Luego de estos días recibiendo respuestas del segundo Desafío de ESET vamos a dar a conocer la respuesta.

En realidad este desafío consistía de Ingeniería Social casi por completo. Nuestro "cliente" nos había enviado dos archivos (un .doc y un .exe). Si se abría y leía el documento se podía interpretar que se debía analizar el archivo ejecutable y hacia allí se dirigieron la mayoría de las respuestas recibidas pero, en realidad el supuesto cliente habia intentado engañarnos e infectarnos desde una macro insertada en el documento.

La mayoría de los análisis recibidos sobre este archivo fueron correctos ya que si se ejecuta bicho.exe con permisos administrativos, cada 12 segundos devuleve distintos mensajes al usuario y se crea un archivo NuMeRo.txt en el directorio c:windows. En este archivo se almacena un contador de ejecuciones "1,2,3..." y luego de la quinta ejecución se entra en un ciclo que no lleva a ningún sitio.

Además y, para ampliar la confusión, el archivo ejecutable está empaquetado con el software open source UPX (que también puede utilizarse para desempaquetarlo) y si, al ejecutarlo, se amplia la ventana se puede apreciar una "X" en la esquina inferior derecha.

Sin embargo, todo ello no respondía la pregunta de nuestro "cliente" sobre la autoría del supuesto virus. En realidad nuestro supuesto cliente había intentado engañarnos y si habríamos el archivo .doc con permisos suficientes para ejecutar macros, se podría haber ejecutado un código dañino.

Además, y también para confundir, el archivo de texto está protegido con contraseña pero, al abrir las macros del archivo (sí, macros en 2008), se aprecia el siguiente código comentado:

Private Sub Loader4()
'MsgBox Chr(25 * 2)
'MsgBox Chr(25 + 32)
'MsgBox Chr(25 + 40)
End Sub

Si se descomentan esas tres líneas de código VBA, se cierra y se vuelve a abrir el documento, se ven los mensajes "2" (ASCII 50), "9" (ASCII 57) y "A" (ASCII 65) con lo cual resolvemos el acertijo ya que el grupo 29A (666 en decimal) fue un reconocido grupo de investigación sobre virus y que cerró sus puertas este año. El grupo siempre se caracterizó por sus creaciones originales y no dañinas. Si se quiere conocer más detalles, se puede leer nuestra historia de los virus.

Notas:

  • Por supuesto este programa ejecutable no fue escrito por el grupo 29A pero era parte del desafío reconocer el engaño, encontrar la macro, y mencionar a este grupo como uno de los más famosos de la historia de los virus informáticos.
  • Tener o no antivirus instalado no influía en la solución.
  • Desempaquetar o descompilar el archivo ejecutable, no influía en la solución.
  • Desproteger el documento o encontrar la contraseña del mismo, no influía en la solución.
  • La detección del archivo EXE como malware por parte de algunos antivirus corresponde a un Falso Positivo debido a que detectan el empaquetador UPX como posible amenaza.

Espero hayan disfrutado el desafío que tenía como objetivo conocer o recordar los siguientes puntos:

  • Trabajar en seguridad antivirus no siempre significa conocer todos los aspectos técnicos de un problema determinado
  • La técnica y el análisis de código es sólo una parte del trabajo
  • Gran parte de los delincuentes informáticos actuales, utilizan Ingeniería Social para engañarnos e infectarnos y este es el punto fundamental que debe recordarse siempre

Una nota al margen (y freak) de este desafío era que la primera versión de UPX fue desarrollada por Markus y László en 1996, el mismo año en que nacía el grupo 29A.

La primera respuesta correcta y, posteriormente justificada, fue dada por Roberto, con quien ya nos hemos comunicado para entregarle su Licencia de ESET. ¡Felicitaciones! y nos vemos en el próximo.

Cristian