La familia VBS/Agent.NDH es una de las amenazas con mayor índice de propagación en Latinoamérica. Según datos de ESET Live Grid, los países más afectados a nivel mundial corresponden a esta región concentrando casi el 60% de las detecciones en lo que va de 2014.

Nueve de los quince países con mayores detecciones de esta familia de códigos maliciosos son de Latinoamérica, con México y Perú liderando el ranking. A continuación podemos ver la distribución mundial de las detecciones:

detecciones_latam

Se trata de un gusano con capacidades de propagación similares a las de la familia Win32/Dorkbot, que tiene la capacidad de infectar dispositivos USB, entre otras características. Las soluciones de seguridad de ESET detectan esta amenaza como VBS/Agent.NDH. Está desarrollada en Visual Basic Script (VBScript) y afecta a sistemas operativos Windows.

La extensión de los archivos maliciosos es “.VBS” y cuando el usuario desprotegido los ejecuta, se lanza una instancia de "wscript.exe". Este es un proceso referente al sistema operativo de Microsoft que permite funciones adicionales como el scripting –Windows Scripting Host.

¿Cómo infecta al sistema?

Esta amenaza llega a un sistema como un archivo descargado por otro malware o cuando un usuario visita un sitio web malicioso y sin su conocimiento descarga el código malicioso. También infecta a los dispositivos de almacenamiento extraíbles que se conecten o estén conectados al sistema infectado. Estos métodos de propagación son comunes entre otros gusanos como Dorkbot, que ha generado grandes problemas en la región.

La propagación de amenazas a través de dispositivos USB y el uso de enlaces directos es una técnica redituable para los cibercriminales quienes apuestan al desconocimiento del usuario para infectar sus sistemas.

¿Qué es lo que hace la amenaza?

Este gusano puede usar la computadora víctima para hacer "clics" en anuncios con o sin el permiso de la víctima, y de esta forma, incrementar la popularidad de un sitio web o alguna aplicación que el atacante administra para ganar dinero.

Este tipo de acciones están relacionadas con técnicas de Black Hat SEO con las cuales los atacantes buscan posicionar diferentes sitios entre los primeros resultados de los buscadores. Entre sus capacidades se encuentra la posibilidad de enviar órdenes y comandos para efectuar diferentes acciones en forma remota, lo que convierte al equipo en parte de una botnet.

Detalles técnicos

Estamos ante una familia de códigos maliciosos que es persistente en el sistema. Crea una entrada en el registro de inicio, para asegurarse la ejecución cada vez que se carga el sistema.

Por lo general, estos scripts están cifrados u ofuscados, para que los usuarios no puedan visualizar el código fuente y así se dificulte qué es lo que el script intenta cambiar o hacer en el sistema en el cual se ejecutó.

En la siguiente imagen se puede apreciar uno de estos scripts cifrado y luego descifrado:

script_cifrado

A continuación analizaremos uno de estos scripts para hacer referencia a cuál es la estructura básica de los mismos. Al detectar que estaba cifrado en base64 tuvimos la posibilidad de descifrar el código fuente de una manera sencilla. A diferencia de las amenazas desarrolladas en otros lenguajes de programación como C o Delphi, no es necesario decompilar el malware, sino que con romper el cifrado o técnica de ofuscación podemos leer el código.

Como podemos observar, se compone de tres partes básicas en las cuales destacamos:

  • Una configuración
  • Declaración de variables (públicas y privadas)
  • El comienzo del código

La siguiente captura muestra el código fuente:

trafico

En la sección de “config” se ve claro cuál es el host y puerto que el código utiliza, la dirección en donde se instala y podemos ver que oculta los archivos y carpetas de los dispositivos USB y los reemplaza por accesos directos (.lnk). Esta técnica de propagación es detectada por los productos de ESET como LNK/Agent.AK.

Al descifrar el código, se puede apreciar los comandos que interpreta o podría enviar de acuerdo a determinados comportamientos. Este es un claro ejemplo de cómo funciona o se comporta un bot y de esta manera queda a la espera de instrucciones para ejecutar. Para este caso podríamos destacar “execute”, “update” o “site-send”:

funcion_malware

En la siguiente función se puede observar cómo el malware trabaja con los dispositivos extraíbles que se conectan al sistema y así los infecta:

infeccion

Conclusión

Como pudimos observar, VBS/Agent.NDH es una amenaza que realiza varias acciones en el sistema y realmente significativas. Su capacidad de propagación mediante dispositivos USB hace que infecte con mucha facilidad y rapidez otros sistemas, lo que demuestra que actualmente continúa siendo una tendencia este método de propagación mediante accesos directos (LNK/Agent.AK).

Incluso podemos ver que con el pasar de los años, este continúa siendo un método efectivo de infección, lo cual se debe a que frecuentemente los usuarios pasan por alto que los dispositivos extraíbles son vectores de propagación de amenazas, y por lo tanto no toman los recaudos necesarios para combatir amenazas de este tipo. Por eso, es importante que recuerden contar con una solución de seguridad actualizada en sus equipos.