Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Variante de Zeus obstaculiza su análisis, cuenta con capacidades de rootkit
Como era de esperarse, las variantes del troyano bancario Zeus son cada vez más hábiles para ocultar su presencia a los usuarios y a los antivirus, con el fin de evadir a las herramientas de análisis de malware cuando éstos los examinan.
Como se informó en diciembre, algunas variantes de Zeus ahora están equipados con una versión de 64 bits del software malicioso que contiene, el cual se ejecuta en los objetivos que prefieren un navegador de 64 bits. También tiene un componente de TOR que ejecuta un cliente TOR como un servicio oculto que informa al Command and Control (C&C), actuando también como un servidor, permitiendo a los bot masters acceder a la computadora de la víctima y ejecutar código malicioso.
Pero la noticia más relevante es la mejora de las técnicas de evasión. Investigadores de Trend Micro han descubierto una nueva variante que, además de lo mencionado, es capaz de impedir la ejecución de herramientas de análisis populares como OllyDbg, WinHex, StudPE, ProcDump y otras.
Cuenta con capacidades de un rootkit y es capaz de ocultar los archivos y carpetas que infecta (el explorador de archivos de Windows no los muestra), procesos que inicia, así como las llaves de registro que crea. Según los investigadores, algunos de estos archivos y carpetas se pueden detectar y eliminar a través del modo seguro de Windows.
"Esta versión de 64 bits para ZeuS/ZBOT es una progresión esperada para el malware, sobre todo después de que el código fuente de Zeus se filtró de nuevo en 2011", anotaron los investigadores.
"Desde entonces, hemos visto varias reencarnaciones del malware, sobre todo en forma de KINS y su implicación con otros tipos de malware, como Cryptolocker y UPATRE, en donde se han agregado otras funcionalidades tales como las capacidades de un rootkit y el uso de un componente de TOR, una prueba más de que podemos ver más modificaciones en el futuro, sobre todo las que ayuden a eludir o retrasar los esfuerzos antimalware".
