-
añadir a favoritos
La tropas nocivas
viernes 17 de noviembre de 2017
Qué palabra más interesante – un dropper. Se
usa tanto para sacar dinero del banco como para
un software troyano que instala otro programa
nocivo en el equipo de la víctima.
Comentario de un lector a nuestra edición
Ya hemos dedicado más de una edición a droppers – los delincuentes que sacan dinero “sucio”. Pero la palabra “dropper” también se usa en caso de software. Y este software no se dedica a sacar dinero. Su tarea es proporcionar la penetración de programas nocivo en los equipos informáticos y otros dispositivos.
Un dropper típico se usaba, por ejemplo, en WannaCry.
El dropper del gusano WannaCry contiene un archivo ZIP importante, protegido con una contraseña, donde se guarda el archivo cifrado con el troyano encoder, el papel tapiz del Escritorio Windows con requerimientos de los malintencionados, un archivo con direcciones de servidores onion y el nombre del monedero para recibir bitcoins, así como un archivo con programas para el funcionamiento en la red Tor. El dropper se inicia desde el cuerpo del gusano, se instala en el sistema y luego intenta iniciar su propia copia como un servicio de sistema con un nombre aleatorio. Si no logra hacerlo, se ejecuta como un programa ordinario. La tarea básica del dropper es guardar el contenido del archivo en la unidad, así como descifrar e iniciar el cifrador.
Los droppers (de inglés Dropper — «lanzabombas») — son los programas nocivas cuyo objetivo es la instalación no autorizada por el usuario (escritura en el disco) de otros programas nocivos en el equipo (o de otras partes del conjunto nocivo) que forman parte del cuerpo del dropper.
Este backdor se difunde usando un dropper, un documento de Microsoft Excel que tiene incrustado un macro especial. El macro recaba por bytes e inicia un archivo autodescompresión. El archivo, a su vez, contiene un archivo ejecutable prestado por los malintencionados del conjunto de entrega del producto popular de la corporación Symantec. Este archivo tiene firma digital válida Symantec y al iniciarse descarga a la memoria del equipo una biblioteca dinámica que tiene realizadas las funciones básicas del troyano.
El modo de entrega de la “carga útil” destaca un dropper, a diferencia de otro programa nocivo descargador que descarga los componentes nocivos por la red.
Aquí tenemos la “cosecha” de un solo día:
Y solo se trata de una familia– MulDrop!
Los droppers suelen ser programas troyanos. El programa mismo no puede infectar a nadie –– alguien debe entregarlo al equipo e iniciarlo.
El troyano dropper Trojan.MulDrop6.48664 instala en el equipo atacado el programa nocivo BackDoor.TeamViewer.49. Esta vez los malintencionados han camuflado el dropper por una aplicación-cuestionario difundido supuestamente en nombre de una compañía aérea conocida rusa.
Al igual que los demás programas troyanos, se puede “recibir” un dropper por correo electrónico, a través del navegador, un dispositivo extraíble, o al hackear el equipo.
Así mismo, un dropper puede formar parte de otro programa nocivo que lo inicia para escribir los datos en el disco. Aquí tenemos un ejemplo de un dropper de este tipo.
Los droppers están previstos para cualquier SO, así mismo, para Windows, Linux y Android.
El dropper fue creado usando el entorno abierto de desarrollo Lazarus para el compilador Free Pascal y al iniciarse muestra el siguiente cuadro de diálogo donde se mencionan los dispositivos destinados para realizar operaciones con criptomoneda Bitcoin:
En el cuerpo de este dropper sin cifrar se almacena otro componente del troyano — un backdoor.
Los droppers pueden infectar no solo los sistemas operativos, sino también las aplicaciones en concreto.
1C.Drop.1 fue creado en cirílico en lenguaje de programación incrustado para aplicacionesа 1С.
Este troyano se difundía como adjunto a los mensajes de correo destinados para contables: los mensajes tenían un adjunto de procesamiento externo para el programa «1С:Empresa». Al abrir el mismo, 1C.Drop.1 enviaba su propia copia a todas las direcciones electrónicas de contratantes de la empresa detectados en la base 1С, y luego iniciaba en el PC infectado un troyano cifrador peligroso.
El peligro de droppers radica en los siguiente: los mismos no se dedican a la actividad nociva directamente (sin tomar en cuenta la instalación de otros programas). Por lo tanto, pueden hacer su tarea sin autorización, de forma invisible, y desaparecer automáticamente.
Primero, en el equipo atacado se inicia un dropper que guarda en la unidad e inicia el programa instalador. Al mismo tiempo, en el equipo atacado se inicia el archivo.bat destinado para eliminar el dropper.
El mundo de antivirus recomienda
Un dropper es un tipo de programas nocivos bastante peligroso. Como su actividad es invisible para usuarios, puede volver a penetrar en el sistema atacado usando las vulnerabilidades no corregidas y desapareciendo automáticamente una vez infectado.
Para protegerse contra droppers, no basta con solo estar atento y prudente. Sin falta, debe usarse un antivirus, deben ser instaladas todas las actualizaciones de seguridad. También es necesario restringir los permisos de instalación de nuevos programas.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
14:17:11 2018-08-07
Неуёмный Обыватель
23:53:40 2018-07-10