El trabajo realizado por el Laboratorio de ESET Latinoamérica para el artículo “Dorkbot: conquistando Latinoamérica” analizó en detalles los principales factores que llevaron a este código malicioso a una propagación masiva en la región. La firma con mayor nivel de detecciones es Win32/Dorkbot.D representa el 55,58% del total, y se corresponde con la técnica utilizada principalmente para infectar a un sistema con Win32/Dorkbot.B. Veamos en detalle qué es lo que hacen para engañar al usuario.

Como comenta el artículo, durante la segunda parte del 2011 Dorkbot se posicionó como el código malicioso más importante de la región. Esta amenaza que al infectar un equipo lo convierte en parte de una botnet controlada a través del protocolo IRC (Internet Relay Chat), le permite al atacante realizar acciones tales como:

• Robo de credenciales de sitios web como Gmail y Hotmail.
• Ataques de denegación de servicio.
• Bloqueo de direcciones IP.
• Descarga y ejecución de otros códigos maliciosos.
• Inyección de código en páginas web.
• Propagación a través de redes sociales y mensajeros instantáneos, por ejemplo el chat de Facebook y Windows Live Messenger.
• Redirección de tráfico web para la realización de ataques de phishing.

La variante Win32/Dorkbot.D refiere utilización de accesos directos para engañar a los usuarios es uno de los métodos más eficaces para infectar un sistema desprotegido. Es por ello que la firma de esta variante detecta directamente los archivos LNK que contienen en su interior otras variantes de Dorkbot. Cuando una memoria USB se conecta a un equipo infectado con este gusano, las propiedades de los archivos y carpetas son modificadas y se ocultan como archivos del sistema.

Cuando el usuario hace doble clic sobre el acceso directo para abrir la carpeta, se ejecuta el código malicioso y luego se abre una nueva sesión del Explorador de Windows en donde se muestra su contenido. De esta manera, Dorkbot intenta pasar desapercibido y, si el equipo no está protegido eficientemente por un antivirus, el mismo será infectado. La cadena que se almacena en los accesos directos y permite la ejecución del código malicioso es similar a:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\<nombre_malware>.exe &&%windir%\explorer.exe %cd%Carpeta

Si se cambian las Opciones de carpeta para poder ver los archivos ocultos y del sistema, es posible encontrar la información que se escondío ante los ojos de un usuario desprovisto de una solución de seguridad como ESET NOD32 Antivirus. Esta técnica remarca la importancia de contar con un antivirus que analice los dispositivos de almacenamiento extraíbles que se conectan al equipo. En la siguiente imagen se puede observar cómo queda una memoria USB infectada con esta amenaza:

Además de esta técnica de infección, Dorkbot se propaga a través de redes sociales y mensajeros instantáneos. Una de las funcionalidades que agregó la variante B respecto de Win32/Dorkbot.A es la posibilidad de utilizar el chat de Facebook como un canal de distribución de esta amenaza medainte Ingeniería Social. Durante el seguimiento de una campaña activa en América Latina el administrador de la botnet ha utilizado temáticas que incluyen fotos de la cantante Jennifer Lopez, al presidente venezolano Hugo Chávez, un accidente automovilístico de Lionel Messi y fotografías del naufragio del crucero en la costa italiana.

Los invitamos a leer el artículo completo para conocer cuáles son los riesgos y las actividades maliciosas de esta familia de malware y cuál es el impacto que esta amenaza tiene en la región.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware
2 Comments »

Desde hace un tiempo Latinoamérica está siendo afectada cada vez en mayor medida por la botnet Volk. En esta oportunidad realizaremos un análisis más profundo de la amenaza a fin de mostrar todas las capacidades y peligrosidad que posee. Como se mencionó anteriormente en este  blog en post relacionados Facebook, troyanos y botnets y San Valentín se acerca con troyano como postal de amor, esta botnet utiliza Ingeniería Social para propagarse y su objetivo principal es el robo de credenciales bancarias. Con este post mostraremos como es que se realiza el robo de credenciales y también hablaremos de otras capacidades adicionales que esta botnet puede realizar. En esta oportunidad analizaremos un archivo malicioso perteneciente a la botnet Volk el cual es detectado por ESET NOD32 Antivirus como Win32/KlovBot.D troyano.

Esta botnet tiene diferentes funcionalidades las cuales son explotadas dependiendo de la variante de la amenaza. Algunas de las actividades maliciosas que puede realizar son:

• Robo de usuarios y contraseñas de servidores FTP y de MSN almacenados en el equipo infectado.
• Ataques de denegación de servicio distribuido (DDOS).
• Modificación y actualización del archivo hosts.txt (Pharming local) para realizar diferentes ataques de phishing.

