El mundo de antivirus

jueves, 2 de noviembre de 2017

Miercoles, 25 de octubre de 2017 — es el día cuando los medios de comunicación informaron sobre la nueva epidemia del cifrador que atacó Rusia, Ucrania y Alemania. Vamos a ver qué es DPH:Trojan.Encoder.32 o Bad Rabbit.

Vamos a ver el método de su difusión. Los malintencionados hackearon varios sitios de noticias e implementaron JavaScript. En general, nada nuevo — como ya mencionamos varias veces, más de un 80% son vulnerables para ser hackeados. El código nocivo puede ser implementado en la página y en los scripts usados, y también cargado desde otro recurso en el momento de carga de la página hackeada. Hay muchas opciones.

Hemos advertido varias veces que el hackeo del sitio web consulado por un grupo objetivo puede ser un ataque muy eficaz. Sobre todo, si el código nocivo se publica en el momento de mayor popularidad del recurso, por ejemplo, por la tarde.

http://blog.ptsecurity.ru/2017/09/web-apps-attacks-2017.html

Durante este ataque, al consultar el sitio web, al usuario se le ofrecía instalar una actualización para Flash Player. Así mismo, el usuario debe hacer clic sobre Install y así mismo iniciar el dropper.

Surgen varias preguntas a la vez.

• Pregunta 1. ¿Qué hace el personal de las empresas infectadas (así mismo, los bancos) en los sitios web de noticias durante su jornada laboral? Se entiende que hay personal que debe enterarse de las últimas noticias para su trabajo, pero en este caso, ¿por qué sus equipos están en la red corporativa donde están los recursos críticos de la empresa?
• Pregunta 2. ¿Por qué el usuario tienen derecho de instalar las nuevas aplicaciones?
• Pregunta 3. ¿Por qué JavaScripts no están desactivados en el navegador?

Tres preguntas. Si no hubiera estas posibilidades, no se habría producido ninguna epidemia de Rabbit. DPH:Trojan.Encoder.32 no usaba ninguna vulnerabilidad para penetrar en el equipo — el usuario o hacía todo.

Recordamos que los programas troyanos (y DPH:Trojan.Encoder.32 es un troyano) no pueden difundirse de forma autónoma, los difunden los usuarios realizando varias acciones.

Según los datos disponibles, DPH:Trojan.Encoder.32 no usa ningún método de esquivar UAC. El usuario acepta el inicio de la nueva aplicación.

• Pregunta 4. ¿Se usó UAC en las empresas víctimas o estaba desactivado?

DPH:Trojan.Encoder.32, una vez iniciado, comprueba si hay procesos dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe — es decir, si localiza Dr.Web, omite la primera etapa de cifrado, por lo visto, para evitar su propia detección anticipada. Además, DPH:Trojan.Encoder.32 intenta modificar MBR del disco duro. Esta operación se bloquea por el antivirus Dr.Web.

• Pregunta 5. ¿Por qué los usuarios no tienen instalado el antivirus moderno que tiene mecanismos de protección preventiva y controla el funcionamiento de procesos iniciados y detecta los programas nocivos aún no analizados por el laboratorio antivirus? Los antivirus basados solo en un núcleo antivirus no protegen lo suficiente.

Luego DPH:Trojan.Encoder.32 intenta escanear la red en busca de recursos compartidos. No se usa ninguna vulnerabilidad, el troyano dispone del listado de contraseñas y nombres de usuario estándar.

• Pregunta 6. La contraseña 12345678 no es una protección.

En esta edición no hemos descrito el nuevo troyano, la descripción ya está disponible. Solo hemos confirmado que se podía evitar la epidemia al tomar las medidas de precaución correspondientes.