¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Ladrones de papel moneda

Похитители дензнаков

Otras ediciones de este tema (9)
  • añadir a favoritos
    Añadir a marcadores

Una muñeca rusa para delincuentes

Consultas: 2025 Comentarios: 2 Ranking: 42

viernes, 24 de febrero de 2017

Todos sabemos que cuanto más destacada es la noticia y más atención llama su título, mayor es el interés por la misma. Virus, troyanos, todo esto ya lo conocemos hace mucho, ¿quién, excepto los expertos, publicará una noticia sobre un nuevo virus? ¿Y si se trata de un crimeware?

Crimeware (de inglés crime — crimen) – es un software nocivo destinado para automatizar el proceso de ciberdelincuencias vinculadas con robo de dinero. Combina las características de troyanos bancarios, software espía y utilidades de hackers.

Los programas crimeware instalados en un equipo pueden:

  • Supervisar la conexión al sistema bancario para posteriormente interceptar la información confidencial introducida – nombre de usuario y contraseñas;
  • interceptar y suplantar los datos de pago en el momento de crear el mismo o al transferir los datos al banco;
  • modificar SMS de confirmación.

Por clasificación de Dr.Web, estos programas pueden ser troyanos bancarios – programas siempre nocivos, para eliminar los cuales el usuario no debe configurar nada.

Los troyanos bancarios existen para todos los sistemas operativos básicos. Vamos a ver solo un ejemplo:

El propósito básico de Trojan.Bolik.1 es robar la información de valor de varios tipos. Puede alcanzar este objetivo de varios modos. Por ejemplo, controlar los datos transferidos y enviados por los navegadores Microsoft Internet Explorer, Chrome, Opera y Mozilla Firefox. Gracias a eso, el troyano puede robar la información que el usuario introduce en los formularios de pantalla. Además, la funcionalidad espía del banker incluye un módulo para crear copias de pantalla (screenshots) y registros de pulsaciones de teclas por el usuario (keylogger).

https://news.drweb-av.es/show/?c=5&i=9999

Según la descripción es un crimeware típico. Pero vamos a verlo con más detalle:

Trojan.Bolik.1 – es un virus bancario polimórfico. No solo tiene funciones de auto propagación, sino modifica su propio código cada vez al iniciarse.

La función de auto difusión se activa por comando de los malintencionados, y luego Trojan.Bolik.1 empieza a consultar las carpetas disponibles para la escritura en el entorno de red Windows y en dispositivos USB conectados, busca los archivos ejecutables que se guardan allí y los infecta.

Dentro de virus se guarda cifrado el troyano bancario Trojan.Bolik.1, así como otra información necesaria para el virus.

¿Es posible que al crear este troyano los informáticos se hayan inspirado con una muñeca rusa?

Vamos a hablar con más detalle sobre el software nocivo polimórfico.

Los así llamados programas polimórficos son programas que modifican su código cada vez al iniciarse o al vuelo. No se detectan con firmas – no tienen ninguna parte del código característica que puede ser destacada e introducida en la base de virus.

Para detectar un software nocivo polimórfico, se necesitan tecnologías especiales. La aparición de los primeros programas nocivos polimórficos fue un estímulo de creación del Antivirus. El antivirus de generación anterior, creado por D.N. Lozinsky, no podía detectarlos.

Si un usuario inicia una aplicación infectada en su equipo, el virus descifrará el troyano bancario Trojan.Bolik.1 y lo iniciará directamente en la memoria del equipo atacado, sin guardarlo en el disco. Así mismo, el virus tiene un mecanismo incrustado especial que permite cambiar “al vuelo” la estructura y el código de su propia parte responsable de descifrado de Trojan.Bolik.1. De esta forma, los creadores de virus intentan dificultar la detección de su “obra” por los programas antivirus. Además, Win32.Bolik.1 intenta afrontar los antivirus que intentan ejecutar los programas nocivos paso por paso en un emulador especial — la arquitectura de este virus tiene previstos los “alentadores” especiales que consisten en muchos ciclos e instrucciones que se repiten.

https://news.drweb-av.es/show/?c=5&i=9999

Es decir, este troyano ni siquiera se guarda en el disco – es un troyano sin cuerpo, no tiene archivo. Como resultado, el monitor de archivos no podrá supervisar su funcionamiento, se necesita un antirootkit para detectar el mismo – un componente especial el Antivirus Dr.Web que escanea los procesos iniciados.

Además, Trojan.Bolik.1 crea su propio sistema de archivos virtual que se guarda en un archivo especial. De esta forma, el análisis de los archivos guardados por el troyano no está disponible para nadie.

Trojan.Bolik.1 prestó un mecanismo de incrustar contenido ajeno en las páginas web consultadas por usuarios, es decir, la realización de la tecnología de web injects. Usando la misma, los malintencionados les roban a sus víctimas los nombres de usuario y las contraseñas para acceder a sistemas banca-cliente y otra información de valor.

https://news.drweb-av.es/show/?c=5&i=9999

Lamentablemente, un antirootkit no puede escanear cada cambio del proceso. Por eso para detectar un inject enseguida, el Antivirus Dr.Web usa un módulo especial que controla el cambio de procesos desde dentro. Por lo tanto, sin distinción del nombre del software nocivo, el mismo será detectado por Dr.Web.

#software nocivo #terminología #troyano #tecnologías_Dr.Web

El mundo de antivirus recomienda

  1. Se necesitan decenas de años de desarrollo para que un programa antivirus aprenda a proteger contra amenazas complicadas. Las tecnologías para afrontar los programas nocivos complicados no se crean en un instante. Es por eso que todas las empresas clave en el mercado de antivirus aparecieron hace 20 años o más. Los demás antivirus de “marketing” que aparecieron más tarde y alquilaron los núcleos a marcas conocidas no se dedicaban al desarrollo de las tecnologías, pero ¿cómo pueden saberlo los usuarios ordinarios? Por eso los usuarios migran de un programa a otro buscando un “milagro”, sustituyendo en seguida un antivirus que omitió una amenaza por otro.
  2. Olvide la época cuando la calidad de detección de un antivirus dependía del número de entradas en su base de virus: ahora son más importantes las tecnologías de antivirus que a veces no tienen nombre.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios