• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

    Utilizan los software de Microsoft y Kaspersky para instalar Bookworm, un nuevo troyano Los ciberdelincuentes no dejan de sorprendernos y en la última amenaza detectada estos se han encargado de que se sirva de los ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      Utilizan los software de Microsoft y Kaspersky para instalar Bookworm, un nuevo troyano



      Los ciberdelincuentes no dejan de sorprendernos y en la última amenaza detectada estos se han encargado de que se sirva de los software de seguridad existentes en el equipo para instalarse de forma adecuada. Bookworm es el nombre que ha recibido y por el momento se vale de las soluciones de seguridad de Microsoft y Kasperksy.

      Algunos expertos en seguridad han añadido que encuentran muchas semejanzas con respecto al RAT PlugX, una puerta trasera que fue detectada a principios de año y se consideraba un APT (en inglés Advanced Persistent Threats). Los investigadores encargados de analizar la amenaza también han añadido que se trata de un nuevo tipo de malware, realizando una instalación parcial para evitar que las herramientas de seguridad presentes en el sistema detecten su presencia.

      De este modo, podría decirse que esta también es incremental ya que poco a poco se completa, estableciendo una comunicación con un servidor remoto de control que indica qué componentes se deben cargar en cada equipo.

      Esta amenaza está formada por un fichero de texto que posee contenido cifrado. Este corresponde con unas librerías DLL que son cifradas utilizando el algoritmo XOR. Este archivo generado junto con algunas librerías dinámicas y otros ejecutables se empaquetan para formar parte del instalador de la amenaza. Cuando el usuario ejecuta este archivo se produce la extracción de todos los archivos comprimidos y comienza la instalación del troyano.

      Bookworm utiliza los permisos de las herramientas de seguridad para no ser detectado


      Para las herramientas de seguridad es un auténtico problema, ya que cuando esta se ejecuta por primera vez lo que hace en primer lugar es localizar procesos relacionados con Microsoft Malware Protection (MsMpEng.exe)yd Kaspersky Anti-Virus (ushata.exe). El motivo es muy sencillo y está relacionado con los permisos de ejecución Al tratarse de procesos de herramientas de seguridad, estos van a tener permisos prácticamente de administrador, por lo que el malware se podrá instalar sin ningún problema. Por este motivo, se realiza el copiado de las DLL y ejecutables que acompañan al fichero de texto a estos procesos.

      Gracias a esto, Bookworm ahora posee los permisos necesarios para instalarse en el equipo sin ningún problema, estableciendo comunicaciones con el servidor de control remoto para recibir órdenes y conocer qué elementos debe instalar. Por el momento se desconoce que librerías dinámicas pueden descargarse o si existen otras herramientas de seguridad afectadas por esta práctica, siendo también un misteriocuál es la vía de difusión que utilizan los ciberdelincuentes.

      Fuente: Redes Zone
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de litze
      Registrado
      abr 2012
      Ubicación
      España
      Mensajes
      145

      Re: Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      Hola, y cuál es la solución?

    3. #3
      Usuario Avatar de DBGARZA
      Registrado
      sep 2007
      Ubicación
      México
      Mensajes
      2

      Re: Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      En serio que manía de querer molestar esos ciberdelincuentes

      Cada vez salen mas listos. De hecho otro truco nuevo que usan es que de algun modo logran acceder a tu modem y cambian las direcciones DNS por otras dos, una de ellas de origen ruso (la segunda es uno de los dns de google asi como que para despistar), de ese modo cualquier computadora, tablet o smartphone conectado a ese modem estará recibiendo pop-ups de publicidad en cualquier pagina que visite, sin mencionar que las herramientas contra Malware y los Antivirus nunca detectarian nada por no haber ningun archivo instalado.

      Eso me tocó verlo a mi hoy en una laptop que una vecina me trajo a revisar. Cuando se la regresé y la prendimos en su casa, los anuncios volvieron, y despues de andarle buscando un buen rato, me dió por revisar la conexión a ver si no estaban cambiados los dns y sorpresa sorpresa, estaban cambiados. Reviso las propiedades de TCP/IPv4 y no habia nada anormal ahi, estaba en automatico lo de los dns, por lo que decidí entrar a la configuración del modem y en la configuración LAN ahi estaban los dns cambiados.

      El DNS ruso es el 93.158.212.5 y de segundo dns ponian el 8.8.8.8 que es uno de los de Google ahi nada mas para despistar.

      Aun asi luego de que restauren los dns a los de su proveedor, es muy recomendable resetear la configuración de sus navegadores para borrar cualquier remanente que haya podido quedar de esos pop-ups como cookies, cache, historial, etc.

