Shamoon o Disttrack, un nuevo virus destructivo.

Publicado el 04/09/2012 por Rafael_L_R

Un nuevo virus destructivo denominado “Shamoon” o “Disttrack” hizo aparición en el pasado mes de Julio, su nombre en el sistema es “W32.Disttrack” o “W32.EraseMBR”. Este virus ataca básicamente a ordenadores de las empresas energéticas de Oriente Medio y su acción principal es la de borrar información de los mismos para después dejar inutilizado el equipo imposibilitando su arranque.

En un principio se sospecho que este virus era un derivado del virus Flame por lo que enseguida apareció como hipótesis que podría ser un virus desarrollado por los EEUU, pero los investigadores del laboratorio ruso de seguridad informática Kaspersky descartaron esta posibilidad apuntando a que podría tratarse de hackers amateurs (script kiddies) por la simplicidad del código fuente por el cual se rige el malware.

Este virus posee tres componentes o módulos principales:

  • 1) Dropper. Es el módulo que contiene el componente principal y la fuente que genera la infección original.

–  Se copia como “%Systems%\trksvr.exe”.

–  Se introduce en las unidades compartidas.

–  Crea una tarea de autoejecución.

–  Crea el servicio “TrkSvr” para arrancarse cada vez que se arranque Windows.

  • 2) Wiper. Es el módulo que posee el software con la capacidad destructiva.

–  Borra el driver ”%Systems%\drivers\drdisk.sys” y lo sustituye por uno propio, el fichero está firmado digitalmente. Con esta acción, más tarde,  sobreimprimirá el Registro Maestro de Inicio (MBR).

–  Ejecuta un comando para recoger los nombres de los ficheros que se van a ser sobreimpresos con un fragmento de un fichero de una imagen JPEG que inutilizará los ficheros.

–  Finalmente, sobreimprimirá el fichero MBR con lo que el ordenador no volverá a arrancar porque habrá quedado inutilizado para ello.

  • 3) Reporter. Es el módulo responsable de remitir la información sobre la infección al atacante.
    La información remitida consiste en: El nombre del dominio, el número de ficheros que ha sido sobrescritos e inutilizados y la dirección IP del ordenador atacado.

 Para más detalles técnicos de este virus recomiendo visitar la página de Symantec (en inglés)  http://www.symantec.com/connect/blogs/shamoon-attacks

Anuncio publicitario

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Delitos Informáticos, Malware, Todos y etiquetada , , , . Guarda el enlace permanente.