Saludos Mundo Libre.
He aqui un articulo muy interezante que he encontrado en la red en la web: http://www.malwarecity.com/blog/virus-infects-worm-by-mistake-1246.html.
Que dice asi:
Nuevos ejemplares de malware se transforma en diferentes formas sin atención por los seres humanos
Hace diez años, había una clara distinción entre los troyanos, virus y gusanos. Todos ellos tenían sus propias características específicas de una familia de malware solamente. A
medida que más personas conectadas a la internet, los ciber-criminales
empezaron mezclar los ingredientes para maximizar el impacto. Y aquí estoy pensando troyanos con capacidades de gusano o un virus con características de troyano, y así sucesivamente.
Ahora,
otra "práctica" se ha convertido en silencio: la infecta archivos que
accidentalmente parásitos otra amenaza electrónico. Un virus infecta los archivos ejecutables, y un gusano es un archivo ejecutable. Si
el virus llega a un PC ya está comprometida por un gusano, el virus
infectará a los archivos exe en esa PC - incluyendo el gusano. Cuando el gusano se propaga, se llevan el virus consigo. A
pesar de esto ocurre sin intención, las características combinadas de
las dos piezas de malware que causará mucho más daño que los creadores
de cualquier pieza de malware destinado.
Mientras
que la mayoría de los virus que infectan archivos han incorporado
mecanismos de propagación, al igual que los troyanos y gusanos (la
difusión de las rutinas de RDP, USB, P2P, aplicaciones de chat o redes
sociales), algunos no pueden reproducir o difundir entre los equipos. Y
parece una gran idea de "externalizar" el mecanismo de transporte a una
parte diferente de malware (es decir, montándose un gusano).
Lo más probable es estos Frankenmalware, o "bocadillos de malware", llevará a cabo de forma espontánea. El virus infecta por error de hecho una pieza de malware, y termina con su capacidad para propagarse. Antimalware
de BitDefender laboratorio identificado no menos de 40.000 programas
maliciosos, simbiosis de un conjunto de muestras de 10 millones de
archivos. Uno
de estos casos es la infecta archivos Virtob, cuyo código malicioso se
ha encontrado infectando a los gusanos como OnLineGames, el antiguo o el
Mydoom troyano de puerta trasera Bifrose más avanzados.
De las numerosas muestras de los gusanos infectados por el virus, que nos recogió en el par-Win32.Worm.Rimecud Win32.Virtob.
Unas pocas palabras sobre Win32.Worm.Rimecud
Win32.Worm.Rimecud es el típico gusano con un aparato de estado de la técnica de propagación. Para
la propagación que utiliza aplicaciones para compartir archivos (Ares
P2P, BearShare, iMesh, Shareaza. Kazaa, DC + +, eMule, LimeWire),
dispositivos USB, Microsoft MSN Messenger (envía todos los enlaces
contactos a los sitios que alojan malware) y la red de las unidades
asignadas a nivel local. Una
vez en el sistema, Rimecud inyecta su código en explorer.exe y roba las
contraseñas relacionadas con la banca electrónica, cuentas en línea de
compras, redes sociales o correo electrónico de Mozilla Firefox e
Internet Explorer. Mientras
tanto su componente de puerta trasera que le permite conectarse a los
servidores C & C a buscar comandos tales como inundaciones,
descargar y ejecutar programas maliciosos en el ordenador aún más
comprometida. Además
de eso, el gusano busca un servidor VNC (software de control remoto)
que permita el acceso del atacante y el control remoto de la PC
comprometida.
Y ciertos detalles sobre Win32.Virtob
Los laboratorios de BitDefender han visto recientemente un adjunto infecta archivos con el gusano mencionado - Win32.Virtob. Este
virus se sabe que infectan ficheros ejecutables con extensión. Exe o.
Scr extensiones mediante la colocación de una pieza de código malicioso a
los archivos. El gusano es un archivo ejecutable, lo más probable es que también se infecta por el virus si es en el mismo equipo. Virtob
continuación, indica a los archivos ejecutables comprometido a ejecutar
en primer lugar el código del virus (al cambiar el punto de entrada) y
sólo después le da el control al archivo original. Ciertamente
esto se aplica también a los gusanos - el código se ejecuta sólo
después de que el código del virus se ha puesto en marcha. Cuando
el código se ha cargado en la memoria, Virtob se conecta a dos
servidores de IRC que en realidad son servidores C & C, y con la
ayuda de su componente de puerta trasera, el virus está listo para
recibir comandos de un atacante remoto a través de Internet.
