Kavo, ¿una historia interminable?

19 de octubre de 2009

avast virus Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.

Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.

Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?

- Instala un rootkit (klif.sys)

- Instala sus binarios en modo usuario en el directorio de sistema

- Instala sus autoruns y sus binarios autoejecutables en cada dispositivo (para expandirse lo más posible)

- Inyecta código propio en explorer.exe

- Fuerza los procedimientos de actualización

- Roba las contraseñas de juegos online

El análisis de la infraestructura de servidor usada para actualizar las infecciones establecidas y recolectar los datos robados es algo que siempre sorprende a nuestros técnicos. Parece haber unas pocas máquinas para manejar los cientos de miles de víctimas. De hecho, los servidores están siempre con mucha carga (incluso a veces en overload) y por tanto la velocidad de descarga de las actualizaciones suele ser bastante lenta (en ocasiones no llega ni a finalizar). Cuando decíamos que esta familia de malware es exitosa, no nos referíamos a las posibles ganancias monetarias por su actividad (esto es algo difícil de determinar). Nos referimos sólo a su expansión y el actual ciclo de vida, que se pueden considerar un éxito. Algunos detalles más:

- El autor no ha sido detectado por el momento (recordemos que Kavo salió hace más de dos años) incluso sabiendo dónde fueron registrados sus dominios. Los servidores (y quizá el mismo autor) residen en China, algo que puede ser problemático para la justicia europea o americana.

- Toda la infraestructura está basada en máquinas que se podrían denominar ridículas, pero esta familia de malware es capaz de expandirse, reaccionar ante las detecciones de los antivirus, cambiar el ofuscador, etc.

- La familia es perenne. Todavía sigue viva y bien visible incluso habiendo muchísimos otros malware en liza.

Y aquí termina este repaso a Kavo. ¿Qué pasará en un futuro? Desgraciadamente, creemos que tenemos Kavo para rato. No hay esperanzas de que el autor pueda ser localizado o que su infraestructura pueda ser anulada. ¿Qué creéis vosotros? ¿Habrá un final feliz para esta historia?

El presente artículo es una traducción y adaptación de un post escrito por Michal Krejdl en el blog oficial de avast! en inglés.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram