Los autores de malware están utilizando los números únicos de productos de Windows para generar valores de exclusión mutua (mutex) para evadir a investigadores, dijo Lenny Zeltser de SANS security.

Los valores de exclusión mutua son usados como una referencia precisa para determinar si múltiples procesos idénticos se están ejecutando. Incluso el malware de robo de tarjetas de crédito conocido como BackOff, ha usado mutex en los últimos años, proporcionando a los investigadores un medio para determinar la infección del sistema.

Ahora, un nuevo troyano llamado TreasureHunter ha surgido y utiliza valores dinámicos en lugar de mutex para evitar que los cuerpos de seguridad empleen los números como indicadores de compromiso. Zeltser dice que el uso de ID de productos Windows generan los valores únicos.

"Los autores de malware que deseen emplear objetos de exclusión mutua necesitan una manera predecible de nombrar a dichos objetos, por lo que varias instancias de los códigos maliciosos que se ejecutan en el host infectado pueden referirse a la misma exclusión mutua," comentó Zeltser en una publicación del SANS.

"Una forma típica de lograr esto ha sido codificando el nombre de la exclusión mutua. El autor de TreasureHunter decidió utilizar un enfoque más sofisticado del que deriva el nombre de la exclusión basado en la identificación del producto del sistema."

"Esto ayudó en la muestra para evadir la detección en situaciones donde los equipos de respuesta a incidentes o las herramientas antimalware intentaron usar un nombre de objeto estático como el indicador de compromiso."

Zeltser mencionó que TreasureHunter utiliza código para leer ubicaciones del registro incluyendo HKLM\SOFTWARE\Microsoft \Windows NT\CurrentVersion\DigitalProductId para encontrar el ID de Windows.

Esto adaptó el ID a un formato que genera un nombre mutex utilizando un algoritmo determinista que, según Zeltser, "no se cuenta con la paciencia ni con los motivos suficientes para aplicar i".

El investigador indica que la mayoría del malware no utiliza valores hardcore estáticos de exclusión mutua ya que limitaban su uso a marcador de infección. "El intento de inmunizar a los sistemas usando mutex, es demasiado simplista para la mayoría de los casos. Muchas muestras de malware no utilizan marcadores de infección en absoluto o generan sus valores de forma dinámica, en lugar de hardcoding ellos emplean el programa malicioso".

Sin embargo la exclusión mutua podría ser útil como un nivel adicional de detección de malware, especialmente en la asignación de los marcadores generados con los programas antes de la ejecución. Estos marcadores podrían ser comprobados contra una base de datos en el caso de que un antivirus no pueda determinar si un programa es malicioso.