¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

  • añadir a favoritos
    Añadir a marcadores

Sin detalles que sobran

Consultas: 68 Comentarios: 10 Ranking: 12

¿Recuerde la película «Deja vu»? Un asesino por contrato disfrazado por entomólogo llego a la Unión Soviética y decidió fabricar un fusil de componentes, al parecer, inofensivos?

Siempre recordamos que todos los componentes son necesarios en un antivirus. Pero los usuarios están seguros de que basta con simplemente tener un antivirus que escanee un archivo iniciado al iniciarlo o al descargarlo. Piensan que el mismo debe escanearlo todo. Pero lamentablemente los hackers también se enteran de esta opinión y actúan de manera siguiente: al recibir el archivo, no hay ningún virus en el mismo, pero posteriormente el virus aparece. ¿Es magia? No, es un constructor. Vamos a ver un ejemplo.

La empresa Menlo Security publicó una descripción de la técnica HTML Smuggling usada para esquivar los sistemas de seguridad (incluidos, por ejemplo, los sandbox).

Primero vamos a explicarlo aplicando los términos específicos. Para esquivar los medios de seguridad (entregar el archivo requerido a través del navegador) se usan los objetos binarios Javascript blob. El usuario hace clic sobre el enlace y se ve en algún sitio web; como resultado, se activa JavaScript que carga los datos (un archivo ZIP) como datos binarios cifrados por base64. Este modo de esquivar los datos es el siguiente: el archivo archivado no se transfiere como un archivo, sino como un flujo de datos. Un archivo ZIP se crea de forma dinámica del objeto BLOB con tipo MIME «octeto/flujo».

El archivo JSCRIPT al ser consultado (cuando un usuario visita la página) realiza las acciones siguientes:

- Carga el archivo ZIP. Así mismo, el archivo tiene extensión .jpg, pero es un archivo ZIP. El archivo ZIP se carga a la carpeta Public Documents, y del archivo ZIP se extraen dos archivos: Avira.exe y rundll.exe. El nombre del archivo Avira.exe se cambia por un archivo EXE con nombre aleatorio. El nombre del archivo rundll.exe se cambia por un archivo con nombre aleatorio con extensión .bmp.

El archivo extraído Avira.exe era un archivo firmado de tamaño ~ 500 MB.

Fuente

Y ahora explicamos todo de forma más fácil. Se transfiere un flujo de bytes u no un archivo al usuario. Pero al transferir un archivo, el mismo también es un flujo de bytes, pero aquí los medios de seguridad nos confunden; supuestamente, no se transfiere un archivo, sino un flujo de algunos datos en un script. Al recibir este flujo, el mismo se convierte en un archivo archivado desde el cual se extraen los archivos.

De esta forma, al enviar este archivo JSScript al multiescaner de tipo VirusTotal, Vd. probablemente recibirá una respuesta diciendo que no hay nada maliciosos en el mismo, la carga se extrae solo en el momento de ejecución, y el multiescaner no inicia archivos (recomendamos también consultar esta edición para más información). Vd. no puede enviar este archivo porque su tamaño fue aumentado de forma artificial hasta 500 MB, y el multiescaner tiene restricciones que impiden recibir archivos superiores a este tamaño.

¿Se puede detectar un troyano así? Sí. Se puede también al iniciarlo, si el antivirus puede analizar los flujos de datos y generar archivos a partir de los mismos. Pero no hay ninguna garantía: puede haber una contraseña para un archivo archivado ZIP y ningún antivirus podrá extraer nada del mismo. El control del funcionamiento del programa ya iniciado salvará al usuario, por ejemplo, en caso de un cifrador, funcionará la Protección preventiva Dr.Web.

#Dr.Web #protección_preventiva #tecnologías #troyano

Dr.Web recomienda

No olvide una cosa importante: ningún antivirus tiene componentes inútiles. Cada componente se encarga de alguna cosa y es muy importante.

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios