CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

14/01/2014

Variant de Zeus amb capacitats de rootkit

Imagen Virus2 Les variants del troià bancari Zeus són cada vegada més hàbils per a ocultar la seua presència als usuaris i als antivirus, a fi d’evadir les ferramentes d’anàlisi de programari maliciós quan estes els examinen.

Algunes variants de Zeus ara estan equipats amb una versió de 64 bits del codi danyós que conté, el qual s’executa en els objectius que preferixen un navegador de 64 bits. També té un component de TOR que executa un client TOR com un servici ocult que informa el Command and Control (C&C), actuant també com un servidor i permet als bot màsters accedir a l’ordinador de la víctima i executar codi danyós.
 
Però la notícia més rellevant és la millora de les tècniques d’evasió. Investigadors de Trend Micro han descobert una nova variant que, a més d’allò que s’ha mencionat, és capaç d’impedir l’execució de ferramentes d’anàlisis populars com OllyDbg, WinHex, StudPE, ProcDump i altres.
 
Té capacitats d’una ferramenta d’intrusió i és capaç d’ocultar els arxius i carpetes que infecta (l’explorador d’arxius de Windows no els mostra), processos que inicia, així com les claus de registre que crea. Segons els investigadors, alguns d’estos arxius i carpetes es poden detectar i eliminar a través del mode segur de Windows.
 
"Esta versió de 64 bits per a ZeuS/ZBOT és una progressió esperada per al programari maliciós, sobretot després que el codi font de Zeus es va filtrar novament en 2011", van anotar els investigadors.
 
"Des de llavors, hem vist diverses reencarnacions del programari maliciós, sobretot en forma de KINS i la seua implicació amb altres tipus de programari maliciós, com Cryptolocker i UPATRE, on s’han agregat altres funcionalitats com ara les capacitats d’una ferramenta d’intrusió i l’ús d’un component de TOR, una prova més que podem veure més modificacions en el futur, sobretot les que ajuden a eludir o retardar els esforços antiprogramari maliciós".

Help Net Security (8-01-2014)
Més informació

 

Font: CCN-CERT

CSIRT-CV