Malware y renacimiento del AutoRun
En los últimos meses se han producido pocos cambios interesantes entre los gusanos escritos en Java y lenguajes de script como Javascript y VBScript. La razón principal tras esto es la limitada eficiencia de los escritores de malware, cuyas creaciones no eran muy reseñables o peligrosas. Sin embargo, un par de muestras de malware han acaparado la atención de los expertos de malware; su complejidad nos deja entrever que, de vez en cuando, programadores profesionales pueden implicarse y crear objetivos sofisticados.
Los productos de Kaspersky Labs detectan estos gusanos especiales como Worm.JS.AutoRun y Worm.Java,AutoRun. También se han detectado métodos de heurística como HEUR:Worm.Script.Generic y HEUR:Worm.Java.Generic respectivamente.
Estos dos gusanos poseen 3 características únicas en común: alta ofuscación, retornos de tipo backdoor y métodos similares para propagarse. Ambos gusanos se difunden copiándose a si mismos en el archivo de configuración autorun.inf, dentro de las carpetas ráiz de los volúmenes lógicos de los medios extraíbles y discos de red. Si uno de estos dispositivos comprometidos es abierto en otros ordenadores, se produce la infección. Habiendo infectado al sistema operativo y estableciendo un soporte permanente en el PC de la víctima, el programa malicioso descarga su principal herramienta.
Durante meses, el número de gusanos AutoRun detectados por los laboratorios antivirus ha permanecido inalterado. De acuerdo a los datos de la red Kaspersky Security Network, la mitad de todos los gusanos de script conocidos se transmiten así. En cuanto a los gusanos Java, no se trata de su método de propagación habitual. Sin embargo, en los últimos 3 meses hemos comprobado un dramático aumento de nuevas modificaciones para el nuevo Worm.Java.AutoRun.
Niveles de detección para gusanos de script únicos, gusanos de script AutoRun y gusanos detectados por medio de heurística, Abril 2012 – Mayo 2013.
Niveles de detección para gusanos Java, gusanos Java AutoRun y gusanos Java detectados mediante heurística, Agosto 2011 – mayo 2013.
Ambos gusanos son polimórficos: modifican sus cuerpos durante la propagación, lo que complica su detección. Es uno de los motivos por los que se han extendido tanto en relación a los worms (gusanos) comunes.
Encontraréis más información en el informe completo de Securelist.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.