Trend Micro informó sobre la detección de un nuevo y peligroso ataque de virus que mostraba comportamientos similares al famoso Conficker/DOWNAD. Denominado LICAT, desde su descubrimiento TrendLabs ha analizando esta amenaza y comparte hallazgos significativos.
Se ha realizado un estudio exhaustivo del denominado “Archivo original de infección” (“Mother File Infector” en inglés). Éste adquiere su nombre al ser el primero en generar una infección. Se trata de un caso un tanto especial porque no es un archivo infectado en sí mismo, sino que es similar a un hipotético virus biológico artificial que sale del laboratorio y está listo para infectar a otros organismos.
Curiosamente, el archivo original envenenado al parecer prepara los sistemas de sus víctimas para una posterior infección de ZeuS.
Mientras algunos detalles están todavía por confirmar, TrendLabs ha establecido que PE_LICAT.A parece actuar como una auto-actualización o tapadera para propagar ZeuS, el ya conocido virus que es utilizado para robar información y datos en banca online.
Esto se convierte en algo muy preocupante para los usuarios, dado que su relación con ZeuS se combina con la técnica de generación de dominios pseudoaleatorios y archivos envenenados (un tipo de malware que puede ser muy difícil de eliminar).
A continuación, explicamos de forma breve cada uno de estos elementos:
1 – ZeuS, el malware resultante siguiendo la exitosa infección de PE_LICAT.A
ZeuS es un conocido ladrón de datos de banca online que recientemente, ha acaparado gran atención tras producirse la detención de alrededor de un centenar de personas que estaban relacionadas con él. Si bien los arrestos son muy importantes y deben ser aplaudidos, estos, lamentablemente, no han eliminado la amenaza que ZeuS plantea. Los kits de herramientas de crimeware (software específicamente diseñado para la ejecución de delitos financieros en entornos on-line) se encuentran disponibles de forma clandestina por cerca de 8.000 dólares, pero también existen copias que pueden adquirirse de forma gratuita.
2 – Generación de dominios pseudoaleatorios como Conficker/DOWNAD
Esta técnica fue la primera utilizada por Conficker (Aka: DOWNAD). LICAT genera una lista de nombres de dominios desde los cuales se descargan otros archivos maliciosos. La función de generación del nombre de dominio se basa en una función aleatoria, que es computada desde el sistema UTC (Coordinated Universal Time) de fecha y hora. Esta particular función aleatoria reenvía diferentes resultados cada minuto.
3 – LICAT, el archivo envenenado. Los archivos envenenados pueden ser muy difíciles de limpiar por dos razones. Dependiendo del lugar donde el agente de infección inserta el código en el host de archivos, éste puede ser añadido inmediatamente o esperar días para buscar aéujeros (cavity PE infectors. Ésta es una técnica utilizada por algunos tipos de virus y gusanos con el fin de dificultar su rastreo y localización, pues consiguen no variar el tamaño de los ficheros infectados, ya que sólo utilizan las cavidades del fichero afectado).
En segundo lugar, puede resultar más difícil su eliminación en función de cómo toma el control una vez que el host de archivos es ejecutado. Los criminales pueden optar, por ejemplo, por alterar algún código, cambiar la programación de las APIs de Windows, o emplear otros métodos. En la industria de seguridad, éstas sucias técnicas a veces se conocen como EPO (Ocultar el Punto de Entrada o Entry Point Obscuring, por sus siglas en inglés). Ésta, es una técnica para infectar programas mediante la cual un virus intenta esconder su punto de entrada para evitar así ser detectado. El virus, en vez de hacerse con el control y realizar sus acciones al principio de la utilización del programa, lo que hace es permitir el funcionamiento correcto de éste hasta un cierto momento en el que comienza a actuar.
Para más información y un análisis detallado de la amenaza, por favor, visite: http://blog.trendmicro.com/links-between-pe_licat-and-zeus-confirmed/
