La evolución de los antiguos ZBOTs

¿Quién dijo que el malware «antiguo» no podía evolucionar? Recientemente lanzamos un artículo acerca de cómo ZBOT había regresado a comienzos del 2013. Muchos medios de comunicación se hicieron eco de la noticia. A través de Facebook, este malware se conseguía propagar. Ahora, nuestros laboratorios han encontrado una nueva variante de ZBOT que puede propagarse por sí sola.

Esta particular variante de ZBOT llega a través de un fichero malicioso PDF, simulando una factura. Si el usuario abre el fichero utilizando Acrobat Reader, se lanza un exploit que causa la aparición dle siguiente popup:

zbot1Mientras que este popup aparece, la variante maliciosa de ZBOT – WORM_ZBOT.GJ– se introduce en el sistema y se ejecuta.

WORM_ZBOT.GJ tiene una rutina de autoupdate: puede descargar y ejecutar una copia de si mismo. Otra manera de propagarse a otros sistemas, es a través de dispositivos extraíbles como discos USB. Consigue hacer estas tareas buscando discos extraibles y después creando una carpeta oculta con una copia de sí mismo dentro de esta carpeta; y un acceso directo que apunta a la copia oculta de ZBOT.

worm-zbot-BD-JPEGEste tipo de propagación de ZBOT es inusual. Normalmente ZBOT se propaga a través de kits de exploits o adjuntos maliciosos. Este tipo de comportamiento de ZBOT no es algo a lo que estemos acostumbrados y puede significar una evolución del cibercrímen en este camino (la autopropagación de malware «antiguo»). Sin embargo, este comportamiento está en línea con las predicciones que hicimos para el 2013, en las cuales afirmábamos que las antiguas amenazas continuarían teniendo presencia en el 2013 aunque de forma más sofisticada y refinada. Ahora este malware es mucho más efectivo que en el pasado-

Estas amenazas son algunos de los cambios/evoluciones en el panorama del cibercrímen Con anterioridad documentamos estos cambios en nuestro documento The Crimeware Evolution.

En su día, Conficker/DOWNAD, utilizó técnicas similares a estas para propabarse de forma eficiente y todavía sigue siendo una amenaza Top Ten en América y Caribe, a pesar de que tiene una antigüedad considerable.

Tredn Micro detecta WORM_ZBOT.CJ y bloquea los sitios web relacionados con esta amenaza. Proporcionaremos información adicional si es necesario para continuar protegiendo y mejorando la seguridad de nuestros usuarios.

 

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.