Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Prueba de un clic detecta infecciones de Gameover Zeus
Investigadores de F-Secure crearon un sitio web para conocer si los equipos están infectados con el malware troyano Gameover Zeus.
Símplemente visitando una página web, los usuarios pueden saber si su equipo ha sido infectado con Gameover Zeus, un sofisticado troyano de banca en línea que varias organizaciones de justicia lograron interrumpir temporalmente la semana pasada.
La prueba de un sólo clic fue desarrollada por los investigadores de seguridad de F-Secure, tomando ventaja del agresivo algoritmo de coincidencia de URL que tiene malware.
Gameover Zeus monitorea e inyecta código en sesiones de navegación web cuando los usuarios acceden a servicios bancarios y otros populares sitios web desde equipos infectados. Los sitios elegidos son determinados por las expresiones regulares basadas en reglas que figuran en el archivo de configuración del malware.
Por ejemplo, para robar las credenciales de acceso para Amazon.com u otros sitios web de Amazon, el malware monitorea si las direcciones URL a las que se accede en el navegador coinciden con la siguiente expresión regular: http.*-://.*-amazon..*-/.*-. Sin embargo, esta expresión regular detecta no sólo los sitios de Amazon, sino cualquier URL que tiene "amazon", incluyendo https://www.f-secure.com/amazon.com/index.html.
"Podemos engañar al bot Gameover y hacer una prueba sencilla para ver si existe una infección en el navegador" dijo Antti Tikkanen, Director de Respuesta de Seguridad de F-Secure en un blog el lunes pasado.
Al visitar la página de prueba de F-Secure desde un equipo infectado por Gameover, se forzará al malware a inyectar su código malicioso en ella, entonces, la página realizará un control sobre sí misma para detectar si se ha añadido código Gameover.
"Buscamos la cadena 'LoadInjectScript'", dijo Tikkanen. "Si la cadena se encuentra en la página, sabemos que Gameover Zeus ha infectado tu navegador."
Sin embargo la prueba no es perfecta, debido a que el malware no soporta navegadores de 64 bits nativos, visitar la página de F-Secure desde un navegador como este no detectará la infección. Por lo tanto, se les recomienda a los usuarios realizar la prueba con una versión de 32 bits de Internet Explorer, Google Chrome o Mozilla Firefox.
F-Secure también proporciona una herramienta online gratuita que es capaz de detectar y eliminar la amenaza.
