Hace poco publiqué una nota sobre el grado de sofisticación del malware, comentando algunos detalles de un rootkit que había infectado a millones de equipos en todo el mundo, en ese sentido esta vez voy a hacer referencia a un troyano analizado por el investigador Steven K de XyliBox.
El malware está diseñado para mantenerse camuflado como si fuera el antivirus legítimo de la víctima. Todo comienza con un archivo llamado Flash-Player.exe, una vez que se ejecuta se realizan algunas comprobaciones de Windows como el idioma y se muestra una alerta falsa:
Mientras tanto se realizan varias modificaciones, se comprueba qué antivirus está instalado y se guardan algunos archivos en las carpetas del sistema, como un TXT que contiene una lista de IPs de máquinas infectadas que crean una red P2P para el intercambio de malwares y otros archivos.
Como se puede ver en la imagen, el mensaje falso solicita un reinicio para eliminar un supuesto virus. Cuando se reinicia, el sistema se carga en el modo seguro, la víctima sólo ve una pantalla negra y el antivirus legítimo se desinstala automáticamente.
Cuando todo vuelve a la «normalidad» se carga junto al reloj un icono falso que simula ser el antivirus que antes estaba instalado, incluso se simulan actualizaciones de firmas y cuando se hace clic se muestra un mensaje como si todo estuviera bien. El objetivo justamente es ese, hacerle creer a la víctima que el sistema está protegido cuando en realidad está completamente infectado.
En XyliBox podrás encontrar capturas y más detalles sobre el ataque.
Sin dudas es algo muy ingenioso que busca mantener infectado al equipo el mayor tiempo posible, todo sucede en pocos minutos y es algo que afecta a las soluciones antivirus más conocidas del mercado. Algunos se preguntarán por qué los antivirus no lo detectan inicialmente, el problema es que cuando los troyanos son «nuevos» son más difíciles de detectar… la seguridad queda en manos del usuario y si engañado descarga e instala un programa falso, puede pasar cualquier cosa.
Ver también:
Volviendo un PDF malicioso indetectable.
Cuidado con aceptar descargas de estos reproductores falsos.