Nuevos ejemplares de malware se transforman en diferentes formas sin ninguna atención por los seres humanos. Hace diez años, hubo una clara distinción entre troyanos, gusanos y virus. Todos tenían sus propias características específicas a una familia de malware solamente. Al haber más personas conectadas a internet, los delincuentes cibernéticos comenzaron mezclando ingredientes para maximizar el impacto. Y esto se refiere a troyanos con capacidades de gusano o virus con características de troyano y así sucesivamente.

Ahora, silenciosamente ha surgido otra “práctica”: el archivo infector accidentalmente parásita otra amenaza electrónica. Un virus infecta archivos ejecutables; y un gusano es un archivo ejecutable. Si el virus llega a una computadora ya comprometida por un gusano, el virus infecta los archivos .exe en esa computadora – incluyendo al gusano. Cuando el gusano se propague, llevará el virus con él. Aunque esto ocurre accidentalmente, las características combinadas de ambas piezas de malware causan mucho más daño que los creadores de cualquier pieza de malware destinada.

Mientras que la mayoría de los infectores de archivos tienen mecanismos de propagación intrínseca, como troyanos y gusanos (difusión de rutinas de RDP, USB, P2P, aplicaciones de chat o redes sociales), algunos no se pueden replicar o difundir entre equipos. Y parece una gran idea “externalizar” el mecanismo de transporte para una pieza diferente de malware (es decir, por piggybacking es un gusano).

Es muy probable que estos Frankenmalware, o “sandwiches de malware”, se producen espontáneamente. Realmente el virus infecta por error otra pieza de malware y termina usando sus capacidades de propagación. El Laboratorio de Antimalware de BitDefender había identificado no menos de 40.000 de esas simbiosis de malware de un grupo de muestra de 10 millones de archivos. Uno de esos casos es el agente de contagio de archivo Virtob, cuyo código malicioso se ha encontrado infectando gusanos como OnlineGames, la antigua Mydoom o el más avanzado troyano puerta trasera Bifrose.

De las numerosas muestras de gusanos infectados por virus, han recogido la Win32.Worm.Rimecud-Win32.Virtob pair.

Unas palabras acerca de Win32.Worm.Rimecud

Win32.Worm.Rimecud es el típico gusano con el arte del estado del aparato de propagación. Para la propagación utiliza aplicaciones de uso compartido de archivos (Ares P2P, BearShare, iMesh, Shareaza. Kazaa, DC ++, eMule, LimeWire), dispositivos USB, Microsoft MSN Messenger (envía a todos los contactos vínculos de los sitios que alojan malware) y la red de unidades asignadas localmente. Una vez en el sistema, Rimecud inyecta su código en explorer.exe y roba contraseñas pertenecientes a e-banking, compras on-line, redes sociales o cuentas de correo electrónico desde Internet Explorer y Mozilla Firefox. Mientras tanto que su componente backdoor permite conectarse a la c & c servidores y comandos de búsqueda tales como inundaciones, descargar y ejecutar más malware en el equipo comprometido. Además de eso, el gusano busca un servidor VNC (software de control remoto) que permitiría al atacante acceso y control remoto de la computadora afectada.

Ciertos detalles acerca de Win32.Virtob

Los Laboratorios de BitDefender han visto recientemente adjunto al archivo infector al mencionado gusano – Win32.Virtob. Se conoce que este virus infecta archivos ejecutables con extensiones .exe o .scr colocando una pieza de código malicioso a dichos archivos. El gusano es un archivo ejecutable, lo más probable es que también fue infectado por el virus en el mismo equipo. Virtob, a continuación, indica a los archivos ejecutables comprometidos a ejecutar en primer lugar el código viral (cambiando el punto de entrada) y sólo después regresa el control al archivo original. Sin duda esto también se aplica al gusano – su código se ejecutará sólo después de que ha puesto en marcha el código del virus. Cuando el código se carga correctamente en la memoria, Virtob se conecta a dos servidores IRC que son en realidad c & c servidores, y con la ayuda de su componente puerta trasera (backdoor), el virus está listo para recibir comandos de un atacante remoto a través de Internet.

Inyectando su código en winlogon.exe y luego añadiendo este proceso a la lista de excepciones de firewall, el virus  se asegura que se conceda acceso completo a Internet y asegura su persistencia: Winlogon es un proceso crítico que, si se finaliza, se bloquea el equipo. Posteriormente, infecta archivos HTML, HTM, PHP, ASP mediante la inyección de IFRAME que silenciosamente puede cargar contenido de páginas cargadas de malware.

Ahora, imagine estas dos piezas de malware trabajando juntas – voluntariamente o no – y en el mismo sistema comprometido. Que computadora enfrenta a un doble malware con doble comando y servidores de control para consultar instrucciones; Además, hay dos puertas traseras abiertas, dos técnicas de ataque activas y varios métodos de propagación en un solo lugar. Cuando uno falla, el otro tiene éxito.

Múltiples infecciones posibles de Frankenware:

Si, por una mala suerte, el equipo tiene más de un gusano que se aplica a las especificaciones de virus, el virus podría infectar a más de un gusano en el sistema. Sin embargo, el virus puede infectar así sólo los archivos ejecutables en determinadas ubicaciones en el sistema, o de una determinada longitud. Otro virus busca ciertas cadenas que pertenecen a otras piezas de malware que permanecerán no infectadas si se encuentran en el sistema comprometido. Así, un gusano puede ser infectado mientras que otros en el mismo sistema no.

Si uno de los dos (si el virus o el gusano) es atrapado por la solución antivirus, la otra podría pasar desapercibida. Tal vez si pensamos en un archivo infectado (posiblemente el virus) que debe ser analizado por separado y un pedazo de código es sacado y estudiado, quizás entonces alguien descubra también el gusano. Si se detecta el gusano basado en una firma, el gusano es simplemente borrado del sistema comprometido, sin ningún análisis adicional. Esto haría más fácil que el virus pase invisible. No hay ninguna regla.

Dos escenarios hipotéticos:

Hipotético escenario Nº 1:

Imaginar un gusano como Downadup, que se ha estado difundiendo constantemente alrededor del mundo desde hace tres años (70.000 sistemas infectados en los últimos seis meses), empieza a ser infectado con un virus. Por un lado, Downadup evita que el sistema actualice el sistema operativo y la solución de antivirus instalados localmente; y por otro lado el virus puede tener capacidades de rootkit y abrir una puerta trasera. Downadup se propaga alrededor del mundo constantemente, lo que lo convierte en una herramienta de gran propagación; sin mencionar que tomó a las casas antivirus más de medio año y casi un millón infecciones, para descubrirlo. Si a este lo habría cargado un virus, todos los usuarios habrían sufrido un daño mayor. Y la desinfección sería más complicada.

Hipotético escenario Nº 2:

Imaginar que un gusano es infectado por un agente de contagio de archivo (virus). Y un antivirus detecta la infección de los archivos primero e intenta desinfectar los archivos, que incluyen al gusano. En algunos casos raros, la desinfección de archivos comprometidos deja archivos limpios que son al mismo tiempo alterados (no idénticos al original). Mantienen su funcionalidad, pero son ligeramente distintos en forma. Como la mayoría de los archivos es detectado según las firmas y no basándose en su comportamiento (heurísticamente), un gusano modificado (desinfectado junto con otros archivos que han sido comprometidos por un agente de contagio de archivos y desinfectados por un antivirus) no puede ser capturado ya por la firma que se aplican al archivo original (que ha sido modificado después de la desinfección). La desinfección puede llevar así a una mutación que realmente puede ayudar el gusano.

Traducción: Velcro

Fuente: malwarecity.com

Anuncios