- Inicie sesión para enviar comentarios
Estados Unidos encabeza la lista de países afectados por esta amenaza, con 15.000 casos registrados, seguido de Noruega e Italia con 9.000 y 2.100 ataques, respectivamente.
Gracias a Trend Micro Smart Protection Network ya se han evitado más de 40.000 casos de infección por LICAT.
Madrid, 14 de octubre de 2010 – Trend Micro, a través de su equipo de investigación, TrendLabs, ha publicado recientemente un comunicado en el que informaba de la detección de un nuevo y peligroso ataque de un virus que mostraba comportamientos similares al famoso Conficker/DOWNAD. Denominado LICAT, desde su descubrimiento TrendLabs ha continuado analizando esta amenaza y ha realizado hallazgos significativos.
Así, se ha realizado un estudio exhaustivo del denominado “Archivo original de infección” (“Mother File Infector” en inglés). Éste adquiere su nombre al ser el primero en generar una infección. Se trata de un caso un tanto especial porque no es un archivo infectado en sí mismo, sino que es similar a un hipotético virus biológico artificial que sale del laboratorio y está listo para infectar a otros organismos.
Curiosamente, el archivo original envenenado (parece ser) prepara los sistemas de sus víctimas para una posterior infección de ZeuS.
Mientras algunos detalles están todavía por confirmar, TrendLabs ha establecido que PE_LICAT.A parece actuar como una auto-actualización o tapadera para propagar ZeuS, el tristemente conocido virus utilizado para robar información y datos en la banca online.
Esto se convierte en algo muy preocupante para los usuarios, dado que su relación con ZeuS se combina con la técnica de generación de dominios pseudoaleatorios y archivos envenenados (un tipo de malware que puede ser muy difícil de eliminar).
A continuación, explicamos de forma breve cada uno de estos elementos:
1 – ZeuS, el malware resultante siguiendo la exitosa infección de PE_LICAT.A
ZeuS es un conocido ladrón de datos de banca online que recientemente, ha acaparado gran atención en los medios tras producirse la detención de alrededor de un centenar de personas que estaban relacionadas con él. Si bien los arrestos son muy importantes y deben ser aplaudidos, estos, lamentablemente, no han eliminado la amenaza que ZeuS plantea. Los kits de herramientas de crimeware (software específicamente diseñado para la ejecución de delitos financieros en entornos on-line) se encuentran disponibles de forma clandestina por cerca de 8.000 dólares, pero también existen copias que pueden adquirirse de forma gratuita.
2 – Generación de dominios pseudoaleatorios como Conficker/DOWNAD
Esta técnica fue la primera utilizada por Conficker (Aka: DOWNAD). LICAT genera una lista de nombres de dominios desde los cuales se descargan otros archivos maliciosos. La función de generación del nombre de dominio se basa en una función aleatoria, que es computada desde el sistema UTC (Coordinated Universal Time) de fecha y hora. Esta particular función aleatoria reenvía diferentes resultados cada minuto.
3 – LICAT, el archivo envenenado. Los archivos envenenados pueden ser muy difíciles de limpiar por dos razones. Dependiendo del lugar donde el agente de infección inserta el código en el host de archivos, éste puede ser añadido inmediatamente o esperar días para buscar agujeros (cavity PE infectors. Ésta es una técnica utilizada por algunos tipos de virus y gusanos con el fin de dificultar su rastreo y localización, pues consiguen no variar el tamaño de los ficheros infectados, ya que sólo utilizan las cavidades del fichero afectado).
En segundo lugar, puede resultar más difícil su eliminación en función de cómo toma el control una vez que el host de archivos es ejecutado. Los criminales pueden optar, por ejemplo, por alterar algún código, cambiar la programación de las APIs de Windows, o emplear otros métodos. En la industria de seguridad, estas sucias técnicas a veces se conocen como EPO (Ocultar el Punto de Entrada o Entry Point Obscuring, por sus siglas en inglés). Ésta, es una técnica para infectar programas mediante la cual un virus intenta esconder su punto de entrada para evitar así ser detectado. El virus, en vez de hacerse con el control y realizar sus acciones al principio de la utilización del programa, lo que hace es permitir el funcionamiento correcto de éste hasta un cierto momento en el que comienza a actuar.
Diagrama que describe la cadena de infección:
A las 48 horas de descubrirse el ataque, Trend Micro a través de su tecnología Smart Protection Network, había logrado evitar más de 40.000 casos de infección por esta amenaza entre sus clientes. La gran mayoría de amenazas bloqueadas se han producido en Estados Unidos, donde se han registrado alrededor de 15.000 casos. Noruega e Italia le siguen en segundo y tercer lugar, con 9.000 y 2.100 detecciones, respectivamente.
Para más información y un análisis detallado de la amenaza, por favor, visite: http://blog.trendmicro.com/links-between-pe_licat-and-zeus-confirmed/
Acerca de Trend Micro:
Fundada en 1988, Trend Micro Inc., líder mundial en la seguridad de contenidos en Internet, cuenta con más de 20 años de experiencia en la creación de un mundo más seguro tanto para consumidores como para empresas en el intercambio de información digital. Con sede en Tokio y más de 4.400 empleados en 23 países, Trend es una empresa pionera y líder en el sector, que adelanta una tecnología integrada para la gestión de amenazas a fin de proteger la continuidad de trabajo, la información personal y la propiedad frente al malware, spam, filtraciones de datos y amenazas Web más recientes. Visite TrendWatch en www.trendmicro.com/go/trendwatch para conocer más sobre las amenazas. Sus flexibles soluciones, disponibles en diversas configuraciones, cuentan las 24 horas día con el respaldo de un equipo internacional de expertos en amenazas. Muchas de estas soluciones están reforzadas por la Trend Micro™ Smart Protection Network™, una innovadora infraestructura cloud-cliente de nueva generación que combina una sofisticada tecnología de reputación “in-the-cloud”, bucles de retroalimentación y la experiencia del equipo de investigación de TrendLabs, para ofrecer protección en tiempo real frente a las amenazas emergentes. Las fiables soluciones de seguridad de Trend Micro incluyen una gama de productos que abarcan desde aplicaciones para el mercado de consumo hasta soluciones de seguridad y gestión de amenazas de nivel empresarial. Los productos de Trend Micro se comercializan a través de sus partners empresariales en todo el mundo. Más información en http://es.trendmicro.com.
