ESET Latinoamérica – Laboratorio
« Malware en plataformas no Windows
Reporte de amenazas de mayo »

Un malware muy (poco) profesional

Mayo 29, 2009 3:17 pm

Uno de los falsos mitos respecto a los códigos maliciosos, es que para desarrollar uno de estos, es necesario ser un genio en la programación, un “loco” de las computadoras y la seguridad, un ser con muchas capacidades para escribir códigos capaces de propagarse por la red y causar daños a las computadoras de cientos, o miles de usuarios.

Aunque es cierto que en la actualidad es importante el nivel de profesionalismo de los creadores de códigos maliciosos (que desaprovechan su cerebro), y que estos han mejorado sus técnicas y características; la realidad es que también existen muchos amateurs desarrollando este tipo de aplicaciones. Y algunas de sus creaciones llegan a los usuarios y a nuestro Laboratorio.

Uno de los códigos malicioso en cuestión, detectado por ESET NOD32 como VBS/KillFiles.C troyano, llega al usuario enmascarado como una imagen de Maradona, bajo los nombres de archivo “Maradona Foto“, “Shakira Foto” y “Mi foto“, siendo ocultada en cualquier versión de Windows instalada por defecto, la extensión del tipo .vbs (de Visual Basic, el lenguaje de programación utilizado).

Como les mencionaba, no es necesario ningún procedimiento muy complejo para conocer qué intenciones tiene el código malicioso. No hay que desempaquetar el archivo, no hay ningún código ofuscado, ni nada por el estilo. Solo es necesario abrir el mismo, ¡con un bloc de notas!

Así de fácil, podremos conocer mucha información sobre el creador, y el código malicioso, tal como:

  • El supuesto lugar de residencia del creador, y su compromiso con la justicia social (FuenteAlba fue un maestro argentino, que fue asesinado por la policía en una manifestación de docentes en la ciudad de Neuquen, Argentina)

    Amateur Malware

  • El archivo se copia a sí mismo y se modifica el registro de Windows para ejecutarse en el próximo inicio de sesión

    Amateur Malware

  • El código chequea todas las unidades disponibles y almacena todas las carpetas disponibles

    Amateur Malware

  • Para cada carpeta almacenada previamente, se llama a una función BORRAR()

    Amateur Malware

  • La función elimina todos los archivos que posean alguna de las extensiones indicadas, y crea un archivo TXT indicando que “los archivos originales fueron destruidos”

    Amateur Malware

Aunque la amenaza no es de gravedad (el código está pobremente desarrollado y el archivo no puede ejecutarse en la mayoría de los sistemas), la realidad es que el autor lo liberó en Internet como troyano, lo que demuestra que está “jugando” con la creación de archivos dañinos.

Como verán, todavía quedan algunos “programadores” desarrollando códigos maliciosos sólo con el fin de molestar.

Sebastián

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.43
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Curiosidades, Malware
10 Comentarios »

10 Comentarios en “Un malware muy (poco) profesional”

  1. Sebastian Bortnik dijo:
    24-6-2010 a las 11:31 am

    Hola Adolso,

    Ante estos casos es recomendable contactar al soporte técnico que están para ayudar ante este tipo de incidentes.

    Sebastián

  2. Adolso dijo:
    23-6-2010 a las 7:28 pm

    El virus me daño unos archivos de la tesis Doctoral que estoy desarrollando y necesito recuperarlos, alguien me podri ayudar en esto.

    Aparece un oración que dice

    YO
    LOS ARCHIVOS ORIGINALES FUERON DESTRUIDOS

  3. Didier dijo:
    21-11-2009 a las 6:44 am

    jajaja que menso jajaj… peor cuidado porque los que ahora son buenos con las PC creo que asi empezaron tambien. jeje saludos

  4. Claudio dijo:
    20-10-2009 a las 10:39 am

    Por el razonamiento teórico-conspirativo-anti-negocios de lostperdidos, creo que podría ser el autor de este malware.

    Esas insinuaciones supongo que lo hacen acreedor de la típica frase estadounidense (traducida): “Consigue un trabajo!!!”

  5. Sebastian Bortnik dijo:
    7-7-2009 a las 2:57 pm

    Hola DjDanny,

    Si estás hablando exactamente del mismo malware que mencionamos en el post, parece ser que elimina los archivos.

    De todas formas, lee nuestra FAQ, la pregunta 13 para contactar al soporte técnico si necesitas más información.

    Sebastián

  6. DjDanny dijo:
    7-7-2009 a las 12:17 pm

    a mi me daño los mp3′s se volvieron texto y cuando los abro me sale el mensaje “Y LOS ARCHIVOS ORIGINALES FUERON DESTRUIDOS”… ALGUIEN SABE SI SE PUEDEN VOLVER A LA NORMALIDAD LOS ARCHIVOS DAÑADOS…???

  7. Cristian Borghello dijo:
    31-5-2009 a las 4:53 pm

    Hola lost-perdidos:

    Este tipo de archivos existe porque los humanos siempre hemos tendido a causar daños, desde que existimos.
    Más allá del daño, el malware actual existe por fines económicos.

    Cristian

  8. Cristian Borghello dijo:
    31-5-2009 a las 4:50 pm

    Hola Carlos:

    Todas las versiones de ESET NOD32 reciben actualizaciones pero lo mejor siempre es cambiar a la versión más reciente del producto.

    Cristian

  9. lost-perdidos dijo:
    30-5-2009 a las 10:35 am

    Al fin y al cabo todo esto supone un negocio, pues si no existiera este tipo de archivos, NOD32 tampoco existiría.

  10. carlos dijo:
    29-5-2009 a las 9:30 pm

    Hola mi primo tiene el nod32 antivirus v 3 y yo le digo que se cambie al nod32 4 pero el no quiere.Mi pregunta es la version 3 todavia sigue recibiendo actualizaciones o ya lo dejaron de dar espero una pronta constestacion

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2010 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.