      Se que esto no va con el tema, aunque en cierto modo si va pues es otro ejemplo de como estan atacando ahora. Estan logrando acceder a los modems y alterar los dns para ponerte publicidad.

    4. #4
      Usuario Avatar de boitano
      Registrado
      sep 2012
      Ubicación
      belgica
      Mensajes
      245

      Re: Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      voy a estar pendiente si por este medio dan alguna medida a tomar.

    5. #5
      Usuario Avatar de StarWars9600
      Registrado
      oct 2015
      Ubicación
      asdfa
      Mensajes
      370

      Re: Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      Ya sacarán Kaspersky una actualizacion contra este virus

    6. #6
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      Cita Originalmente publicado por DBGARZA Ver Mensaje
      es otro ejemplo de como estan atacando ahora. Estan logrando acceder a los modems y alterar los dns para ponerte publicidad.
      En realidad, los malware que infectan las DNS existen hace mucho tiempo y se han puesto de moda también desde ya más desde el pasado año... de hecho nosotros tenemos una herramienta gratuita para desinfectar de estos a los usuarios llamada IF-DNS.exe






      Cita Originalmente publicado por boitano Ver Mensaje
      voy a estar pendiente si por este medio dan alguna medida a tomar.
      Por ahora, este troyano se ha visto en campañas de un grupo de APT —Advanced Persisten Threat— que tiene su base de acción fundamentalmente en Tailandia.

      Los APTs son una categoría de amenazas que se encuentra totalmente orientada a atacar objetivos empresariales o políticos y rara vez llegan a infectar al usuario final, por lo que si bien no dejan de ser integrantes para los que nos gusta ver nuevas tretas... no hay medidas que el usuario deba de tomar más que lo que decimos siempre.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de DBGARZA
      Registrado
      sep 2007
      Ubicación
      México
      Mensajes
      2

      Re: Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      Cita Originalmente publicado por @MarceloRivero Ver Mensaje
      En realidad, los malware que infectan las DNS existen hace mucho tiempo y se han puesto de moda también desde ya más desde el pasado año... de hecho nosotros tenemos una herramienta gratuita para desinfectar de estos a los usuarios llamada IF-DNS.exe Salu2
      Perdon por tardar en responder, las ocupaciones que no me dejan n.nU

      Interesante herramienta.

      Y sirve para cuando las dns estan cambiadas en el router? Pregunto esto porque no cambian las dns a nivel windows (propiedades de la conexión de area local o conexion inalambrica segun sea el caso) sino que esta queda cambiada en el gateway del moden (usualmente uno accesa a la configuración del modem/router con la dirección IP 192.168.0.1 o la que el router tenga asignada como gateway pues ya varia dependiendo del proveedor como por ejemplo Telmex que usa una algo diferente que es 192.168.1.254). Cuando esto pasa y entras al gateway del router, si vas a las propiedades LAN (o segun como venga en el router) notaras que en lugar de estar en modo de dns automatico, está cambiado a dns manual y con dos dns diferentes a las que usa el proveedor de internet. Una es la IP dns que mencioné en mi anterior post, y la otra es uno de los dns de google, el 8.8.8.8, A dos vecinos mios les pasó eso este mes. No es que las dns del fabricante esten contaminadas, sino que son reemplazadas por otras en el router.

      Aca unas imagenes sobre como se ve en el modem/router arris TG862 la configuración de dns.

      Está es la configuración normal de dns en modo automatico, es decir que el router toma las dns del proveedor de internet:

      Cuando eres infectado por esta amenaza de publicidad con la IP 93.158.212.5, en el modem/router arris TG862 la configuración automatica es deshabilitada y cambia por esta:

      Se puede notar como el modem cambia a modo override dns y manualmente se especifican la dns que manda los anuncios y la de google ahi como para despistar o para que sigas teniendo acceso a internet, o las dos.

      No se si el caso de lo de movistar hacia eso, o era diferente el ataque en lo de las dns.

      Igual y voy a guardar la herramienta que mencionas, nunca esta demas tener suficientes armas con que defenderse, sobretodo uno que su linea de trabajo es el mantenimiento y reparación de computadoras :)

    8. #8
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Utilizan los software de Microsoft y Kaspersky para instalar el troyano Bookworm

      Hola DBGARZA, no la herramienta IF-DNS.exe hace todos los cambios únicamente por software el cual también es modificado por muchas variantes de ese estilo como el más famoso troyano DNSChanger y dentro de las instrucciones de uso justamente está la de presionar el botón trasero del router para resetear este a los valores de fábrica y así limpiar de un plumazo los cambios realizados en este.

      El tema es que, si no restableces primeramente los cambios en el equipo, aunque se resete el router/modem este se va a volver a infectar hasta que no termines de limpiar el bicho en tu ordenador.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.