El troyano ZeroAccess está activo aproximadamente desde el año 2011, desde sus inicios hasta hoy se han creado una gran cantidad de variantes del mismo, evolucionando para funcionar en todos los sistemas Windows (32 y 64 bits), y continuar con sus funciones principales como descarga de los llamados falsos antivirus para bloquear y cobrar dinero, descarga de software malicioso para el robo de información personal y bancario, abrir un backdoor, etc.

El archivo que se analiza en este articulo cuenta con un rootkit  llamado Sirefef, el cual le permite ocultar efectivamente su ejecución sobrescribiendo la IAT (Import Address Table) del sistema de archivos, antivirus y sistemas de detección de rootkits.

Gracias por el archivo Mila

MD5:     59b247f0266b107451104243261a7ecf
SHA256: 13586ffeca632e34c5813dcce4729b20852db0c9fb3ae0b6319699c739f5be29
SHA1:    865cf7a7ff3dde0828e7764751d76c8df6291506
Tamaño: 159.5 KB ( 163328 bytes )
Nombre: FlashPlayer_11_4_update_for_Win.exe
Tipo: Win32 EXE
Detecciones: 34 / 45
Fecha de análisis: 2013-01-26 12:04:30 UTC ( hace 5 días, 15 horas )

Avast Win32:ZAccess-NF [Trj]  
AVG BackDoor.Generic16.ZML                
BitDefender Trojan.Generic.KD.817138
Comodo TrojWare.Win32.Trojan.Agent.Gen    
DrWeb                 Trojan.DownLoader7.45437
ESET-NOD32 a variant of Win32/Kryptik.AREI
Kaspersky Backdoor.Win32.ZAccess.apzt
Malwarebytes Rootkit.0Access               
McAfee ZeroAccess.hr                
Microsoft Trojan:Win32/Meredrop
Symantec Trojan.Zeroaccess.C
TrendMicro TROJ_SIREFEF.SM9

Al ejecutar el troyano se identifico la creación de unas conexiones UDP a una gran cantidad de direcciones IP además de la creación de varios archivos que a su vez también permanecen ocultos al sistema gracias al rootkit.

Ver archivo completo

HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\documentos\ZeroAccess\FlashPlayer_11_4_update_for_Win.exe: "FlashPlayer_11_4_update_for_Win"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\ThreadingModel: "Both"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\: "C:\RECYCLER\S-1-5-21-73586283-616249376-1177238915-500\$a2fd18f7be730aeaeba31ac59e6ff541\n."
HKU\S-1-5-21-73586283-616249376-1177238915-500_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\ThreadingModel: "Both"
HKU\S-1-5-21-73586283-616249376-1177238915-500_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\: "C:\RECYCLER\S-1-5-21-73586283-616249376-1177238915-500\$a2fd18f7be730aeaeba31ac59e6ff541\n."

----------------------------------
Keys added:6
----------------------------------
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Classes\clsid
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32
HKU\S-1-5-21-73586283-616249376-1177238915-500_Classes\clsid
HKU\S-1-5-21-73586283-616249376-1177238915-500_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKU\S-1-5-21-73586283-616249376-1177238915-500_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32

Para identificar el rootkit use la herramienta GMER 2.0 la cual me permitió detectar las modificaciones en la Import Address Table, específicamente para las funciones del API del proceso svchost.exe, así mismo pude identificar la inyección de código en los procesos svchost.exe, services.exe y explorer.exe.

Así mismo aplicaciones como RootRepeal  que me permito identificar modificaciones realizadas por el rootkit en la MBR (Master Boot Record) y Rootkit Unhooker que encontró los archivos ocultos y las inyecciones de código.

Los dos archivos creados al interior de esta carpeta (@ y n) también poseen código malicioso y son reconocidos por algunos antivirus:

MD5: a4ae98b37830d122e462c21ac9ecf45e
SHA256: 76ccbb13122c31c117f8670342d99af66fc054f09df768009e70578f33e9f5e0
SHA1: b8ebdd05e9f1ecce1aac0cbda7634f6bc087005d
Tamaño: 2.0 KB ( 2048 bytes ) 
Nombre: @
Tipo: unknown
Detecciones: 1 / 46
Fecha de análisis: 2013-02-01 02:06:58 UTC

Sophos Mal/ZAccConf-A

MD5: 58cbcc1b83367780b095615b0feb75bb
SHA256: 3d97b59aa6ebc14609ba0fa5a499d85cc70fd634f36d022229dc8dc12c09adb5
SHA1: ac8bfdef7e2621718d1bb823268995cf8f25072e
Tamaño: 59.5 KB ( 60928 bytes ) 
Nombre: n
Tipo: Win32 DLL
Detecciones: 32 / 46
Fecha de análisis: 2013-02-01 02:01:30 UTC

Avast Win32:Malware-gen
AVG BackDoor.Generic16.ZTT
BitDefender Gen:Variant.Kazy.131363
Comodo UnclassifiedMalware
DrWeb Trojan.Packed.2745
ESET-NOD32 a variant of Win32/Kryptik.AREI
Kaspersky Backdoor.Win32.ZAccess.apze
Malwarebytes Rootkit.0Access
McAfee ZeroAccess.hr
McAfee-GW-Edition ZeroAccess.hr
Microsoft Trojan:Win32/Sirefef.BC

Al revisar el proceso explorer.exe se puede identificar y extraer la librería añadida por el troyano z.dll y así revisar un poco su estructura donde se pueden identificar las funciones para la creación de la carpeta en C:\

SHA256: e07e630370859639bb36477b6631998f84a057e58940f71266918ef518dfbee2
SHA1: 9eca922d451e6d2bc5ce0b64f33bdc628bee0d67
MD5: 47e87891df86136dc143a23e1d1795a6
Tamaño: 72.0 KB ( 73728 bytes ) 
Nombre: z
Tipo: Win32 DLL
Detecciones: 24 / 46
Fecha de análisis: 2013-02-01 01:55:27 UTC

Avast Win32:Trojan-gen
AVG BackDoor.Generic15.COAQ
BitDefender Trojan.Inject.AKD
DrWeb BackDoor.Maxplus.5220
Emsisoft Trojan.Inject.AKD (B)
ESET-NOD32 Win32/Sirefef.EV
McAfee Trojan-FAQA!47E87891DF86
Microsoft Trojan:Win32/Sirefef.BC
VBA32 Backdoor.ZAccess.yxx
VIPRE Trojan.Win32.Sirefef.pq (v)

Ya habiendo identificado algunos de los archivos más importantes del troyano, revise en más detalle el comportamiento de la red y algunos de los paquetes relevantes de todo el conjunto de direcciones IP con las cuales se realizaban conexiones TCP y UDP.

Ejemplo de una de las conexiones TCP:

Ejemplo de conexiones HTTP GET en la cual se identifica el país, ciudad y posición geográfica de la maquina infectada:

Ejemplo de conexiones UDP desconocidas:

Win32/Sirefef