Ejecutables secuestrados por Xirtem

Luego de más de 2 meses de no publicar en el blog, hoy quiero compartir mi primer artículo en el blog central de McAfee: Xirtem Worm Hides in CAB/SFX Files. El objetivo del post era describir una nueva funcionalidad del código malicioso Xirtem y proporcionar varios métodos de desinfección para recuperar los archivos secuestrados por el virus. La idea entonces es describir de una forma más amigable (y en español) lo escrito en el blog de McAfee.

Xirtem es un código malicioso bastante “ruidoso”, es decir, realiza muchos cambios en el sistema de archivos y efectúa una gran variedad de conexiones de red debido a que uno de los métodos principales de difusión es el envío de correos electrónicos no deseados con un archivo adjunto malicioso. El otro método de difusión que utiliza es la creación de directorios comunes para compartir archivos  en redes P2P (Grokster, LimeWire y Morpheus) y dentro de ellos la creación de archivos maliciosos con nombres sugestivos como “PDF to Word Converter 3.0” o “Grand Theft Auto Episodes From Liberty City 2010”. Finalmente el malware utiliza el clásico método de infección mediante memorias USB o pendrives el cual en la mayoría de casos se puede prevenir deshabilitando el autorun en Windows.

Lo novedoso de Xirtem es que últimamente busca archivos ejecutables en unidades de red que se encuentren conectadas al computador que se encuentra infectado. El resultado es un archivo Win32 Cabinet Self-Extractor como “Dummy.exe” que vemos en la siguiente imagen (suponiendo que nuestro ejecutable limpio se llama también Dummy):

Adicional a que durante la ejecución otro código malicioso es instalado y ejecutado en el sistema (Hiloti), si ejecutamos el archivo Dummy.exe  se instalará el malware y se ejecutará nuestro archivo .exe. Para realizar la limpieza del sistema y recuperar nuestro ejecutable, propongo dos métodos:

  1. Ejecutar el siguiente comando en una línea de commandos (cmd): archivo.exe /T:<carpeta temporal> /C /Q (por ejemplo X:\>notepad.exe /T:X:\temp /C /Q). Este comando extraerá los dos archivos (tanto el malicioso como el de nosotros) en la carpeta temp. Luego de esto, podemos ejecutar un escaneo en esta carpeta con nuestro antivirus o simplemente borrar el archivo malicioso.
  2. Instalar un programa para descomprimir archivos (winrar, 7-zip) y abrirlo con este software para poder extraer los archivos y recuperar el original. Luego de esto, ejecutar un escaneo general con el software antivirus que se tenga instalado.

Es importante mencionar que para que los archivos sean comprimidos en un CAB/SFX es necesario que la unidad de red se encuentre conectada al computador infectado mediante la opción Mi PC -> Herramientas -> Conectar a Unidad de Red, sin embargo, para evitar infectarse con este tipo de virus es recomendable no descargar/abrir/ejecutar archivos adjuntos de correos no deseados, evitar descargar archivos desconocidos de redes P2P, deshabilitar la funcionalidad de Autorun en Windows y tener un software antivirus actualizado.

Categories: Malware, Seguridad Informática

Leave a Reply

Your email address will not be published. Required fields are marked *