Español | English
rss facebook linkedin Twitter

Your Malware has been updated !

De entre las características añadidas a los troyanos de banca resulta curiosa la relativa a las actualizaciones, la posibilidad de que mientras un antivirus está descargando sus actualizaciones pertinentes, es posible que paralelamente un troyano bancario esté descargando información para actualizarse a sí mismo, y así por ejemplo, enviar los datos robados a una nueva dirección aún no añadida a las blacklists de los dispositivos de filtrado en nuestra red corporativa.

Uno de los mejores ejemplos de troyano para ilustrar el caso es nuestro archiconocido Zeus (Zeus/Zbot/Wnspoem), el cual ya hemos diseccionado en otras ocasiones en este blog.

Una vez ejecutado el binario de Zeus, éste crea una copia de si mismo y escribe la clásica entrada en el registro que garantiza su ejecución al reinicio del sistema. Pero esto no es todo, además Zeus se encarga de que la máquina infectada pueda recibir actualizaciones, tales como la dirección del servidor al que se envían los datos capturados, o fragmentos de código HTML maligno para inyectar en las peticiones que se realizan desde la máquina infectada.

Como decíamos antes, una vez ejecutado el binario se crea el fichero de configuración, que toma diferentes nombres, como por ejemplo video.dll, sysproc86.sys, o local.ds.

En la siguiente lista encontramos ejemplos de donde se suele encontrar el fichero de configuración de Zeus en una máquina infectada.

C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\sysproc64\sysproc86.sys
C:\WINDOWS\system32\twain32\local.ds
C:\WINDOWS\system32\lowsec\local.ds

El fichero de actualización nuevo se suele colgar en un servidor web desde donde posteriormente la máquina infectada lo descarga y ejecuta la actualización.

Si localizáis alguna copia de este fichero, veréis que el código está cifrado. Las primeras versiones de este fichero eran relativamente “fáciles” de descifrar, las nuevas versiones implementan un sistema más complejo y exclusivo, que vincula al fichero de configuración con un binario único que contiene la clave que lo descifra. Si bien, en los laboratorios de S21sec e-crime hemos desarrollado una suite de herramientas que nos permiten manejar estos ficheros con flexibilidad y extraer la información rápidamente.


Sergi Roselló León
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login