Modificador de hosts sencillo evita la detección de los antivirus


Una parte importante de los troyanos realizan acciones de modificación del archivo hosts.





Son los conocidos como "modificadores de hosts" o como "host modifier". Durante el análisis de un malware de este tipo en nuestro laboratorio, y con gran sorpresa, observamos que no fue detectado por ningún antivirus. Lo hemos analizado para ver su código malicioso y comprender por qué no fue detectado.

Dentro del departamento antifraude de Hispasec, una de las acciones que solemos realizar diariamente es el análisis de malware que afecta a los clientes de las entidades bancarias suscriptoras de nuestros servicios antifraude. Estamos acostumbrados a tratar con múltiples muestras, aunque generalmente solemos encontrar versiones de las familias más habituales. Sin embargo, de vez en cuando, encontramos alguna muestra que nos sorprende por no ser detectada por antivirus, aportar alguna técnica novedosa, etc.

El análisis de esta nueva muestra (con hash
ecc58e97f64ca42fe638e499a2ad7f50a3008f30f071cecb71b2c223d7d8d1ac) permitió observar que realizaba una modificación del hosts pero no empleaba ningún mecanismo de ofuscacion o poliformismo. Esto nos sorprendió, ya que una acción como la de modificar el archivo hosts debería ser detectado por al menos un buen número de antivirus. Actualmente esta muestra es detectada por 12 de 47 antivirus.

Un "HostModifier" es un modificador del archivo hosts. El archivo hosts contiene la correspondencia entre el nombre de un dominio y su dirección IP. Cuando Windows resuelve la dirección IP, va a consultar primero el archivo host y si el dominio no está dentro, hace una petición al servidor DNS para recoger la dirección IP.

Un atacante puede modificar el archivo hosts para redireccionar los dominios reales a dominios fraudulentos. Este ataque se utiliza para robar datos como, por ejemplo credenciales bancarias. Además, este ataque es más sencillo de realizar para robar datos y credenciales, comparado con otras familias más elaboradas y complejas como Zeus, Citadel, SpyEye, etc.

Fuente:
Por Laurent Delosieres
http://hispasec.com



Otras noticias de interés:

Facebook y Twitter nulos en seguridad, según Digital Society
Digital Society, think tank especializado en seguridad, otorga bajos niveles de seguridad tanto a Twitter como a Fecebook. Ambos sitios son vulnerables a ataques que pueden dar a los atacantes un control parcial o total sobre las cuentas de los usuar...
Nuevo virus de la "chica fantasma"
En menos de 48 horas desde el aviso del virus del 11 de septiembre, cuando aparece un nuevo troyano, el terrorífico Ghost Girl(Trj/GhostGirl)....
RSA Conference deja al descubierto los agujeros de cloud computing
RSA Conference siempre ha sabido seguir el rastro de las principales tendencias de mercado para someterlas al implacable escrutinio de los expertos en seguridad. Por ello, no es de extrañar que este año la atención de la primera conferencia sobre ...
La adopción de las bases de datos en la nube aún es baja
Aunque el cloud computing es parte cada vez más importante en las empresas, no ocurre así con las tecnologías de almacenamiento en la nube, que aún parecen inmaduras....
Actualizaciones de seguridad para Sun Java
Sun ha anunciado actualizaciones de seguridad para dos vulnerabilidades en Java, que podrían poner en peligro los equipos de los usuarios que tengan instaladas las versiones afectadas (Windows y Linux). ...
Microsoft lanza un parche de emergencia para ASP.net
Adelantándose a su próximo boletín mensual de seguridad, Microsoft ha desarrollado un parche de emergencia para el cubrir una brecha de su servidor web Windows contra la que ya habían empezado a detectarse ataques....
Twitter borra tweets por infracción copyright
Con su crecimiento, Twitter comienza a tener más responsabilidades o al menos eso le pareció a la oficina de copyright de Estados Unidos. La empresa comenzó a borrar los tweets en los que se compartan links a descargas sin autorización....
De donde viene el nombre Google
Los creadores del popular sitio de búsqueda de la internet fueron a buscar un nombre para su creación en la historia reciente de la Matemática y lo hallaron en la palabra googol, que fue creada en 1930 para designar un número formado por un 1 seg...
Los 3 navegadores, Java y Adobe vuelven a caer en el Pwn2Own
Pwn2Own, uno de los concursos de hacking más conocidos, ha vuelto a repartir miles de dólares en premios por demostrar cómo algunos de los programas que más utilizamos tienen vulnerabilidades....
Denegación de servicio a través de daxctle.ocx en Internet Explorer
Se ha descubierto un desbordamiento de búfer en Internet Explorer que provoca que la aplicación deje de responder (denegación de servicio) y posiblemente permita la ejecución de código arbitrario. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • deteccion
  • evita
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • hosts
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modificador
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sencillo
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra