Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 2 de febrero de 2009

Drive-by Update para propagación de malware

Para nada es novedoso decir que los códigos maliciosos de la actualidad poseen capacidades cada vez má agresivas de las cuales se valen no sólo para lograr la clásica acción de infección, sino que también realizan otras actividades como la descarga, en el sistema víctima, de una batería de programas dañinos.

El Drive-by Update permite al malware establecer una conexión clandestina contra un servidor remoto en el cual, un archivo de texto plano, dirige la maniobra de propagación indicando, al responsable de la infección primaria, qué archivos (códigos maliciosos) nuevos descargar y desde dónde.

De esta manera, a partir del momento de la infección, y con todos los inconvenientes que ello conlleva, el equipo es sometido a la manipulación de un verdadero nido de códigos maliciosos que explotarán en el sistema con las más diversas actividades para las cuales esta diseñado el malware actual, convirtiendo la máquina en parte activa de una botnet o en parte de una estructura Fast-Flux; utilizándola como "puente" para realizar ataques dirigidos y distribuidos a otros objetivos.

En el siguiente caso, utilizado como ejemplo, se descargaron los siguientes códigos maliciosos a partir de la lista pre-establecida en el servidor. En el siguiente reporte de ThreatExpert se obtiene información más detallada sobre el análisis del malware.

http://m.wuc8 .com/dd/1 .exe >> 28/39 (71.79%)
http://m.wuc8 .com/dd/2 .exe >> 25/39 (64.11%)
http://m.wuc8 .com/dd/6 .exe >> 24/39 (61.54%)
http://m.wuc8 .com/dd/9 .exe >> 31/38 (81.58%)

Por lo general, estos servidores responden a granjas, o células, de diferentes volúmenes desde las cuales cada uno de los sitios alojados son copias espejos y, en consecuencia, descargan la misma cantidad y variedad de malware.

b.wuc7 .com
d.wuc7 .com
x.wuc7 .com
m.d5x8 .com
m.wuc8 .com
w.c66f .cn
w.c66k .cn

Sin embargo, en otros casos la cantidad de malware referenciado en el archivo de texto suele ser mayor al igual que la variedad entre cada uno de ellos.

El malware es cada vez más peligroso y sigue creciendo en volumen y evolucionando en su complejidad. Técnicas como estas son las pruebas fieles de ello, dándonos una real idea de sus capacidades y de lo importante que es, para la salud de nuestra seguridad, atender adecuadamente a buenas prácticas que permitan mitigar las acciones dañinas.

# pistus

Ver más