Un nuevo y peligroso troyano
El Centro de Protección contra Malware de Microsoft (Microsoft Malware Protection Center) ha descubierto un nuevo troyano que no contiene ninguna rutina sospechosa en su comportamiento inicial; esto lo hace indetectable frente a muchos escáners antivirus.
El comportamiento normal de un troyano de este tipo es descargar un archivo de Internet, guardarlo en el disco y ejecutarlo, acciones que son fácilmente detectables por cualquier antivirus. Sin embargo, este nuevo troyano funciona de la siguiente forma:
Contiene un código en Visual Basic que accede a la web de un restaurante Tibetano; un análisis del código no muestra accesos a disco ni llamadas a funciones del sistema. Si no tenemos conexión a Internet, el malware muestra un mensaje de error. Si tenemos conexión a Internet, el troyano realiza una petición a la página HTML del restaurante citado anteriormente, se copia a sí mismo en la carpeta de sistema como "misys.exe" y empieza a realizar funciones de keylogger.
¿De dónde procede ese ejecutable?
Mirando el código de la página HTML descargada se observan instrucciones en formato hexadecimal que se corresponden con funciones x86, así que lo que hace el troyano es ejecutar esas instrucciones en el contexto de su propio proceso. Esto no produce ninguna inyección de código en otros procesos o descargas al disco, por lo que el "downloader" se convierte en malware cuando descarga el código HMTL. Con esta forma de funcionamiento consigue evitar los análisis de muchos antivirus que no tengan análisis de comportamiento.
La mala noticia es que este tipo de troyanos si puede crear fácilmente a través del toolkit Poison Ivy, ya que esta herramienta nos permite crear código malicioso (binario, C, Phyton o Delphy) en lugar de ejecutables.
Comparte este artículo
Comentarios (0)