Comportamiento Virus en plataformas Windows

Estándar

Los virus desde la cuenta Administrador

El grupo Administradores en un sistema Windows, está diseñado para crear cuentas que sirvan de mantenimiento al sistema operativo. Los permisos predeterminados asignados a este grupo, permiten un control total sobre todo el sistema.
No hace falta mencionar que todo programa malicioso que se ejecute bajo este tipo de cuenta, podrá ejecutar y realizar tareas sin ningún tipo de restricciones.

Siendo Justos

Para realizar este estudio, he introducido una serie de virus y exploits a un equipo bajo una cuenta restringida. Ejecutar un virus o un exploit determinado bajo una cuenta administrativa (como puede ser Administrador en Windows o root en GNU/Linux) no tiene cabida en este documento, ya que todo el mundo sabe qué efectos producen estos programas si se ejecutan en algún equipo (sea del sistema operativo que sea) con alguna de estas cuentas y/o privilegios.
Este documento está en su versión 0.1, y en revisiones posteriores se analizarán nuevas amenazas de seguridad.

Detalles Técnicos

Para este experimento se ha instalado lo siguiente:

  • Sistema Operativo Windows XP Service Pack 2
  • Firewall de Windows activado
  • Se ha configurado el sistema bajo una cuenta limitada
  • Navegador Internet Explorer


Después de instalar el Service Pack 2, no se ha instalado ninguna actualización más de seguridad, no se ha instalado solución antivirus de ningún tipo, y tampoco se ha instalado solución antispyware.
Tampoco se ha modificado ni securizado (nada de hardening) el sistema operativo.
Tipos de Virus, Exploits y gusanos que se han utilizado

Los virus y exploits que se han utilizado para intentar infectar al sistema son los siguientes:

  • W32.Goner-A
  • W32.Drefir
  • Exploit WMF (Windows MetaFile)
  • Infecta.exe (Virus creado por ||MadAndTrax||)
  • Lab_05.exe (Virus creado por || MadAndTrax ||)


Glosario de Términos
Gusano

Este tipo de virus se extiende utilizando las funciones API en redes Windows, MAPI o programas de email. Pueden crear sus propios mensajes con el gusano adjunto o infiltrarse en cualquier correo saliente. En algunas ocasiones, estos gusanos pueden tener incluso su propio motor smtp para enviar correo.

Spyware

Es un programa aparentemente legítimo que ha sido diseñado para afectar y dañar la actividad del ordenador enviando información del sistema al atacante sin el conocimiento del usuario.

Virus

Aplicación con capacidad para reproducirse y duplicarse. En ocasiones hay virus que afectan al sistema y tienen capacidad para alterar y/o dañar datos. Un virus requiere de un programa anfitrión y no infectará el equipo hasta que no sea ejecutado. Algunos virus se copian a través de redes o se envían por mail. El término ‘virus’ se utiliza a menudo para referirse tanto a virus como a gusanos.

Exploit

Aplicación o parte de ella que tiene como finalidad el aprovecharse de alguna falla o deficiencia (vulnerabilidad) de otro programa.

W32.Goner-A. Gusano que se propaga por e-mail

W32/Goner-A se propaga por e-mail en forma de archivo adjunto con el nombre GONE.SCR, supuestamente un protector de pantalla.
Los detalles técnicos sobre propagación y eliminación, podéis encontrarlo aquí
La primera vez que ejecutamos el gusano, nos muestra una imagen y, a continuación, un mensaje de error de DirectX, haciéndonos creer que se trata de un problema de Windows al ejecutar el protector de pantalla

Acto seguido intentará deshabilitar cualquier solución antivirus instalada en el equipo, y para realizarlo, comprobará una serie de procesos (No se muestran todos).
Algunos de ellos son:

  • ZoneAlarm.exe
  • FRW.exe
  • AVP.exe
  • AVP32.exe
  • VSSTAT.exe


Si encuentra algún proceso activo lo cerrará automáticamente y borrará todos los archivos del directorio que contenga alguno de esos archivos. También creará un archivo llamado wininit.ini que se ejecutará en el inicio de Windows y que hará que se borre cualquier archivo que haya quedado en esos directorios.
El gusano creará una copia de gone.scr en el directorio System de Windows y se creará la siguiente clave en el registro para asegurar su ejecución en el inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

Efecto en el sistema

Al ejecutar el gusano en el sistema, muestra la imagen y el error (fake) de DirectX. Acto seguido intenta inhabilitar los procesos de antivirus que tiene programado, pero al carecer el sistema de éstos, no hace absolutamente nada. Tampoco logra su segundo objetivo, el cual es copiarse dentro de la carpeta System, al no tener privilegios especiales para tal acción. Tampoco llega a cubrir su tercer objetivo, que es adjuntar la clave necesaria para auto ejecutarse al iniciar el sistema, por el mismo principio de antes, carecer de los privilegios adecuados para esa acción.
El alcance de este gusano es nulo para el sistema operativo, y su integridad no se ve comprometida en ningún momento.

W32/Drefir.E. Se propaga por e-mail e IRC

Este gusano se propaga como adjunto en mensajes de correo electrónico, utilizando su propio motor SMTP.
Los detalles técnicos sobre infección y eliminación podéis encontrarlo aquí

La primera vez que ejecutamos el gusano, éste crea una clave de registro para auto arrancarse en la siguiente rama:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Como nombre de clave introduce: System Power Managment
Y como valor de clave introduce:  C:\Windows\System32\svcnhost.exe

Acto seguido intenta, sin mucho éxito, copiarse al directorio System32.

Como tercer paso, intenta, nuevamente sin éxito, crear una clave de registro para auto arrancarse en la siguiente rama:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run

La cuarta acción que realiza el gusano para propagarse por el sistema, es modificar la clave de registro encargada de los recursos compartidos (Clave Start). Nuevamente, nuestro gusano falla por carecer de permisos especiales para realizar este tipo de acciones. La clave que intenta modificar es la siguiente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

Ésta clave se mantiene con su valor original, que es 2.

El alcance de este gusano es nulo para el sistema operativo, y su integridad no se ve comprometida en ningún momento.

Virus Lab_0.1. Virus de laboratorio creado por ||MadAnTrax||

Virus de laboratorio creado por ||MadAnTrax||
Cada vez que un usuario hace doble clic sobre un ejecutable se ejecuta una copia del virus, aparte cierra cualquier ventana que tenga como titulo algo parecido a esto:

Código:
Vc(1) = “Windows”
Vc(2) = “system”
Vc(3) = “ejecutar”
Vc(4) = “cmd”
Vc(5) = “command”
Vc(6) = “norton”
Vc(7) = “panda”
Vc(8) = “scan”
Vc(9) = “anti”
Vc(10) = “virus”
Vc(11) = “Outlook”
Vc(12) = “Microsoft”
Vc(13) = “mirc”
Vc(14) = “MSN”
Vc(15) = “Messenger”
Vc(16) = “yahoo”
Vc(17) = “restore”
Vc(18) = “Internet”
Vc(19) = “clean”
Vc(20) = “trend”
Vc(21) = “sistema”
Vc(22) = “tareas”
Vc(23) = “control”
Vc(24) = “programas”
Vc(25) = “seguridad”
Vc(26) = “firewall”
Vc(27) = “regedit”
Vc(28) = “registro”
Vc(29) = “firefox”
Vc(30) = “opera”
Vc(31) = “taskkill”
Vc(32) = “lavasoft”
Vc(33) = “watch”
Vc(34) = “resultado”

Es capaz de reiniciar el PC y elimina cualquier tipo de archivo que cuelgue de C:\

Efecto en el sistema

Al ejecutar el virus en el sistema, crea una clave en el registro de Windows con nombre chmod y con valor C:\Windows\System32\chmod.exe, para auto arrancarse al iniciar el sistema. La crea en la rama

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Acto seguido cierra todas las ventanas que contengan un nombre idéntico o similar al mostrado en la lista, indicada arriba.
Intenta copiarse a sí mismo en el directorio System32, pero no logra su objetivo, dado que carece de privilegios para copiarse en dicho directorio.
El alcance de este virus es nulo para el sistema operativo, y su integridad no se ve comprometida en ningún momento.

Virus de Laboratorio infecta.exe. Creado por ||MadAnTrax||

Virus de laboratorio creado por ||MadAnTrax||
El virus infecta todo ejecutable que cuelgue del directorio C:\ Usa el string (**X**) para saber si un archivo esta infectado o no.
Deja el sistema completamente inestable, pero no destruye ningún archivo. Si se ejecuta este virus bajo una cuenta administrativa, prácticamente es imposible restaurar y devolver la estabilidad del sistema a un estado “normal” después de ejecutar el infectar.exe

Efecto en el sistema

Al ejecutar el virus en el sistema, éste cumple con el objetivo de introducir la cadena (**X**) a los archivos que son propiedad del usuario. Todo archivo que no sea propiedad del usuario, no se verá afectado por este virus destructivo.
El alcance de este virus es nulo para el sistema operativo, y su integridad no se ve comprometida en ningún momento.

Exploit WMF (Windows Meta file)

Una imagen de metarchivos de Windows (WMF) es un formato de metarchivos de 16 bits que puede contener tanto información vectorial como información del mapa de bits. Está optimizada para el sistema operativo Windows.
Si un usuario inicia sesión con derechos de usuario administrativos, un intruso que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
Para más información técnica se pueden dirigir al resumen técnico proporcionado por Microsoft

http://www.microsoft.com/spain/technet/seguridad/boletines/ms06-001-it.mspx

El exploit utilizado para el experimento, y ejecutado bajo una cuenta administrativa, ejecuta estas acciones:

  • Coloca una página de inicio para descarga de una aplicación Anti-Spyware
  • Deshabilita el taskmanager
  • Deshabilita la edición del registro de Windows
  • Coloca diversos programas para monitorizar todo lo que se haga en el sistema
  • Infecta el sistema con un conocido (y peligroso) Spyware. (SpyGuard)
  • Deja el sistema completamente inestable


Para más información sobre este Spyware, se pueden dirigir al resumen técnico proporcionado por Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2006-021517-2411-99&tabid=2

Efecto en el sistema

Lanzamos el exploit desde una cuenta de usuario y el efecto en el sistema es nulo, y la integridad del sistema no se ve comprometida. El exploit no es capaz de realizar ningún cambio en el sistema.

Conclusión

El grupo Usuarios es el más seguro de todos los grupos, ya que los permisos que tiene asignados de forma predeterminada no permiten a sus miembros modificar la configuración del sistema operativo ni los datos de otros usuarios.
El grupo Usuarios proporciona al sistema el entorno más seguro para ejecutar aplicaciones. La configuración de seguridad predeterminada de un sistema recién instalado (y no actualizado) está diseñada para que los miembros de este grupo no puedan poner en peligro la integridad del sistema operativo y de las aplicaciones instaladas.
Un miembro del grupo Usuarios no podrá:

  • Modificar la configuración del Registro
  • Modificar archivos del sistema operativo
  • Modificar los archivos de programa
  • No podrán apagar los servidores, pero sí sus estaciones de trabajo
  • Administrar grupos que no hayan creado


Para garantizar (nunca en un 100%) la seguridad de un sistema, un administrador debería:

  • Asegurar que sus usuarios pertenezcan al grupo Usuarios
  • Reducir permisos de seguridad predeterminados en el grupo Usuarios
  • Mantener el sistema actualizado
  • Estar al día de los boletines y avisos de seguridad


Este documento a modo de ejemplos ilustrativos, pretende demostrar que el impacto frente a un ataque, es mucho menor si se navega bajo una cuenta con menores privilegios, frente a navegar bajo una cuenta administrativa.
Una vulnerabilidad no sólo aprovecha los privilegios del usuario que ha iniciado la sesión, pero sí un gran número de ellas. Por ello es por lo que se hace un gran énfasis con respecto a la navegación y manejo de un sistema.
Recordad. Configurad los sistemas bajo una cuenta con privilegios mínimos, o privilegios necesarios. Ahorraréis tiempo, esfuerzo y reduciréis los sustos a unos niveles mínimos.