Bitdefender la compañía rumana de software de seguridad informática ha encontrado un nuevo troyano complejo llamado Trojan.Dropper.UAJ, que aprovecha una vulnerabilidad en los sistemas operativos Windows para permanecer oculto y activo en las computadoras que infecta.

Los virus, gusanos y troyanos se ejecutan en los sistemas operativos para causar cualquier daño. La mayoría del malware se agrega a la lista de inicio agregando su ruta de acceso a la clave del registro de inicio, pero esto los hace más fácil de detectar por soluciones antivirus o usuarios experimentados en el equipo. A diferencia del “malware regular” este Trojan.Dropper.UAJ viene con un enfoque propio – parchea una biblioteca de código vital (comres.dll)- obligando a todas las aplicaciones que se basan en ella para ejecutar así esta particular amenaza.

El troyano hace una copia del archivo comres.dll genuino, lo parchea y luego lo guarda en la carpeta del directorio original de Windows, donde el sistema operativo busca un archivo DLL que se carga cuando le sea requerido por una aplicación en la misma carpeta – es decir, i.e. = explorer.exe.

El troyano parchea la biblioteca de código mediante la adición de una sola función maliciosa nueva a la lista de importados que se puso en marcha con el resto de su functions.Next, el troyano crea el archivo “prfn0305.dat” (identificado por BitDefender como Backdoor.Zxshell.B) que exporta (contiene) la función que pone en peligro al sistema. Y todo está ahora en el lugar. En el momento en que el sistema llama a la biblioteca de código, el software malicioso se enciende.

Los ciber-delincuentes decidieron escoger a comres.dll porque es ampliamente utilizada por la mayoría de los navegadores de internet, en algunas aplicaciones de comunicación o herramientas de redes – que es  popular y básicamente indispensable para el sistema operativo.

Desde que el troyano ataca el archivo DLL que se encuentra en el sistema, en lugar de intentar sobrescribir su propia versión, Trojan.Dropper.UAJ es capaz de ejecutarse en los sistemas operativos Windows7, Windows Vista, Windows 2003, Windows 2000 o Windows NT en ambos entornos de 32 y 64 bits.

Este ataque combina dos tipos de explotación. Una es comúnmente conocida como “Secuestro de carga de DLL” que significa una vulnerabilidad de codificación en el que algunas aplicaciones solamente especifican únicamente el nombre de la dll necesaria, en lugar de una ruta de acceso completa de esa dll. Y si una dll comprometida se coloca “cerca” de la aplicación (es decir en la misma carpeta de la aplicación), la aplicación utilizará ese archivo maliciosamente alterado (con el mismo nombre) en lugar del original. Y la otra que es nueva se refiere a la técnica de importación de función, detalladas en los párrafos dos y tres.

El archivo DLL afectado hace referencia a código que se puede agregar o eliminar usuarios, cambiar contraseñas, agregar o quitar privilegios y ejecutar archivos ejecutables con derechos elevados.

Traducción: Velcro

Fuente: malwarecity.com

Anuncios