El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por Robert Lipovsky, publicado en el blog de ESET en inglés donde podrán conocer las nuevas técnicas utilizadas por el Virus Induc, para infectar los archivos y sistemas.

ESET ha descubierto una nueva versión del virus Win32/Induc, conocido por atacar al lenguaje de programación Delphi. A diferencia de sus predecesores, esta variante incorpora un nuevo vector de ataque, además de contar con la capacidad para infectar otros archivos ejecutables y la modificación de su funcionalidad de auto propagación.

Hace dos años, publicamos información acerca del virus Win32/Induc.A, que infectaba archivos de Delphi en tiempo de compilación. Aunque, las técnicas que utilizaba no eran muy avanzadas, este código malicioso fue más que interesante. En lugar de infectar directamente los archivos ejecutables, su objetivo era modificar una librería del entorno de programación de Delphi, lo que generaba que toda aplicación compilada por ella estuviera infectada. Quizás, el autor se inspiró en la investigación publicada en 1984, por Ken Thompson que describe un método de infección similar, a través de la modificación de un compilador del lenguaje de programación C.

Aunque esta amenaza, solo infecta a los sistemas que tienen Delphi instalado, comenzó a propagarse  alrededor del mundo, y fue detectado en un gran número de aplicaciones, escritas en este lenguaje de programación. Además de su peculiar mecanismo de infección, el virus Win32/Induc.A no cuenta con ninguna otra técnica de propagación una vez que infecta un sistema. Sin embargo, dos años después, esto cambio con la aparición de nuevas variantes de este código malicioso.

En julio del 2011, ESET detectó Win32/Induc.B, una versión casi similar a la primer variante en lo que respecta a su mecanismo de infección, pero el código había sido re escrito, incluyendo algunas modificaciones considerables:

• De igual manera que Win32/Induc.A, esta nueva variante afecta a las versiones de Delphi, desde la 4.0 hasta la 7.0. Sin embargo, Win32/Induc.B cuenta con una modificación en la búsqueda del directorio en dónde se encuentra instalado el entorno de programación. De esta manera, puede infectar el IDE de Delphi (Integrated Developed Environment, en español, entorno integrado de desarrollo), cuando el directorio de instalación por defecto ha sido modificado. Ademas también es capaz de infectar Borland Developer Studio (BDS) y Codegear BDS.
• Cuenta con técnicas de anti-debugging, con el objetivo de complicar su análisis.
• Cuenta con encriptación XOR para ocultar el código original del virus.

Ver m�s… »

Categories: Malware
No Comments »

Esta semana la Gira Antivirus estará muy activa, especialmente en Argentina donde estaremos participando de distintos eventos que se desarrollarán en la ciudad de Buenos Aires, y tendremos oradores internacionales. Además, estaremos presentes una vez más en Panamá, donde estaremos desarrollando un hermoso viaje por el interior del país para finalizar con actividades en la ciudad capital. Como siempre, comparto con ustedes el cronograma de actividades de la semana.

Argentina

La realización de la conferencia Ekoparty nos tendrá muy activos durante toda la semana, empezando por el día martes, donde los Analistas de Malware de ESET Latinoamérica, Juan Forgia y Javier Aguinaga, estarán dictando el training “Análisis de Malware: métodos y técnicas“, donde enseñarán a los asistentes los mejores secretos sobre el análisis de códigos maliciosos, tanto a través de análisis dinámico como de Ingeniería Reversa.

Por otro lado, el día viernes 23 de septiembre tendremos el honor de recibir a dos excelentes investigadores de ESET, provenientes desde Rusia: Eugene Rodionov y Aleksandr Matrosov, que estarán presentando a las 15:50 hs. la charla “Defeating x64: Modern Trends of Kernel-Mode Rootkits“.

Además, estaremos presentes los tres días de la conferencia con un stand y, atentos, estaremos realizando un desafío durante la conferencia, especial para aquellos amantes de la seguridad, y quienes lo resuelvan podrán participar de un interesante sorteo por una PlayStation.

Finalmente, también quiero compartir que el día martes 20 de septiembre, estaré participando del evento organizado por Usuaria “e@Derecho – La Tecnología de la información y sus aspectos legales”, donde estaré dictando a las 11:30 hs. una charla que he titulado “¿Qué tienen en común un abogado y un especialista en seguridad?“, y posteriormente presentaré la iniciativa Argentina Cibersegura.

Panamá

Por otro lado Raphael Labaca Castro, Especialista de Awareness & Research de ESET Latinoamérica; estará toda la semana en Panamá, y estará realizando la Gira Antivirus por el interior del país, visitando diversas sedes de la Universidad Tecnológica de Panamá, presentando la charla “Ataques informáticos: las armas del cibercrimen”. El cronograma con los horarios y ciudades donde estará Raphael es el sigiuente:

• Lunes 19, 18:00 hs., Sede Regional de Chiriquí.
• Martes 20, 10:00 hs., Sede Regional de Veraguas.
• Martes 20, 18:00 hs., Sede Regional de Azuero.
• Miércoles 21, 10:00 hs., Sede Regional de Coclé.
• Miércoles 21, 18:00 hs., Sede Principal de Panamá.

Recuerden que todas las actividades son gratuitas y tienen una duración de dos horas.

Finalmente, para terminar la semana Raphael estará presente el día jueves 22 en el ESET Security Day Panamá disertando sobre la fuga de información; y el mismo día a las 18:00 hs. cerrará la Gira Antivirus en la Universidad del Istmo.

Como verán, una nueva semana movida para la Gira Antivirus, donde también estaremos recibiendo a dos de los ganadores del Premio Universitario 2011, que estarán asistiendo a Buenos Aires para la Ekoparty.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
1 Comment »