Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/01/2014
Variante de Zeus con capacidades de rootkit
Las variantes del troyano bancario Zeus son cada vez más hábiles para ocultar su presencia a los usuarios y a los antivirus, con el fin de evadir a las herramientas de análisis de malware cuando éstos los examinan.
Algunas variantes de Zeus ahora están equipados con una versión de 64 bits del código dañino que contiene, el cual se ejecuta en los objetivos que prefieren un navegador de 64 bits. También tiene un componente de TOR que ejecuta un cliente TOR como un servicio oculto que informa al Command and Control (C&C), actuando también como un servidor, permitiendo a los bot masters acceder a la computadora de la víctima y ejecutar código dañino.
Pero la noticia más relevante es la mejora de las técnicas de evasión. Investigadores de Trend Micro han descubierto una nueva variante que, además de lo mencionado, es capaz de impedir la ejecución de herramientas de análisis populares como OllyDbg, WinHex, StudPE, ProcDump y otras.
Cuenta con capacidades de un rootkit y es capaz de ocultar los archivos y carpetas que infecta (el explorador de archivos de Windows no los muestra), procesos que inicia, así como las llaves de registro que crea. Según los investigadores, algunos de estos archivos y carpetas se pueden detectar y eliminar a través del modo seguro de Windows.
"Esta versión de 64 bits para ZeuS/ZBOT es una progresión esperada para el malware, sobre todo después de que el código fuente de Zeus se filtró de nuevo en 2011", anotaron los investigadores.
"Desde entonces, hemos visto varias reencarnaciones del malware, sobre todo en forma de KINS y su implicación con otros tipos de malware, como Cryptolocker y UPATRE, en donde se han agregado otras funcionalidades tales como las capacidades de un rootkit y el uso de un componente de TOR, una prueba más de que podemos ver más modificaciones en el futuro, sobre todo las que ayuden a eludir o retrasar los esfuerzos antimalware".
Help Net Security (8-01-2014)
Más información