Hola que tal amigos seguidores de SI3H C5IRT pues como siempre les traigo nuevas noticias sobre las nuevas amenazas informáticas en esta ocacion es sobre los virus híbridos pues como verán son el nuevo dolor de cabeza si de por si un simple virus es molesto se imaginaran una mutación no no no es mucho peor pero chequen este reportaje:
Los virus están infectado accidentalmente a diversos gusanos en los ordenadores de las víctimas, creando un malware híbrido que se puede propagar más rápidamente y lanzar ataques contra los sistemas, comprometer datos privados, información sobre cuentas bancarias, pérdida de dinero, robo de identidad y una oleada de spam lanzada desde su equipo, de una manera que ni siquiera se imaginarían los propios creadores de malware.
Ahora, silenciosamente el archivo infector accidentalmente parásita otra amenaza electrónica. Un virus infecta archivos ejecutables; y un gusano es un archivo ejecutable. Si el virus llega a una computadora ya comprometida por un gusano, el virus infecta los archivos .exe en esa computadora incluyendo al gusano. Cuando el gusano se propague, llevará el virus con él. Aunque esto ocurre accidentalmente, las características combinadas de ambas piezas de malware causan mucho más daño que los creadores de cualquier pieza de malware destinada.
Hace diez años, hubo una clara distinción entre troyanos, gusanos y virus. Todos tenían sus propias características específicas a una familia de malware solamente. Al haber más personas conectadas a internet, los delincuentes cibernéticos comenzaron mezclando ingredientes para maximizar el impacto. Y esto se refiere a troyanos con capacidades de gusano o virus con características de troyano y así sucesivamente.
Loredana Botezatu, analista de amenazas online de Bitdefender y autora del estudio sobre malware híbrido,comento que la llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente, y su comportamiento cada vez será más difícil de predecir.
Un análisis de Bitdefender encontró 40.000 ejemplares de este tipo de malware - al que han bautizado como "Frankenmalware" o "malware sandwiches" - en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.
Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile. Rimecud roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico, entre otras funciones. Virtob, por su parte, permite recibir órdenes de un atacante remoto, saltarse el cortafuegos, y asegurar su persistencia mediante la inyección de código en "Winlogon", un proceso crítico del sistema.
Algunas características de Win32.Worm.Rimecud
Win32.Worm.Rimecud es el típico gusano con el arte del estado del aparato de propagación. Para la propagación utiliza aplicaciones de uso compartido de archivos (Ares P2P, BearShare, iMesh, Shareaza. Kazaa, DC ++, eMule, LimeWire), dispositivos USB, Microsoft MSN Messenger (envía a todos los contactos vínculos de los sitios que alojan malware) y la red de unidades asignadas localmente. Una vez en el sistema, Rimecud inyecta su código en explorer.exe y roba contraseñas pertenecientes a e-banking, compras on-line, redes sociales o cuentas de correo electrónico desde Internet Explorer y Mozilla Firefox. Mientras tanto que su componente backdoor permite conectarse a la c & c servidores y comandos de búsqueda tales como inundaciones, descargar y ejecutar más malware en el equipo comprometido. Además de eso, el gusano busca un servidor VNC (software de control remoto) que permitiría al atacante acceso y control remoto de la computadora afectada.
Detalles acerca de Win32.Virtob
Los Laboratorios de BitDefender han visto recientemente adjunto al archivo infector al mencionado gusano – Win32.Virtob. Se conoce que este virus infecta archivos ejecutables con extensiones .exe o .scr colocando una pieza de código malicioso a dichos archivos. El gusano es un archivo ejecutable, lo más probable es que también fue infectado por el virus en el mismo equipo. Virtob, a continuación, indica a los archivos ejecutables comprometidos a ejecutar en primer lugar el código viral (cambiando el punto de entrada) y sólo después regresa el control al archivo original. Sin duda esto también se aplica al gusano – su código se ejecutará sólo después de que ha puesto en marcha el código del virus. Cuando el código se carga correctamente en la memoria, Virtob se conecta a dos servidores IRC que son en realidad c & c servidores, y con la ayuda de su componente puerta trasera (backdoor), el virus está listo para recibir comandos de un atacante remoto a través de Internet.
“Ahora, imaginemos estas dos piezas de malware trabajando juntas - voluntariamente o no en el mismo sistema,” señala Botezatu, que añade: “Ese PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones: además, hay dos puertas traseras abiertas, dos técnicas de ataque activo y varios métodos de propagación. Cuando uno falla, el otro tiene éxito”.
Múltiples infecciones posibles de Frankenware:
Si, por una mala suerte, el equipo tiene más de un gusano que se aplica a las especificaciones de virus, el virus podría infectar a más de un gusano en el sistema. Sin embargo, el virus puede infectar así sólo los archivos ejecutables en determinadas ubicaciones en el sistema, o de una determinada longitud. Otro virus busca ciertas cadenas que pertenecen a otras piezas de malware que permanecerán no infectadas si se encuentran en el sistema comprometido. Así, un gusano puede ser infectado mientras que otros en el mismo sistema no.
Si uno de los dos (si el virus o el gusano) es atrapado por la solución antivirus, la otra podría pasar desapercibida. Tal vez si pensamos en un archivo infectado (posiblemente el virus) que debe ser analizado por separado y un pedazo de código es sacado y estudiado, quizás entonces alguien descubra también el gusano. Si se detecta el gusano basado en una firma, el gusano es simplemente borrado del sistema comprometido, sin ningún análisis adicional. Esto haría más fácil que el virus pase invisible. No hay ninguna regla.
Dos escenarios hipotéticos:
Escenario Nº 1:
Imaginar un gusano como Downadup, que se ha estado difundiendo constantemente alrededor del mundo desde hace tres años (70.000 sistemas infectados en los últimos seis meses), empieza a ser infectado con un virus. Por un lado, Downadup evita que el sistema actualice el sistema operativo y la solución de antivirus instalados localmente; y por otro lado el virus puede tener capacidades de rootkit y abrir una puerta trasera. Downadup se propaga alrededor del mundo constantemente, lo que lo convierte en una herramienta de gran propagación; sin mencionar que tomó a las casas antivirus más de medio año y casi un millón infecciones, para descubrirlo. Si a este lo habría cargado un virus, todos los usuarios habrían sufrido un daño mayor. Y la desinfección sería más complicada.
Escenario Nº 2:
Imaginar que un gusano es infectado por un agente de contagio de archivo (virus). Y un antivirus detecta la infección de los archivos primero e intenta desinfectar los archivos, que incluyen al gusano. En algunos casos raros, la desinfección de archivos comprometidos deja archivos limpios que son al mismo tiempo alterados (no idénticos al original). Mantienen su funcionalidad, pero son ligeramente distintos en forma. Como la mayoría de los archivos es detectado según las firmas y no basándose en su comportamiento (heurísticamente), un gusano modificado (desinfectado junto con otros archivos que han sido comprometidos por un agente de contagio de archivos y desinfectados por un antivirus) no puede ser capturado ya por la firma que se aplican al archivo original (que ha sido modificado después de la desinfección). La desinfección puede llevar así a una mutación que realmente puede ayudar el gusano.
Fuentes: Seguridad PC- Tendencia Digital
0 comentarios:
Publicar un comentario