Virus Sality

Sality.AO utiliza técnicas que hace años que no se veían como EPO o Cavity. Ambas son técnicas relacionadas con el modo en que se lleva a cabo la modificación del fichero original para infectarlo, haciendo más difícil de detectar esa modificación así como la posterior desinfección.

La técnica EPO permite la ejecución de parte del fichero legal antes de que comience la infección, lo que dificulta la detección del ejemplar.

Por su parte, la técnica Cavity consiste en la utilización de los espacios en blanco del código del fichero legal para insertar el código malicioso del virus, lo que, además de hacerle más difícil de localizar dificulta enormemente su desinfección.

Estas técnicas están muy alejadas de las que se pueden lograr con las herramientas de creación automática de malware, causantes del gran aumento de amenazas en los últimos años, y requieren técnicas más artesanales y un gran conocimiento de programación de códigos maliciosos.

A estas técnicas relacionadas con los primeros ejemplares de malware, Sality.AO añade funcionalidades del nuevo malware como la posibilidad de conectarse a un canal IRC para recibir órdenes de su creador y poder tomar el control de la máquina y convertirla en una computadora zombie.

A través de estas computadoras zombies se llevan a cabo acciones como el envío de spam, la distribución de malware, ataques de denegación de servicio, etc.

Igualmente, no se limita a la infección de ficheros como los viejos ejemplares de virus, sino que también busca distribuirse a través de la web como los ejemplares más novedosos.

Para ello, infecta los archivos PHP, ASP y .HTML que encuentre en el equipo con un iFrame. Debido a esto, cuando alguno de esos ficheros es ejecutado el navegador es redirigido, sin que el usuario se dé cuenta, a una página maliciosa en la que se lanza un exploit contra el equipo con el fin de descargar en él nuevos ejemplares de malware.

Pero la amenaza no termina ahí. Si alguno de esos ficheros infectados son subidos a una página web –y las extensiones de los archivos infectados son las típicas de archivos que se suben a la web-, los usuarios que los descarguen desde ellas o que visiten las páginas formadas por esos códigos quedarán infectados igualmente.

El archivo que se descarga a través de esta técnica es lo que PandaLabs denomina un malware doble ya que es una mezcla de funcionalidades de troyano y de virus.

El troyano, además, cuenta con funcionalidades downloader para seguir descargando nuevos ejemplares de malware en el equipo. Las URLs de descarga que utiliza este downloader aún no estaban operativas en el momento del análisis de PandaLabs, pero podrían activarse cuando el número de computadoras infectados con este ejemplar vayan aumentando, según el laboratorio de Panda Security.