• Registrarse
  • Iniciar sesión


  • Página 1 de 3 123 ÚltimoÚltimo
    Resultados 1 al 10 de 22

    Una nueva versión del virus Sality anda suelta

    [IMG]http://i44.*******.com/2yosguq.gif[/IMG] El viernes pasado, los expertos de Kaspersky Lab detectaron una nueva variante de Sality.aa , el virus polimórfico más popular hoy en día. Sality.aa mutó por última vez hace un año y el cambio ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Una nueva versión del virus Sality anda suelta

      [IMG]http://i44.*******.com/2yosguq.gif[/IMG]

      El viernes pasado, los expertos de Kaspersky Lab detectaron una nueva variante de Sality.aa, el virus polimórfico más popular hoy en día. Sality.aa mutó por última vez hace un año y el cambio no fue muy dramático. Pero este virus se ha mantenido entre las 5 amenazas más detectadas en los ordenadores de los usuarios en los últimos dos años. Las variantes previas de Sality no eran tan populares. Después de Sality.aa apareció una nueva versión llamada Sality.ae, que utiliza la técnica de infección EPO. Pero no tuvo grandes logros porque los cibercriminales la utilizaban como un simple algoritmo de decodificación y sus técnicas de infección eran ineficientes. Las versiones siguientes del programa malicioso tampoco fueron muy populares por la exagerada simplicidad de sus algoritmos de codificación.

      La variante recién descubierta fue nombrada Sality.ag. ¿Qué tiene de interesante esta variante? Contiene un algoritmo de decodificación completamente nuevo y aloja ‘características avanzadas’. Como vemos, la nueva variante tiene todas las posibilidades de reemplazar la anterior versión, Sality.aa, y ganar popularidad.

      Sus características funcionales califican a este virus como una Puerta Trasera (Backdoor). Cuando ingresa al sistema, lo primero que Sality.ag hace es instalar su DLL y un controlador para filtrar el tráfico de Internet. El DLL se utiliza para repeler todos los programas de seguridad y cortafuegos.

      A continuación vemos una captura de pantalla del DLL decodificado. Contiene líneas que demuestran la capacidad del virus de resistir los contraataques de los programas de seguridad: “avast! Self Protection”, “NOD32krn”, “Avira AntiVir Premium”, “DRWEBSCD” etc. Sality emplea una de las formas más simples de apagar un antivirus: Intenta cerrar todas las ventanas y acabar con todos los procesos con nombres asociados a productos de seguridad.


      Captura de pantalla de parte del DLL decodificado de Sality.ag


      El virus también escribe informes adicionales al registro del sistema lo que terminaría TaskManager y UAC, y agrega el controlador a la rama del registro “System\CurrentControlSet\Control\SafeBoot”. Esto hace que el controlador reinicie el equipo en modo seguro.

      El controlador crea un mecanismo llamado “amsint32” y se comunica con “\Device\IPFILTERDRIVER”, un controlador con filtrado de paquetes IP que puede filtrar cualquier tipo de tráfico Internet. El archivo del controlador está incluido en la DLL, dentro del cuerpo del virus y empaquetado con UPX.

      Asimismo, el cuerpo del virus crea objetos sincronizados para detectar cuándo se ejecutan los archivos infectados “uxJLpe1m” y “Ap1mutx7”. También instala las DDL de arriba y descarga datos de servicio de las siguientes URLs:

      http://sagocugenc.sa.funpic.de/images/*****.gif http://www.eleonuccorini.com/images/*****.gif
      http://www.cityofangelsmagazine.com/images/*****.gif
      http://www.21yybuyukanadolu.com/images/*****.gif
      http://yucelcavdar.com/*****.gif
      http://www.luster-adv.com/gallery/Fusion/images/*****.gif


      Al terminar de realizar todas estas tareas, Sality intenta establecer una conexión a un servidor de comando y control y continúa operando como una puerta trasera común, ejecutando cualquier comando que reciba de este servidor.

      La técnica de infección utilizada es similar a la de Sality.aa, la variante anterior. El código de acceso se reemplaza con una instrucción para saltar al cuerpo. La orden de realizar este salto es una instrucción común de "salto indirecto al registro" (jmp reg) que está muy ofuscada. El peso el cuerpo es de 0x11000 bytes y está ubicado al final de la última sección, que está expandida con este propósito. Se agregan a la sección las alertas “accesible para escribir” y “permite ejecución”. Los primeros 0x1000 bytes del código están muy ofuscados y decodifican el resto del código. Mientras que Sality.aa utiliza el algoritmo RC4, esta versión utiliza un algoritmo que descifra dos palabras dobles en un solo ciclo. Cada ciclo incluye 0x3F iteraciones que utilizan las operaciones "agregar", “eliminar” y “cambiar” e incluyen una tabla de palabras dobles al inicio de la porción infectada.

      Fuente: Viruslist.com

    2. #2
      Ex-Colaborador Avatar de Rollinguit
      Registrado
      sep 2009
      Ubicación
      Argentina
      Mensajes
      6.224

      Re: Una nueva versión del virus Sality anda suelta

      Lindo bicho

      Buena información Velcro ...


      Saludos!

    3. #3
      Usuario Avatar de 00Cronos
      Registrado
      sep 2009
      Ubicación
      En un campo en la mitad de la nada
      Mensajes
      41

      Re: Una nueva versión del virus Sality anda suelta

      O_O guau otra preocupacion mas

    4. #4
      Usuario Avatar de silentxhate
      Registrado
      dic 2009
      Ubicación
      Chile
      Mensajes
      270

      Re: Una nueva versión del virus Sality anda suelta

      Ojala no toparme con este virus buena info Velcro

    5. #5
      Usuario Avatar de joseomaker
      Registrado
      dic 2009
      Ubicación
      Venezuela
      Mensajes
      165

      Mensaje Re: Una nueva versión del virus Sality anda suelta

      es algo sorprendente,el sality es en exceso peligro y difícil de eliminar.

      Yo me infecte con el una vez,que hice?,fácil,tome el archivo que descarge que era el que lo contenia y lo abri con block de notas luego lo guarde en el escritorio como archivo txt y luego ejecute GMER y escanee,encontré un rootkit escondido y el sality,después de la eliminación limpie el PC con Ccleaner y luego escanee y guarde el reporte de hijackthis.

      El Uso del archivo txt es algo común para lo que hacemos los que investigamos malware,también tenia una copia del archivo seguramente comprimida y aislada.

      Ahí programas que se consideran para crackear programas,como,ultraedit32 y Olly DBG,yo les doy otro uso,los uso para editar y revisar los archivos que tengo en cuarentena.

      Es un peligroso malware,casi imposible de eliminar,formatee puesto que cuando lo desinfecte dañe bastante el registro y archivos.

    6. #6
      Usuario Avatar de GBE90
      Registrado
      nov 2007
      Ubicación
      Venezuela
      Mensajes
      670

      Bien Re: Una nueva versión del virus Sality anda suelta

      Muy buena informacion!! lei que los antivirus e tiempo real no lo detectan o algo asi? como el avast, nod32 es decir no lo desinfecta debido a su codigo oculto!! ya esta subido una muestra a virustotal?? gracias!

    7. #7
      Usuario Avatar de joseomaker
      Registrado
      dic 2009
      Ubicación
      Venezuela
      Mensajes
      165

      Mensaje Re: Una nueva versión del virus Sality anda suelta

      yo tengo una muestra,pero,esta comprimida en un pendrive con autorun bloqueado,asi que no puedo subirlo :s,no quiero tener que hacer traficos y demas con el.

      pero sino me equivoco la muestra se puede obtener con abriendo un archivo infectado con un editor hexadecimal.

      para prevenir el virus sugiero escanear lo que descargas y claro,detener el autorun de tanto los pendrives como discos duros locales,tener un buen antivirus tambien es importante,Prevenir es mejor que curar.

    8. #8
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.278

      Re: Una nueva versión del virus Sality anda suelta

      Mmm creo que soy de los pocos que no están aterrados de que este ejemplar esté presente en su equipo (debidamente archivado).

      Si se supiera lo fácil que es hacer que un Virut se propague por autorun.... mejor no sigo

      Buena noticia, ya tengo el mio
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Usuario Avatar de CCesar2
      Registrado
      jul 2009
      Ubicación
      Lima - Perú
      Mensajes
      1.948

      Re: Una nueva versión del virus Sality anda suelta

      Dando la hora con los malwares.

      Estos hackers hacen variaciones, cambios, "mejoras" a sus productos.


      Saludos

    10. #10
      Usuario Avatar de joseomaker
      Registrado
      dic 2009
      Ubicación
      Venezuela
      Mensajes
      165

      Mensaje Re: Una nueva versión del virus Sality anda suelta

      tranquilos que pronto los malware se actualizaran como los antivirus

      "mantenemos nuestra base de datos actualizada para combatir con las nuevas tecnologías de seguridad"

      Hablando enserió,una vez jugando con block de notas cree un malware en bat que lo que hacia era conectarse la PC de uno de mis primos y infectarlo semanalmente con todo lo que tenia la cuarentena de mi antivirus (Nod32) lo curioso es que pueden hacer firewall que bloque todo trafico de red pero no pueden hacer un firewall que evite que te hackeen con un comando Nbtstat y otro net use.

      Es un ejemplo de que nunca estaremos 100% protegidos

      Sin embargo es una buena noticia porque sin estas fallas los de este foro nos aburriríamos bastante durante nuestro tiempo libre
      Última edición por joseomaker fecha: 05/04/10 a las 16:36:45

    Página 1 de 3 123 ÚltimoÚltimo