-
añadir a favoritos
Primero piense y luego instale
miércoles 28 de marzo de 2018
Otra noticia sobre un programa nocivo que pasa desapercibido: otra vez fue detectado un archivo nocivo que los antivirus no notan.
Coldroot RAT logra ser invisible para antivirus.
Coldroot se vende en plataformas de cibercriminales ya desde hace más de un año (a partir de 1 de enero de 2017). Su borrador lleva en GitHub casi dos años. Ningún motor antivirus de VirusTotal detecta Coldroot como un programa nocivo.
http://safe.cnews.ru/news/top/2018-02-22_sozdan_virusnevidimyj_dlya_antivirusov_i_mac
Los usuarios se preocupan y los expertos recomiendan estar prudentes.
«Es muy raro que este código haya sido disponible durante un año, pero los motores antivirus siguen sin detectar Coldroot» — dice Oleg Galushkin, un experto de seguridad informática de la empresa SEC Consult Services. — Solo podemos esperar que la situación cambie pronto. Y de momento recomendamos a los usuarios estar atentos y supervisar qué programas piden permiso para ser instalados en el sistema y usar los Firewalls que avisarán sobre los intentos de establecer conexiones salientes con servidores remotos desconocidos».
¿Cómo es este programa nocivo que pasa desapercibido?
Coldroot RAT ataca los equipos en Mac OS X. Además de Mac OS, el programa puede atacar Windows y Linux.
El instalador de Coldroot para Mac OS X se camufla por un controlador de audio Apple com.apple.audio.driver2.app. Al instalar, para el usuario se visualiza una solicitud de permiso donde hay que introducir el nombre de usuario y la contraseña de MacOS. De esta forma, los usuarios sin querer hacen que el programa nocivo se instale en los equipos.
Un programa nocivo que pasa desapercibido y se instala por los mismos usuarios que no saben que hacen algo raro. Y todo esto dura ya más de un año.
Un experto en seguridad, Patrick Wardle, detectó el archivo nocivo.
Wardle mencionó que el archivo com.apple.audio.driver2.app llamó su atención porque tenía una referencia a TCC.db — una base de datos local que supervisa todas las aplicaciones instaladas y el nivel de su acceso a las funciones del sistema operativo. A recibir el nombre de usuario y la contraseña local del usuario, RAT modifica TCC.db e intenta asegurar la posibilidad de acceso universal para sí mismo, para interceptar todas las señales del teclado y el ratón. Y, posiblemente, no solo interceptar.
«Los cambios directos en la base de datos permiten esquivar los avisos del sistema que molestan y suelen visualizarse para el usuario», — escribió Wardle.
Al penetrar en el sistema, RAT se instala como un demonio de arranque (launch daemon) Mac OS X y de esta forma existe de forma permanente.
En general, es un programa nocivo. Pero la descripción del mismo permite deducir que no contiene ningún medio para ocultarse de los antivirus. En este caso, ¿por qué los antivirus no ven el programa nocivo? Todo es muy fácil. El antivirus detecta solo lo que sus algoritmos permiten. Si no hay conocimiento, no se detecta nada. Si alguna novedad de los creadores de virus no fue enviada a ningún laboratorio antivirus, es muy probable que nadie la detecte.
#software_nocivo #OS_X #Linux #WindowsEl mundo de antivirus recomienda
El antivirus Dr.Web detecta a este programa como Java.CrossRat.1. Este programa nocivo llevaba mucho tiempo desconocido porque los usuarios lo instalaban sin notar nada raro. Sea prudente. Si tiene alguna sospecha, envíe las muestras de programas a los vendedores para el análisis.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
11:35:30 2018-08-07
Неуёмный Обыватель
03:29:58 2018-07-06