A continuación se observa el panel de configuración de la botnet donde se detallan todas estas funcionalidades:

Ver más… »

Categories: Análisis de malware, Botnet
No Comments »

Hace unos días, compartimos con ustedes parte del informe realizado por investigadores de ESET acerca del crecimiento y la evolución de los bootkit durante el 2011. Hoy vamos a hablar acerca de algunas de las técnicas utilizadas por estos códigos maliciosos para ocultar información dentro del sistema. Repasaremos cómo hacen amenazas como TDL4, Olmasco y ZeroAccess para ocultar su actividad en un sistema infectado mediante la implementación de un sistema de archivos propio, evitando utilizar los servicios del sistema operativo y dificultar su detección.

Sistema de archivos de TDL4

Detectado por ESET NOD32 Antivirus como Win32/Olmarik, el sucesor de TDL3 y TDL3+ esta familia de códigos maliciosos utiliza técnicas de sus predecesores en cuanto al almacenamiento de su información. Mediante la protección con un cifrado RC4 y la utilización de hooks de bajo nivel,  reserva espacio al final del disco duro en dónde crea su propio sistema de archivos. Un análisis detallado de este código malicioso se puede encontrar en el trabajo de investigación realizado por Eugene Rodionov y Aleksandr Matrosov: “The Evolution of TDL: Conquering x64“.

Sistema de archivos de Win32/Olmasco

Los desarrollares de esta amenaza fueron más lejos en el diseño y los detalles de implementación del sistema de archivos oculto. El sistema de archivos de Olmasco, se asemeja al esquema utilizado por TDL4 pero cuenta además con otras funcionalidades:

• Un esquema de soporte para la organización de archivos y carpetas.
• Verificación de integridad de archivos para corroborar si los componentes están dañados.
• Mejor gestión de las estructuras internas del sistema de archivos.

A diferencia de la implementación de TDL4, que solo puede almacenar archivos, las capacidades de Win32/Olmasco le permiten organizar la información en carpetas y directorios. El directorio raíz se denota con una contra barra (backslash “\”), igual que en los sistemas de Microsoft.

Por ejemplo, si se observa a la VBR (Volume Boot Record) de la partición oculta creada por Win32/Olmasco, el código de esta amenaza carga un archivo con el nombre boot desde el directorio raíz.

Ver más… »

Categories: Análisis de malware, Malware
1 Comment »

Desde nuestro Partner Autorizado Habeas Data (HD) México, nos llegó al laboratorio una muestra que se clasifica dentro de los códigos maliciosos tipo rogue, es decir, programas que reportan infecciones o problemas inexistentes a cambio que el usuario adquiera una licencia.

Para lograr que la persona acceda a comprar el software, los ciberdelincuentes emplean una táctica conocida como scareware, la que consiste en amedrentar a la víctima con amenazas falsas como que si no compra determinado programa, perderá toda su información, o exagerando de forma desmedida, reportes de infección o problemas en general.

En este caso se trata de XP Antispyware 2012, un supuesto programa anti espía que ofrece funcionalidades extras como cortafuego personal y un módulo de protección proactiva. Cuando es instalado, finge realizar un análisis al sistema en el que muestra varias amenazas detectadas, de las cuales todas son inexistentes o falsos positivos. Para proteger a nuestros usuarios, ESET NOD32 Antivirus detecta de forma genérica esta amenaza como una variante de Win32/Kryptik.YGH.

Ver más… »

Categories: Análisis de malware, Rogue
1 Comment »

En nuestro blog ya se ha tratado el tema del análisis dinámico, procedimiento que nos resulta útil para conocer el comportamiento de un determinado código malicioso en un sistema que por lo general, es un entorno virtual.

En este caso analizamos un gusano recibido por nuestro Distribuidor Exclusivo para Perú, Startlabs. Tras el análisis de la muestra por parte de nuestro laboratorio,  ESET NOD32 Antivirus detecta esta amenaza como Win32/AutoRun.VB.UG Gusano.

Cuando este es ejecutado, busca algunos procesos de programas que se encuentren en ejecución para terminarlos y no permitir que se vuelvan a iniciar. Dentro de esta lista, se encuentran programas antivirus y utilidades que sirven para realizar análisis dinámicos de muestras, entre otras funciones. Algunos de los archivos que finaliza son Process Monitor, Process Explorer y Sandboxie.

Para dificultar su remoción, desactiva algunas funciones de Windows como el comando ejecutar. También imposibilita abrir el Administrador de Tareas, no permite cambiar las distintas opciones de carpeta, como poder mostrar archivos cuyos atributos sean oculto o de sistema, ni tampoco ver la extensión del fichero en el nombre del mismo.

Pese a que Win32/AutoRun.VB.UG permite su ejecución en máquinas virtuales, este no se ejecuta y muestra varios errores hasta llenar el escritorio de mensajes si es abierto mediante un programa del tipo sandbox. Esta categoría de software permite aislar del sistema anfitrión las diferentes acciones que pueda llevar a cabo una determinada amenaza. Esta operación representa una dificultad más para determinar el comportamiento de la muestra.

Ver más… »

Categories: Análisis de malware, Malware
No Comments »