Siguiendo con la temática ya explicada en el post anterior, El disfraz del malware, sabemos que existe una técnica llamada empaquetado, que le permite a los códigos maliciosos, en algunos casos,  camuflarse para no ser detectados. En este post mostraremos los porcentajes de muestras empaquetadas, indicando cuáles son los packers más utilizados por el malware  en  Latinoamérica.

Para lograr ocultarse, los códigos maliciosos utilizan varios tipos diferentes de empaquetadores, donde cada uno posee distintas características, las cuales el o los autores del malware pueden aprovechar para lograr su objetivo… muestras no detectadas.

De acuerdo a las muestras recibidas en nuestro laboratorio en lo que va del 2011, el 75% del total de muestras se encuentra protegida con packers de diferentes tipos. El empaquetador preferido por los creadores de malware, sigue siendo UPX con un 71,69 % de las muestras totales empaquetadas. Lo siguen bastante lejos Aspack (con 11,37%) , PECompact (7,25%), y luego ya con valores menores, y en el siguiente orden: ASProtect, UPack,  Themida, NSPack, EXECryptor, Armadillo y otros (con un 0,19%):

Analizando el podio, UPX y sus derivados (recordemos que es libre por lo tanto su código fuente esta disponible en su pagina oficial), es el packer preferido por los creadores de malware. Por su parte ASPack no comparte esa característica de ser libre como UPX, pero su versión trial permite evaluar su funcionamiento, el cual posee como principal característica su poder de compresión que oscila entre 40% y 70%. Por último PECompact, otro packer privativo muy conocido, es muy utilizado por sus características de compresión y velocidad.

Como pudimos corroborar con esta nueva estadística, y teniendo en cuenta otras estadísticas como la de Virus Total o viejas estadísticas de laboratorio, pudimos ver que las tendencias en cuanto a packers no variaron mucho en estos últimos años, ni tampoco su localización geográfica.

Si bien existen algunas diferencias según quién sea el autor de las estadísticas, UPX sigue, y todo indica que seguirá, liderando el ranking estadístico de packers por mucho tiempo más.

Juan Esteban Forgia
Analista de Malware

Categories: Estadísticas, Malware
3 Comments »

Este mes pudimos encontrarnos con un caso muy curioso de rogue, dicho malware hace alusión a la verdadera solución de seguridad de ESET NOD32. No es de extrañar que los delincuentes busquen nuevas formar de obtener beneficios económicos, tratando de confundir a las victimas con una solución de seguridad verdadera, este es el caso de la falsa solución de antivirus denomina “E-Set Antivirus 2011”.

Para comenzar podemos ver que el icono que utiliza este rogue, no es el correcto a nuestro producto, ya que el icono pertenece a otro software de antivirus. También podemos ver que la interfaz pertenece a la familia de una serie de rogue conocidos y reportados en el listado mensual de rogue.

Este rogue al igual que otros, busca generar el miedo en la victima, para lograr que esta adquiera la licencia de este supuesto antivirus. Esto lo logra mediante una serie de mensajes donde se indica la detección de supuestas amenazas de códigos maliciosos en el equipo e indicando que, para remover estas amenazas, hay que adquirir una licencia full del producto. El precio de las licencias de este rogue ronda entre los $54.95 y $74.95 con la posibilidad de darse de alta en el servicio de “System Cleaner” por $29.95. El precio de la licencia de ESET-NOD32 es más económico.

Al realizar un análisis de la página, podemos encontrar el backup del archivo index del sitio, en el que podemos observar que la pagina es genérica y que solamente el delincuente cambia el nombre del rogue, cuando este empieza a ser reportado por las empresas de antivirus.

Esta amenaza es detectada con los distintos nombres Win32/RogueAV.E trojan, Win32/Kryptik.LSH trojan o Win32/Kryptik.LVC trojan.

Es indispensable saber que los esfuerzos de los delincuentes informáticos son cada vez mas trabajados. Así tambien es imprescindible que ante estas nuevas amenazas que aparecen constantemente, sepamos las 5 formas de identificar un rogue, así también, todos los meses brindamos un listado de rogue para poder evitar este tipo malware.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Rogue
1 Comment »