Tiempo de leer: 4 minutos
Si necesita entregar o almacenar documentos confidenciales a través de Internet, colocarlos dentro de un 'archivo' autoextraíble y protegido con contraseña es una de las mejores maneras de mantener las miradas indiscretas. Muchos usuarios estarán familiarizados con los archivos en forma de archivos 'zip' y programas como WinZip (hay otros como 7-Zip y WinRar que realizan una función similar). Un archivo le permite guardar múltiples documentos dentro de un solo archivo y comprimir el tamaño total del archivo. Es importante destacar que si protege con contraseña este archivo, también cifrará su contenido. Esto significa que será ilegible para cualquier tercero que lo intercepte. El archivo solo puede ser abierto por los destinatarios previstos, personas a las que les ha proporcionado la contraseña correcta. Elija una buena contraseña y pasarán años, si alguna vez, antes de que cualquier persona no autorizada pueda descifrar sus archivos.
Puede ser una sorpresa, pero los autores de malware usan esta técnica de seguridad precisa por las mismas razones. Al igual que usted, no quieren que sus archivos sean leídos por terceros, aparte del destinatario previsto. En este caso, la tercera parte es una estática. Escáner antivirus en una puerta de enlace de correo electrónico, alojamiento público o máquina de usuarios. El destinatario previsto es víctima de una estafa de malware.
Aunque el escáner AV no puede detectar malware dentro de un archivo protegido con contraseña, esto no garantiza que tenga éxito. El cifrado solo le permite al malware pasar de forma segura a través de Internet y (esperan) a la máquina de la víctima. Una vez que el malware comienza a ejecutarse, el tiempo real detección de virus proporcionado por el software de seguridad más popular neutralizará la amenaza. Por supuesto, esto depende de que el usuario final tenga un AV instalado, y esta es la estrategia del autor del malware.
Siempre habrá un porcentaje de usuarios domésticos y comerciales que no tienen tiempo real antivirus corriendo. No esperan que todas las instancias de su malware obtengan un impacto, pero al distribuirlo en volúmenes tan grandes, también saben que tendrá éxito en un número significativo de casos.
Recientemente vimos malware usando este enfoque exacto:
Parece que el autor se expresó en las propiedades del archivo:
Una simple búsqueda en Google de "MrFreeCrypt" arroja resultados en ruso para una "Nueva generación de encriptadores":
CryptService !!! Новое поколение крипторов. Online 24/7 fud 0/44. гарантия от 24 часов. ICQ: 6 ******* 7 comentarios: mrfreecrypt@j****r.ru ---- CryptService !!! Nueva generación de encriptadores. Detección en línea 24/7 0/44. Garantía de 24 horas. ICQ: 6 ******* 7 Jabber: mrfreecrypt@j****r.ru
No podemos afirmar con certeza que sea la misma persona, pero parece una gran coincidencia.
El archivo en sí es un archivo autoextraíble '7-zip' con dos archivos dentro:
Fecha Hora Tamaño del atributo Nombre comprimido ------------------- ----- ------------ -------- ---- ------------------ 2012-10-21 10:54:14 .... A 107 95 stub.vbs 2012-10-24 16:15 : 24 .... A 113359 61353 sfx.exe ------------------- ----- ------------ - ---------- ------------------ 113466 61448 2 archivos, 0 carpetas
"Stub.vbs" es un script simple de Visual Basic que ejecuta "sfx.exe" con el siguiente parámetro de línea de comando:
Establezca WshShell = WScript.CreateObject ("WScript.Shell") WshShell.Run "sfx.exe -pfdhtu578h4j45nh49856856hyg"
"Sfx.exe" es otro archivo autoextraíble con un solo ejecutable dentro: el componente de malware real:
Fecha Hora Tamaño del atributo Nombre comprimido ------------------- ----- ------------ -------- ---- ------------------ 2012-10-25 00:15:16 .... A 20480 11712 input.exe -------- ----------- ----- ------------ ------------ ---------- -------- 20480 11712 1 archivos, 0 carpetas
En lugar de '7-zip', “sfx.exe” está dentro de un tipo diferente de archivo conocido como archivo 'RAR'. El archivo RAR también está protegido con contraseña y encriptado. La parte interesante aquí es que el RAR acepta la contraseña de descifrado como un parámetro de línea de comando "-p". El script "stub.vbs" proporciona la contraseña de esta manera. La cadena se ve hasta ahora se ve así:
[SFX 7-zip] → stub.vbs → contraseña → [RAR + contraseña SFX] → malware
Como se mencionó anteriormente, esto no significa que el Eliminación de malware El proceso finalmente será exitoso. Tan pronto como el archivo se ejecuta en el sistema de archivos local, queda sujeto a detección en tiempo real Escáneres antivirus. Sin embargo, funciona bien contra escáneres estáticos en servicios de almacenamiento en la nube, escaneos "a pedido" iniciados por el usuario o escáneres estáticos en puertas de enlace de correo electrónico. Esto se vuelve un poco más alarmante si considera que esto significa que evitará la detección por parte de los principales proveedores de correo como Yahoo, Google, Hotmail y otros. Debido a esto, los usuarios deben tener cuidado para ayudar a protegerse. En primer lugar, instale un programa antivirus de un proveedor de confianza. En segundo lugar, no solo abra archivos adjuntos en un correo que no esperaba, en correos de personas que no conoce o en correos que parecen sospechosos o similares al spam.
El componente de malware real es el ransomware "FBI".
Se instala como una aplicación de ejecución automática a través del siguiente valor de registro:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "GoogleChrome" = "C: DOCUME ~ 1UserLOCALS ~ 1TempRarSFX0input.exe"
Se protege contra la eliminación al deshabilitar el "Modo seguro" y el "Modo seguro con funciones de red" al eliminar las siguientes claves de registro:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal * HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork *
Luego bloquea la entrada del usuario y muestra una "pantalla de bloqueo" falsa que intenta extorsionar a la víctima. La pantalla informa a la víctima que su computadora ha sido bloqueada por el FBI por sospecha de mal uso y deben pagar una multa dentro de las 48 horas para desbloquearla.
____________________________________________________________________________________________________________________________
Recursos Relacionados:
Herramientas de eliminación de malware
PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/malware/malware-detection-by-antivirus-scanners/
