Hace unos días atrás les comentábamos sobre el malware utilizando el logo de ESET, y vimos cómo los desarrolladores de malware hacían uso de la iconografía para ocultar sus procesos y que los usuarios no se den cuenta de que su sistema ha sido vulnerado. En esta ocasión les traemos un análisis realizado en nuestro Laboratorio de Análisis e Investigación de Malware, que abarca más en detalle el código malicioso detectado por ESET NOD32 Antivirus como Win32/AutoRun.IRCBot.FC.
Empezando con un punto muy importante en donde podemos observar como los desarrolladores de malware modifican su código malicioso para evitar ser detectados o agregar nuevas funcionalidades, y al mismo tiempo le van realizando cambios para que una vez que un equipo ha sido comprometido los cambios realizados en él pasen desapercibidos.
Al realizar el análisis en detalle, comprobamos que el malware realizaba las mismas funciones que el anteriormente reportado como una nueva botnet argentina. En el mismo detallamos las principales particularidades de este código malicioso, como la conexión mediante IRC, la recepción de comandos, actualización de archivos y modificación del archivo host, en este última versión del malware ya no modifica dicho archivo y borro el mensaje de “Aguante Central” que describía al proceso de Windows.
En esta ocasión vimos que al conectarse al servidor IRC se realizó la descarga de dos nuevos archivos. En un equipo comprometido el malware se propaga mediante el cliente de mensajería instantánea de Microsoft, el MSN, en donde a todos los contactos se les envía el mensaje:
oiee no te molesta si subo esta foto tuya a mi face? http://[ELIMINADO].org/IMAGEN02_06_12_2010.JPG.exe
Como podemos ver en la siguiente captura del tráfico de red, se ha realizado la descarga del un nuevo archivo, gusanos.exe, cuyo MD5 es c1d1d54700b66a7ac82c2ec475ea5f78 y se encuentra empaquetado con el packer morphine v1.2.:
De esta manera podemos resumir como es que los desarrolladores de malware van realizando modificaciones a los equipos infectados con la finalidad de poder efectuar ataques de phishing, robo de información, hacer que el equipo forme parte de una botnet y muchas cosas más.
Las opciones y recursos con la que cuentan estos delincuentes informáticos para propagar malware son varías, aprenden de sus errores y buscan nuevas maneras de esconder procesos maliciosos en los sistemas. Y así poder efectuar ataques o estafas. Es por ello que es vital que contemos una solución antivirus proactiva instalada en nuestro sistema para poder asegurarnos una mejor defensa, como así también ser conscientes de las amenazas existentes hoy en día. Esperamos que este análisis les haya gustado y en cuanto tengamos más información acerca de este malware la volveremos a compartir con ustedes.
Claudio Cortés Cid - Especialista de Awareness & Research
Pablo Ramos - Especialista de Awareness & Research