Variante de Zeus obstaculiza su análisis, cuenta con capacidades de rootkit
Como era de esperar, las variantes del troyano bancario Zeus son cada vez más hábiles para ocultar su presencia a los usuarios y a los antivirus, con el fin de evadir a las herramientas de análisis de malware cuando éstos los examinan.
Como se informó en diciembre, algunas variantes de Zeus ahora están equipados con una versión de 64 bits del software malicioso que contiene, el cual se ejecuta en los objetivos que prefieren un navegador de 64 bits. También tiene un componente de TOR que ejecuta un cliente TOR como un servicio oculto que informa al Command and Control (C&C), actuando también como un servidor, permitiendo a los bot masters acceder a la computadora de la víctima y ejecutar código malicioso.
Pero la noticia más relevante es la mejora de las técnicas de evasión. Investigadores de Trend Micro han descubierto una nueva variante que, además de lo mencionado, es capaz de impedir la ejecución de herramientas de análisis populares como OllyDbg, WinHex, StudPE, ProcDump y otras.
Cuenta con capacidades de un rootkit y es capaz de ocultar los archivos y carpetas que infecta (el explorador de archivos de Windows no los muestra), procesos que inicia, así como las llaves de registro que crea. Según los investigadores, algunos de estos archivos y carpetas se pueden detectar y eliminar a través del modo seguro de Windows. “Esta versión de 64 bits para ZeuS/ZBOT es una progresión esperada para el malware, sobre todo después de que el código fuente de Zeus se filtró de nuevo en 2011″, anotaron los investigadores. “Desde entonces, hemos visto varias reencarnaciones del malware, sobre todo en forma de KINS y su implicación con otros tipos de malware, como Cryptolocker y UPATRE, en donde se han agregado otras funcionalidades tales como las capacidades de un rootkit y el uso de un componente de TOR, una prueba más de que podemos ver más modificaciones en el futuro, sobre todo las que ayuden a eludir o retrasar los esfuerzos antimalware”.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.