PandaLabs, el laboratorio de Panda Security, detectó la semana pasada un virus muy potente que aúna las peligrosas técnicas de infección de los virus tradicionales con los propósitos del nuevo malware destinado a la obtención de beneficios económicos.
Este virus, denominado Sality.AO, utiliza técnicas que hace años que no se veían como EPO o Cavity. Ambas son técnicas relacionadas con el modo en que se lleva a cabo la modificación del fichero original para infectarlo, haciendo más difícil de detectar esa modificación así como la posterior desinfección. Así, la técnica EPO permite la ejecución de parte del fichero legal antes de que comience la infección, lo que dificulta la detección del ejemplar. Por su parte, la técnica Cavity consiste en la utilización de los espacios en blanco del código del fichero legal para insertar el código maliciosos del virus, lo que, además de hacerle más difícil de localizar dificulta enormemente su desinfección.
A estas técnicas relacionadas con los primeros ejemplares de malware, Sality.AO añade funcionalidades del nuevo malware como la posibilidad de conectarse a un canal IRC para recibir órdenes de su creador y poder tomar el control de la máquina y convertirla en un ordenador zombi. A través de estos ordenadores zombies se lleva a cabo acciones como el envío de spam, la distribución de malware, ataques de denegación de servicio, etc.
Igualmente, no se limita a la infección de ficheros como los viejos ejemplares de virus, sino que también busca distribuirse a través de la web como los ejemplares más novedosos. Para ello, infecta los archivos PHP, ASP y .HTML que encuentre en el equipo con un iFrame. Debido a esto, cuando alguno de esos ficheros es ejecutado el navegador es redirigido, sin que el usuario se dé cuenta, a una página maliciosa en la que se lanza un exploit contra el equipo con el fin de descargar en él nuevos ejemplares de malware.
Este virus, denominado Sality.AO, utiliza técnicas que hace años que no se veían como EPO o Cavity. Ambas son técnicas relacionadas con el modo en que se lleva a cabo la modificación del fichero original para infectarlo, haciendo más difícil de detectar esa modificación así como la posterior desinfección. Así, la técnica EPO permite la ejecución de parte del fichero legal antes de que comience la infección, lo que dificulta la detección del ejemplar. Por su parte, la técnica Cavity consiste en la utilización de los espacios en blanco del código del fichero legal para insertar el código maliciosos del virus, lo que, además de hacerle más difícil de localizar dificulta enormemente su desinfección.
A estas técnicas relacionadas con los primeros ejemplares de malware, Sality.AO añade funcionalidades del nuevo malware como la posibilidad de conectarse a un canal IRC para recibir órdenes de su creador y poder tomar el control de la máquina y convertirla en un ordenador zombi. A través de estos ordenadores zombies se lleva a cabo acciones como el envío de spam, la distribución de malware, ataques de denegación de servicio, etc.
Igualmente, no se limita a la infección de ficheros como los viejos ejemplares de virus, sino que también busca distribuirse a través de la web como los ejemplares más novedosos. Para ello, infecta los archivos PHP, ASP y .HTML que encuentre en el equipo con un iFrame. Debido a esto, cuando alguno de esos ficheros es ejecutado el navegador es redirigido, sin que el usuario se dé cuenta, a una página maliciosa en la que se lanza un exploit contra el equipo con el fin de descargar en él nuevos ejemplares de malware.
PandaSecurity (19-02-2009)
