Antivirus de Corea del Norte incluye malware misterioso

02/05/2018

Se ha revelado que el antivirus de Corea del Norte está basado en una aplicación de hace 10 años hecha por Trend Micro, pero con extravagancias adicionales.

Así lo dice Check Point, a quien se le envió una copia de la aplicación "SiliVaccine" y después del análisis, declaró que contenía "grandes fragmentos del código del motor antivirus de más de 10 años perteneciente a Trend Micro".

Trend Micro ha confirmado ese análisis.

Curiosamente, Check Point alega que SiliVaccine ha incluido en su lista blanca una firma de virus que los productos de Trend Micro podrían detectar. No es difícil adivinar por qué el gobierno de Corea del Norte quiere software que no detecte algunos virus: una dictadura totalitaria solo puede sustentarse con una vigilancia generalizada y al dejar una puerta trasera que permita que los virus entren faciliten precisamente eso.

El análisis de SiliVaccine realizado por Check Point encontró otras rarezas, como el uso de Themida y Unopix, herramientas de "empaquetado" comúnmente usadas para dificultar la ingeniería inversa. Como SiliVaccine no tiene competidores legales conocidos en el reino ermitaño, la necesidad de tales precauciones no es obvia. También hay un esquema de cifrado de fabricación casera basado en SHA1 para proteger las firmas de virus, pero con una clave simple y fácil de encontrar que se traduce del coreano como "cifrado de patrones".

Gran parte del código de la herramienta es intrincado, hay una función que enumera los nombres de los archivos maliciosos sin razón aparente y un controlador con un nombre que sugiere una función pero que en realidad hace otra. Y lo hace mal.

Check Point recibió el software del periodista independiente Martyn Williams, quien envió lo que se descbribió como un instalador, pero en realidad era un archivo WinRAR autoextraíble. Dichos archivos son .exes y descomponen sus contenidos sin requerir un programa de extracción. El archivo que contenía SiliVaccine ofrecía un instalador para la aplicación más un parche que resultó ser un instalador para el malware JAKU.

Check Point señala que "la atribución es siempre una tarea difícil en la ciberseguridad" y, por lo tanto, no fijará las rarezas de la aplicación en el gobierno de Corea del Norte. Pero sus investigadores se sintieron seguros al decir: "Lo que está claro, sin embargo, son las prácticas confusas y los objetivos cuestionables de los creadores y patrocinadores de SiliVaccine".

Artículos relacionados: