Malware

Saludos Mundo Libre.

He aqui un articulo de interes comun:

Después de haber realizado múltiples investigaciones durante los últimos meses, el centro de Maher, el CERTCC Irán, a raíz de la continua investigación sobre los ataques dirigidos de Stuxnet y Duqu desde 2010, anuncia la última detección de este ataque por primera vez.

El ataque, cuyo nombre en código "Llama" es lanzado por un nuevo malware. El nombre de "Flame" viene de uno de los módulos de ataque, que se encuentra en varios lugares en el código de malware descifrado. De hecho, este malware es una plataforma que es capaz de recibir e instalar varios módulos para diferentes objetivos. En el momento de escribir esto, ninguno de los 43 antivirus probados podría detectar cualquiera de los componentes maliciosos. Sin embargo, un detector fue creado por Maher centro y entregado a las organizaciones y las empresas seleccionadas en los primeros días de mayo. Y ahora una herramienta de eliminación está listo para ser entregado.

Algunas de las características del malware son los siguientes:

· Distribución a través de medios extraíbles

· Distribución a través de redes locales

· Red de inhalación, la detección de recursos de la red y la recolección de las listas de contraseñas vulnerables

· Exploración del disco del sistema infectado en busca de extensiones específicas y contenidos

· Creación de la serie de la pantalla del usuario cuando se capta algunos procesos específicos o ventanas activas

· El uso del micrófono conectado al sistema infectado para grabar los sonidos del medio ambiente

· La transferencia de los datos guardados para el control de los servidores

· El uso de más de 10 dominios como servidores C & C

· Establecimiento de una conexión segura con los servidores C & C a través de SSH y HTTPS

· Las decenas de Anulación de los antivirus conocidos, anti malware y otro software de seguridad

· Es capaz de infectar a Windows XP, Vista y 7 sistemas operativos

· Infección de las grandes redes a escala local

De acuerdo con presentar las convenciones de nombres, los métodos de propagación, el nivel de complejidad, de necesidades concretas y una funcionalidad espléndida, parece que hay una estrecha relación con el Stuxnet y los ataques dirigidos Duqu.

La investigación sobre estas muestras implica que los recientes incidentes de pérdida de datos masiva en Irán podría ser el resultado de un módulo instalado de esta amenaza.

Una lista de los componentes principales de infección de este malware se presenta a continuación, estas muestras estarán disponibles para los proveedores de software de seguridad
 
Table1: Infection Components


Content Name & Path

Registry key existence HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages -> mssecmgr.ocx

Malware binaries windows\system32\mssecmgr.ocx

Windows\System32\ccalc32.sys

Windows\System32\msglu32.ocx

Windows\System32\boot32drv.sys

Windows\System32\nteps32.ocx

Windows\System32\advnetcfg.ocx

Windows\System32\soapr32.ocx

Fuente:http://www.certcc.ir/index.php?name=news&file=article&sid=1894

Tratare de encontrar el Algoritmo para exponerlo despues.

Traduccion: Dellcom1@.