Mediante
la inyección de código en su winlogon.exe y luego agregar este proceso a
la lista de excepciones del firewall, el virus se asegura de que tiene
acceso total a la Internet y asegura su persistencia - Winlogon es un
proceso crítico que, si se termina, se bloqueará el ordenador. Posteriormente,
se infecta HTML, HTM, PHP, ASP archivos mediante la inyección de
IFrames que en silencio puede cargar el contenido de las páginas con
malware.
Ahora,
imagine que estas dos piezas de malware trabajando juntos -
voluntariamente o no - de y en el mismo sistema comprometido. Que
se enfrenta a un PC de malware doble comando con el doble de servidores
de control y para consultar las instrucciones y, además, hay dos
puertas traseras abiertas, dos técnicas de ataque activo y varios
métodos de propagación de poner en su lugar. Cuando uno falla, el otro tiene éxito.
Las infecciones múltiples Frankenware posible:
Si,
por la mala suerte total, el equipo tiene más de un gusano que se
aplica a las especificaciones del virus, el virus podría infectar a más
de un gusano en el sistema. Sin
embargo, el virus puede ser que también sólo infectan los archivos
ejecutables del sistema en lugares determinados, o de una cierta
longitud. Otros
virus buscar determinadas cadenas que pertenecen a otras piezas de
malware que no están infectadas si se encuentra en el sistema
comprometido. Por lo tanto, un gusano pueden ser infectados, mientras que otros en el mismo sistema no lo son.
Si uno de los dos (si el virus o gusano) es capturado por el AV, el otro podría pasar desapercibido. Quizás
si pensamos en un archivo infectado (posiblemente el virus) que debe
ser analizado por separado y un fragmento de código se saca y se miró,
tal vez entonces alguien descubre también el gusano. Si
el gusano se detecta sobre la base de una firma, el gusano es
simplemente desaparecer del sistema comprometido, sin ningún tipo de
análisis. Esto haría más fácil para que el virus pase sin ser visto. No hay ninguna regla.
Y dos escenarios hipotéticos:
No. escenario hipotético 1:
Imagine
un gusano como Downadup, que se ha ido extendiendo constantemente en
todo el mundo desde hace tres años (70.000 equipos infectados en los
últimos seis meses solo), la infección con un virus. Por
un lado, Downadup impide que el sistema de actualización del sistema
operativo y la solución AV instalado localmente, y por otro lado, el
virus puede tener capacidades de rootkit y abrir una puerta trasera. Downadup
se propaga por todo el mundo constantemente, lo que hace que sea una
herramienta de gran propagación, por no mencionar que se AVs más de la
mitad de un año, y casi un millón de infecciones, para descubrirlo. Si esto hubiera llevado a lo largo de un virus, todos aquellos usuarios que han sufrido un daño mayor. Y desinfección sería más complicado.
No. escenario hipotético 2:
Imagina que un gusano es infectada por un infector de archivos (virus). Y un AV detecta el primer archivo infector y trata de desinfectar los archivos, que incluyen el gusano. En
algunos casos raros, la desinfección de archivos comprometidos deja
archivos limpios que son al mismo tiempo alterado (no idéntica a la
original ya). Ellos mantienen su funcionalidad, pero son ligeramente diferentes en la forma. Como
la mayoría de los archivos se detectan según las firmas y no en base a
su comportamiento (heurístico), un gusano alterados (desinfectados,
junto con otros archivos que han sido comprometidos por un archivo
infector y desinfectados por un antivirus) no puede ser atrapado ya por
la firma aplica en el archivo original (que había sido modificado después de la desinfección). La desinfección puede de esta manera dar lugar a una mutación que puede ayudar realmente a los gusanos.
Este
artículo se basa en la información técnica proporcionada por cortesía
de Doina Cosovan y Benchea Răzvan, VirusAnalysts Bitdefender.
Todos
los demás nombres de productos y compañías mencionados aquí son
únicamente con fines identificativos y son propiedad de, y pueden ser
marcas comerciales de sus respectivos dueños.
Fuente:http://www.malwarecity.com/blog/virus-infects-worm-by-mistake-1246.html
Traduccion: Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario