otro país, quizás tengan ahí viviendo el bichito a sus anchas.


No seáis malos. 

Share this

Related Posts

Previous
Next Post »