Exploit pack como método de infección

22 de octubre de 2009

 

Varios exploit packs están haciéndose muy populares en los últimos días, ya que su uso permite una vía fácil de infectar miles de ordenadores en todo el mundo. Cada pack de exploits puede estar compuesto por un sólo fichero que contiene todo el malware, o bien en archivos separados por cada exploit. Esta última técnica parece que se va imponiendo por resultar más efectiva, ya que los antivirus puede que sólo detecten parte de los exploits. De esta manera, se podría aprovechar la parte que el antivirus no detecta para infectar la máquina del usuario. Este artículo describe la estructura y actividad de uno de los packs de exploits más complejo.

Este pack fue descubierto hace relativamente poco en varios servidores ubicados en China. En el momento de su descubrimiento, avast! detectaba de manera parcial los exploits que este paquete contenía (el resto de detecciones se añadieron después de poder analizarlo). No se trata realmente de un nuevo pack, sino más bien de una nueva versión, lo cual significa que sus creadores hicieron los cambios necesarios para hacer más difícil la detección por parte de los antivirus. Su complejidad es muy alta como podréis observar en este diagrama:

El paquete contiene cerca de 40 ficheros incluyendo redireccionadores, comprobadores de vulnerabilidad, exploits y shellcodes. Como vemos en la imagen, hay dos ramas inútiles: una para el exploit PDF (el fichero está dañado y por tanto no puede ser abierto) y otra probablemente para un exploit SWF (que da un error 404). De todas maneras, hay todavía 11 exploits listos para atacar. Todos ellos son detectados por avast!.

No deja de ser interesante mostrar al lector cómo otros motores antivirus están manejando este complejo paquete, así que se ha preparado este imagen que esperemos sea clarificadora:

La tabla muestra qué fichero fue detectado por cada antivirus. Las últimas dos columnas contienen los datos de ratio de detección del pack entero y de los ficheros que lo componen. Dejamos la evaluación de dichos resultados a nuestros lectores. Os recordamos que GData usa el motor de avast! como parte de su sistema de escáner, y esa es la razón que los dos hayan obtenido idéntico resultado.

El presente artículo es una traducción y adaptación de un post escrito por Jiri Sejtko en el blog oficial de avast! en inglés.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram