Hola,
Los chicos de Websense Security Labs hacen regularmente análisis de malware, y muchas veces muestran ejemplares especializados muy elaborados, que no son frecuentes en el ámbito español y en general, en el europeo. El último de estos análisis se ha ejecutado sobre una variante de Robot Dog, malware especializado y prácticamente orientado al mercado chino, que ha evolucionado con el paso del tiempo conviertiéndose en una amenaza bastante importante para el país oriental.
Robot Dog está pensado para comprometer máquinas en cibercafés, ya que la gran mayoría, dado el uso intensivo por parte de los usuarios, suele disponer de software de recuperación para poder restaurar los sistemas dañados rápidamente, y poder seguir facturando a la clientela perdiendo la menor cantidad de tiempo posible. La gran especialidad de Robot Dog reside en, precisamente, actuar contra el software de recuperación, deteriorando o impidiendo los procedimientos de restauración, con la finalidad de maximizar su vida útil.
Robot Dog actúa en varias fases
- Inhabilitación del motor antivirus en ejecución (actúa sobre dos motores muy extendidos en China, 360safe y sobre todo, Rising)
- Acto seguido, el virus infecta explorer.exe, descubriendo su ubicación física y haciendo una carga de los primeros 512 bytes. Acto seguido, el virus inyecta código en el fichero explorer.exe y hace una modificación del primer call para ejecutar el código inyectado. En paralelo, se inyecta el mismo código en proceso en ejecución explorer.exe, lo que permite descargar los componentes maliciosos desde distintos servidores HTTP habilitados por los atacantes. Después del dropping, se registra el ejecutable descargado como un servicio.
- En tercer lugar, el virus ataca al software de recuperación, con la idea de inhabilitarlo, empleando para ello tres estrategias distintas: borrando el primer filter device en el disco primario, modificando device\atapi para que únicamente responda a cinco peticiones especiales y no a las legítimas y habituales y recuperando la tabla SSDT (System Service Descriptor Table) para inhabilitar el monitor en tiempo real del antivirus. Esta tabla se utiliza para atender calls del kernel de Windows.
- Por último, el virus toma acciones específicas contra determinados productos software de respaldo y recuperación, especialmente sobre otros dos productos populares en China: 360safebox e icafe:
Resulta fácil deducir que, por la operativa del virus, se trata de un ejemplar muy concreto, con una orientación muy determinada a un segmento muy definido, y que basa su éxito en la especialización. Coincido con la apreciación final de los chicos de Websense: Robot Dog ha causado un daño muy relevante a la industria china de servicios de Internet, así como a los usuarios que la emplean todos los días. En un mercado como el chino, con más de 1.300 millones de habitantes, las amenazas son, por una simple cuestión de cuota y estadística, una gran amenaza, al maximizarse los potenciales objetivos de las acciones criminales y maliciosas.
la SSDT se usa para las llamadas al sistema(syscall)