Conficker + Archivos envenados + Zeus= LICAT

Por Iberia Marketing Team

Conficker + Archivos envenados + Zeus= LICAT

  • Gracias a Trend Micro Smart Protection Network ya se han evitado más de 40.000 casos de infección por LICAT.

  • Estados Unidos encabeza la lista de países afectados por esta amenaza, con 15.000 casos registrados, seguido de Noruega e Italia con 9.000 y 2.100 ataques, respectivamente.

Trend Micro, a través de su equipo de investigación, TrendLabs, ha publicado recientemente un comunicado en el que informaba de la detección de un nuevo y peligroso ataque de un virus que mostraba comportamientos similares al famoso Conficker/DOWNAD. Denominado LICAT, desde su descubrimiento TrendLabs ha continuado analizando esta amenaza y ha realizado hallazgos significativos.

Así, se ha realizado un estudio exhaustivo del denominado “Archivo original de infección” (“Mother File Infector” en inglés). Éste adquiere su nombre al ser el primero en generar una infección. Se trata de un caso un tanto especial porque no es un archivo infectado en sí mismo,  sino que es similar a un hipotético virus biológico artificial que sale del laboratorio y está listo para infectar a otros organismos.

Curiosamente, el archivo original envenenado (parece ser) prepara los sistemas de sus víctimas para una posterior infección de ZeuS.

Mientras algunos detalles están todavía por confirmar, TrendLabs ha establecido que PE_LICAT.A parece actuar como una auto-actualización o tapadera para propagar ZeuS, el tristemente conocido virus utilizado para robar información y datos en la banca online.

Esto se convierte en algo muy preocupante para los usuarios, dado que su relación con ZeuS se combina con la técnica de generación de dominios pseudoaleatorios y archivos envenenados (un tipo de malware que puede ser muy difícil de eliminar).

A continuación, explicamos de forma breve cada uno de estos elementos:

1 – ZeuS, el malware resultante siguiendo la exitosa infección de PE_LICAT.A

ZeuS es un conocido ladrón de datos de banca online que recientemente, ha acaparado gran atención en los medios tras producirse la detención de alrededor de un centenar de personas que estaban relacionadas con él. Si bien los arrestos son muy importantes y deben ser aplaudidos, estos, lamentablemente, no han eliminado la amenaza que ZeuS plantea. Los kits de herramientas de crimeware (software específicamente diseñado para la ejecución de delitos financieros en entornos on-line) se encuentran disponibles de forma clandestina por cerca de 8.000 dólares, pero también existen copias que pueden adquirirse de forma gratuita.

2 – Generación de dominios pseudoaleatorios como Conficker/DOWNAD

Esta técnica fue la primera utilizada por Conficker (Aka: DOWNAD).  LICAT genera una lista de nombres de dominios desde los cuales se descargan otros archivos maliciosos. La función de generación del nombre de dominio se basa en una función aleatoria, que es computada desde el sistema UTC (Coordinated Universal Time) de fecha y hora. Esta particular función aleatoria reenvía diferentes resultados cada minuto.

3 – LICAT, el archivo envenenado. Los archivos envenenados pueden ser muy difíciles de limpiar por dos razones. Dependiendo del lugar donde el agente de infección inserta el código en el host de archivos, éste puede ser añadido inmediatamente o esperar días para buscar agujeros (cavity PE infectors. Ésta es una técnica utilizada por algunos tipos de virus y gusanos con el fin de dificultar su rastreo y localización, pues consiguen no variar el tamaño de los ficheros infectados, ya que sólo utilizan las cavidades del fichero afectado). En segundo lugar, puede resultar más difícil su eliminación en función de cómo toma el control una vez que el host de archivos es ejecutado. Los criminales pueden optar, por ejemplo, por alterar algún código, cambiar la programación de las APIs de Windows, o emplear otros métodos. En la industria de seguridad, estas sucias técnicas a veces se conocen como EPO (Ocultar el Punto de Entrada o Entry Point Obscuring, por sus siglas en inglés). Ésta, es una técnica para infectar programas mediante la cual un virus intenta esconder su punto de entrada para evitar así ser detectado. El virus, en vez de hacerse con el control y realizar sus acciones al principio de la utilización del programa, lo que hace es permitir el funcionamiento correcto de éste hasta un cierto momento en el que comienza a actuar.

A las 48 horas de descubrirse el ataque, Trend Micro a través de su tecnología Smart Protection Network, había logrado evitar más de 40.000 casos de infección por esta amenaza entre sus clientes. La gran mayoría de amenazas bloqueadas se han producido en Estados Unidos, donde se han registrado alrededor de 15.000 casos. Noruega e Italia le siguen en segundo y tercer lugar, con 9.000 y 2.100 detecciones, respectivamente.

Para más información y un análisis detallado de la amenaza, por favor, visite: http://blog.trendmicro.com/links-between-pe_licat-and-zeus-confirmed/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>