Concepto interesante: Malware en Texto Plano


Como sabemos los creadores de códigos maliciosos inventan día a día nuevas formas de propagación e infección para sus amenazas. La mayoría del malware que vemos en la actualidad esta orientado a la búsqueda de un beneficio económico para su creador, utilizando estafas, engaños o robos para hacerlo. En menor medida existen códigos maliciosos cuyo objetivo es el de destruir o molestar. Hace ya muchos años, en épocas del sistema operativo MS-DOS cuando aun no existía internet, los virus se propagaban en diskettes y muchos de ellos tenían como única finalidad el formateo del disco rígido o el borrado de información, por citar solo alguna de sus características.





En este post no mostraremos ninguna técnica novedosa ni de ultima generación sino que veremos como utilizando técnicas Old-School (vieja escuela) un archivo de procesamiento por lotes .bat logra ocultar un archivo ejecutable en texto plano. La muestra que analizaremos llego a nuestro laboratorio enviado por un usuario de nuestro producto.

Al analizar el archivo.bat se ven en el comienzo instrucciones de la consola de MS-DOS utilizadas para realizar copia de archivos, cambiar atributos y escribir el contenido de un archivo a otro. Se utiliza el comando attrib -s -h -r al archivo autoexec.bat, acción sospechosa ya que el archivo autoexec.bat se ejecuta automáticamente al iniciar la computadora y en este caso se le cambian los permisos de archivo de solo lectura, archivo de sistema y archivo oculto para poder copiar código malicioso en el.

La parte mas interesante es la forma de crear un archivo a partir de todos sus bytes en texto plano y transformarlo en un ejecutable, en este caso como veremos, el archivo creado es el conocido compresor .zip , pkzip de la empresa PKWARE Inc.

Luego de crear el ejecutable pkzip, realiza la “infección” con una serie de instrucciones for las cuales se focalizan en los archivos .bat y .zip de determinados directorios. Otro for es el encargado de copiar el archivo infectado a todas las unidades para continuar su propagación.

es un código malicioso muy simple, utilizando batch, bien al estilo de la vieja escuela del MS-DOS, pero aun hoy en día es funcional. Esto nos demuestra que no se necesita una alta complejidad para lograr crear un código malicioso portable y efectivo.

Fuente:
Por Juan Esteban Forgia
Malware Analyst
http://blogs.eset-la.com/laboratorio/2011/08/19/malware-en-texto-plano/



Otras noticias de interés:

Nueva versión del kernel de Linux con soporte para Oracle y procesadores Cell
Linus Torvalds, desarrollador del kernel de Linux, ha anunciado el lanzamiento de la versión 2.6.16. ...
Nueva versión de Filezilla
Liberada una nueva versión de FileZilla, uno de los mejores clientes FTP libres, en su versión 3.0.5....
Fallo en bloqueador de elementos emergentes de XP SP2
K-OTik.COM reporta que Microsoft Internet Explorer de Windows XP Service Pack 2, posee una debilidad en el "Bloqueador de elementos emergentes" (Popup Blocker), que normalmente ...
Caracas Trollfiesta 2006, en el marco del Foro Social Mundial
Enero de 2006, en el marco del Foro Social Mundial. La Trollparty 2006 es la continuación de otros eventos de este tipo realizados en Rochefort, Autrans, Nyon y Bergen (Noruega)...
Cuando los votos se hacen bits, un virus puede decidir quien gana las elecciones!
Crece en Estados Unidos y Europa la preocupación por la seguridad de la votación electrónica. ¿Podría un equipo de doce hackers cambiar el rumbo de unas elecciones? La respuesta es sí, según un estudio del Brennan Center sobre votación electr...
Aún hay programas gratis en la Web
Algunos sitios todavía ofrecen muchos programas interesantes y útiles, desde herramientas para Windows hasta juegos y programas educativos, que pueden ser descargados y usados sin tener que pagar nada a nadie....
Los hackers son responsables sólo de 1% de las filtraciones de información
Los hackers son casi inofensivos comparados con los propios empleados en lo que se refiere a las infracciones a la seguridad TI y al sabotaje directo. ...
ARM apoya los estándares abiertos en internet
La firma británica de chips ARM ha dado su apoyo al Special Interest Group (SIG), una organización dedicada a acelerar la adopción de estándares abiertos en internet....
Los formatos de datos y las patentes
Este es un Interesante artículo publicado en El Rincon del Programador acerca de las patentes del formato de datos. Lectura recomendada....
Rusia aprueba ley sobre control de páginas web
La Cámara baja rusa sancionó ayer la norma que busca cerrar sitios que promuevan pornografía infantil o tráfico de drogas....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • concepto
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • interesante
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • plano
  • sabayon
  • seguridad
  • system
  • tecnologia
  • texto
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra