Simbiosis del malware actual. Koobface
Koobface es un gusano diseñado a explotar los perfiles de usuarios de populares redes sociales como MySpace y FaceBook con la finalidad de obtener información sensible y confidencial de sus víctimas; aunque las versiones más recientes limitan su objetivo a FaceBook. De hecho, la palabra Koobface es una transposición de la palabra Facebook.
Sus primeras versiones datan de fines de 2008 y desde ese entonces continúa In-the-Wild con un índice de infección preocupante. Tal es así que la misma compañía dio a conocer una serie de medidas preventivas tendientes a minimizar el potencial riesgo de infección, que constantemente se encuentra latente para los usuarios que hacen uso de la red social.
En principio, el medio de diseminación habitual que utiliza Koobface es vía web a través de Ingeniería Social Visual y constituye la primera faceta de propagación.
La segunda faceta (infección) canaliza sus acciones maliciosas en una característica muy común en la actualidad, que se basa en la conjunción de malware, generando una simbiosis donde cada uno de los componentes del ambiente despliegan instrucciones particulares que buscan un objetivo común y general.
Pero veamos cuáles son esos componentes que forman parte de la etapa de infección de la variante Koobface.NBO. Este gusano. detectado actualmente por aproximadamente 31 compañías antivirus de 41 (75.61%), al infectar el sistema establece conexión con las siguientes URL's:
Sus primeras versiones datan de fines de 2008 y desde ese entonces continúa In-the-Wild con un índice de infección preocupante. Tal es así que la misma compañía dio a conocer una serie de medidas preventivas tendientes a minimizar el potencial riesgo de infección, que constantemente se encuentra latente para los usuarios que hacen uso de la red social.
En principio, el medio de diseminación habitual que utiliza Koobface es vía web a través de Ingeniería Social Visual y constituye la primera faceta de propagación.
La segunda faceta (infección) canaliza sus acciones maliciosas en una característica muy común en la actualidad, que se basa en la conjunción de malware, generando una simbiosis donde cada uno de los componentes del ambiente despliegan instrucciones particulares que buscan un objetivo común y general.
Pero veamos cuáles son esos componentes que forman parte de la etapa de infección de la variante Koobface.NBO. Este gusano. detectado actualmente por aproximadamente 31 compañías antivirus de 41 (75.61%), al infectar el sistema establece conexión con las siguientes URL's:
- http://oberaufseher.net/img/cmd.php
- http://pornfat.net/img/cmd.php
- TrojanDownloader.Small.OCS Troyano
- Tinxy.AD Troyano
- Tinxy.AF Troyano
- BHO.NOE Troyano
- Koobface.NBH gusano
- PSW.LdPinch.NEL Troyano
El troyano TrojanDownloader.Small.OCS posee una tasa de detección de 35/40 (87.5%)crea claves en el registro y realiza una copia de sí mismo.
- HKLM\SOFTWARE\Microsoft\MSSMGR\
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\winccf32
- C:\WINDOWS\system32\winccf32.dll (copia de sí mismo).
- C:\windows\ld09.exe
- C:\docume~1\user\locals~1\temp\podmena.bat
- C:\WINDOWS\system32\SYSDLL.exe (copia de sí mismo)
- netsh add allowedprogram "SYSDLL" C:\WINDOWS\System32\SYSDLL.exe ENABLE
- netsh firewall add portopening TCP 80 SYSDLL ENABLE
- netsh firewall add portopening TCP 7171 SYSDLL ENABLE
- netsh winhttp set proxy proxy-server="http=localhost:7171" Agrega la información del proxy en:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /d "http=localhost:7171" /f
- C:\WINDOWS\system32\796525
- C:\WINDOWS\system32\796525\796525.dll
Por último, descarga una variante de la familia, el gusano Koobface.NBH, en este caso, la tasa de detección es de 27/40 (aprox. 67.50%).
Como podemos apreciar, la infección de este código malicioso no se limita sólo a las instrucciones maliciosas que posee, sino que va más allá y descarga otros. Este accionar constituye un comportamiento común en la actualidad, donde la fusión de aplicativos web de control y administración de botnets y la de diferentes tipos de malware, unen fuerzas con un mismo objetivo: aumentar la economía de los delincuentes informáticos.
# pistus
0 comentarios:
Publicar un comentario