Modificador de hosts sencillo evita la detección de los antivirus


Una parte importante de los troyanos realizan acciones de modificación del archivo hosts.





Son los conocidos como "modificadores de hosts" o como "host modifier". Durante el análisis de un malware de este tipo en nuestro laboratorio, y con gran sorpresa, observamos que no fue detectado por ningún antivirus. Lo hemos analizado para ver su código malicioso y comprender por qué no fue detectado.

Dentro del departamento antifraude de Hispasec, una de las acciones que solemos realizar diariamente es el análisis de malware que afecta a los clientes de las entidades bancarias suscriptoras de nuestros servicios antifraude. Estamos acostumbrados a tratar con múltiples muestras, aunque generalmente solemos encontrar versiones de las familias más habituales. Sin embargo, de vez en cuando, encontramos alguna muestra que nos sorprende por no ser detectada por antivirus, aportar alguna técnica novedosa, etc.

El análisis de esta nueva muestra (con hash
ecc58e97f64ca42fe638e499a2ad7f50a3008f30f071cecb71b2c223d7d8d1ac) permitió observar que realizaba una modificación del hosts pero no empleaba ningún mecanismo de ofuscacion o poliformismo. Esto nos sorprendió, ya que una acción como la de modificar el archivo hosts debería ser detectado por al menos un buen número de antivirus. Actualmente esta muestra es detectada por 12 de 47 antivirus.

Un "HostModifier" es un modificador del archivo hosts. El archivo hosts contiene la correspondencia entre el nombre de un dominio y su dirección IP. Cuando Windows resuelve la dirección IP, va a consultar primero el archivo host y si el dominio no está dentro, hace una petición al servidor DNS para recoger la dirección IP.

Un atacante puede modificar el archivo hosts para redireccionar los dominios reales a dominios fraudulentos. Este ataque se utiliza para robar datos como, por ejemplo credenciales bancarias. Además, este ataque es más sencillo de realizar para robar datos y credenciales, comparado con otras familias más elaboradas y complejas como Zeus, Citadel, SpyEye, etc.

Fuente:
Por Laurent Delosieres
http://hispasec.com



Otras noticias de interés:

Curso para principiantes en UBUNTU (Parte 5 y 6)
Seguimos con los videotutoriales realizado por Jesús Conde de videotutoriales.com, esta vez presentamos la partes 5 y 6. En esta oportunidad los videos muestran:...
Yahoo! corrige grave vulnerabilidad en su correo
Yahoo! ha solucionado un problema de seguridad que dejaba a los usuarios de su popular servicio de correo web, en riesgo de que sus credenciales de acceso y todo el contenido de sus cuentas fuera robado. ...
¡Mi proveedor de email me quiere infectar!
Eso es lo que muchos podrían pensar con uno de los trucos más comunes utilizados por los gusanos de correo electrónico que siguen dando vueltas por Internet en estos días....
Transferencia segura de datos a través de Internet con XP
Imagínese que deja día y noche el ordenador de su casa encendido y conectado a Internet. Si utiliza Mis sitios de red para transferir archivos a través de Internet entre dos ordenadores, o el escritorio remoto para controlarlo desde la oficina, o ...
EEUU: Planean un dominio para zona segura de ataques en internet
Los especialistas de seguridad en internet han solicitado un dominio seguro (.secure) que planean convertir en una zona de seguridad máxima donde los chicos malos y piratas informáticos no puedan entrar....
El virus Kamasutra, preparado para atacar documentos Office el 3 de febrero, se extiende a gran velocidad
Un nuevo virus denominado Kamasutra, que asegura contener material pornográfico y referencias al antiguo libro erótico indio, ha comenzado a extenderse a gran velocidad por Internet. El cebo del sexo es la causa de la rá...
Usan falsos rumores en Facebook para instalar virus
Aprovechando la popularidad de las redes sociales, los creadores de malware están lanzando un rumor falso en Facebook sobre la posibilidad de que la página Web comience a cobrar por un servicio de apuestas. El objetivo es instalar malware en el ord...
Denegación de servicio a través de daxctle.ocx en Internet Explorer
Se ha descubierto un desbordamiento de búfer en Internet Explorer que provoca que la aplicación deje de responder (denegación de servicio) y posiblemente permita la ejecución de código arbitrario. ...
Cuidado con los Puertos USB
Puerto USB permite robo de información Expertos de seguridad informática previenen que el puerto USB puede representar un riesgo de seguridad hasta ahora no concebido....
Actualización de seguridad para Mac OS X
Apple ha publicado actualizaciones de seguridad para Mac OS X que corrigen varias vulnerabilidades. Los problemas pueden ser explotados por atacantes remotos o locales para ejecutar código arbitrario, provocar denegación de servicios o revelar info...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • deteccion
  • evita
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • hosts
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modificador
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sencillo
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra