ESET Latinoamérica – Laboratorio
« Comenzó Virus Bulletin 2007
Terminó VB2007 »

Ejecución transparente de códigos maliciosos

Septiembre 20, 2007 1:16 pm

Numerosos tipos de códigos maliciosos poseen la capacidad de infectar un equipo informático con el solo hecho de visitar una página web. Si señor, con la simple acción de visitar un sitio en Internet, es posible que creadores de malware comprometan nuestra computadora con alguna de sus creaciones.

Pero… ¿cómo puede ser posible? Bueno, los programadores malintencionados buscan constantemente desarrollar técnicas que permitan evadir las aplicaciones de seguridad o por lo menos, dificultar su análisis y detección.

Tal vez, muchos lectores hayan notado en más de una oportunidad que cuando ingresan a determinadas páginas web, estas tardan en cargarse y vemos que la barra de progreso se “estanca” en la mitad de la carga. Esto puede ser un indicio de que, en ese preciso momento, nuestra computadora estaría siendo víctima de un intento de infección.

Este tipo de páginas contienen dentro del código HTML un script malicioso que se encarga de descargar (e incluso ejecutar), por lo general, un troyano. Este script generalmente se encuentra “protegido” con una técnica que recibe el nombre de ofuscación.

Con esta técnica, se busca dificultar al máximo la lectura y/o análisis del código haciendo que sea lo más ilegible posible. En la siguiente captura podemos observar un ejemplo de cómo se ve un código ofuscado dentro de una página web.

Script ofuscado

En la imagen podemos apreciar que se utilizaron dos lenguajes para crear el script: JavaScript y VBScript. Además, también se observan los archivos ejecutables (el malware) que se copia y ejecuta respectivamente al momento de ingresar a una página que contiene inyectado este código ofuscado.

Se pueden encontrar codificados con diferentes metodologías pero básicamente se lo ve más o menos de la misma manera. Aquí tienen otro ejemplo:

Otro ejemplo de script ofuscado

La idea de dificultar el análisis de debe a que a través del ofuscamiento se esconde generalmente un exploit que aprovecha alguna vulnerabilidad de nuestro sistema operativo o aplicación instalada. De aquí la importancia de mantener al día las actualizaciones de nuestro equipo y antivirus.

Estos casos conforman buenos ejemplos para que dejemos de hacer clic, por ejemplo, sobre los enlaces que nos llegan a través de programas de mensajería instantánea o a través del correo electrónico no deseado.

Después de esta lectura ¿quedará algún lector sin actualizar su sistema operativo?

El éxito de este tipo de técnicas, depende en gran medida de nosotros, los usuarios. Somos nosotros mismos una especie de gran antivirus que, al igual que este tipo de programas, en la medida en que no nos mantengamos actualizados e informados, estaremos facilitando la entrada de estas amenazas a nuestro sistema.

Jorge

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Educación, Malware, Vulnerabilidades
10 Comentarios »

10 Comentarios en “Ejecución transparente de códigos maliciosos”

  1. ESET Latinoamérica – Laboratorio » Blog Archive » Inyección de exploits puede dañar la reputación de su empresa dijo:
    26-8-2009 a las 12:02 pm

    [...] JavaScript malicioso (x.js) que llama a otro script del mismo tipo (tongji.js), que se encuentra ofuscado. En la siguiente imagen se observa con un capturador de tráfico de red, como se ejecutan ambos [...]

  2. ESET Latinoamérica - Laboratorio » Blog Archive » ElFiesta. Otro crimeware al servicio del malware dijo:
    14-7-2009 a las 3:48 pm

    [...] (utilizando archivos con formato PDF – Portable Document Format, y SWF – Small Web Page) y scripting (sometiendo el código a técnicas de [...]

  3. Ataques multi-stage - psicofxp.com dijo:
    8-7-2009 a las 12:57 pm

    [...] al cargarse el sitio web, se ejecutan las rutinas maliciosas a trav

  4. Foro contra Malwares » Propagación de malware a través de sitios vulnerados y MSN dijo:
    26-12-2008 a las 5:46 pm

    [...] acceder a miles de sitios vulnerados a través de cualquier buscador y en ellos se puede ver un script ofuscado. La propagación de dicha amenaza también se está realizando a través de mensajería [...]

  5. .::SRT::. » Blog Archive » Sitio de menores con malware. dijo:
    11-11-2008 a las 2:25 am

    [...] encontrado con un sitio español dirigido a menores en el cual algún inescrupuloso ha alojado un script ofuscado que descarga un malware cuando el usuario ingresa al al [...]

  6. Cristian Borghello dijo:
    4-11-2008 a las 8:49 am

    Hola Carfe:

    Ese mensaje parece ser un mensaje generado por un antivirus falso del tipo rogue, de los que hacemos una cobertura continuamente en nuestro Blog.

    Cristian

  7. carfe dijo:
    4-11-2008 a las 1:27 am

    Cada vez que quiero acceder a ciertas paginas (por ejemplo el facebook) me sale una aviso del antivirus de “vulneracion script ofuscacion”; este no lo quita, qu eotras opciones puedeo tener para combatirlo.
    gracias

  8. Hackers hackeando hackers « Pirata World dijo:
    11-10-2008 a las 12:16 am

    [...] PHP ligeramente modificadas y listas para utilizar. Cada shell cumple su función pero incluye códigos ofuscados que el ojo inexperto no es capaz de advertir, estos agregados permiten que los creadores del sitio [...]

  9. CarlosSing dijo:
    10-8-2008 a las 2:11 pm

    asuuu ke peligroso, jejejej sera cuestion de hacer un update a mi SO y a mi NOD.

  10. javimataderos dijo:
    21-9-2007 a las 1:30 am

    yo ya voy actualizando mi sistema entonces. realmente estos tipos se pasan con los virus que crean. cada día más inventivos!

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.