El Win32/Georbot roba documentos, y se oculta de los escaner anti-malware. Una nueva botnet proveniente de la República de Georgia ha capturado la atención de investigadores de seguridad.
Denominada Win32/Georbot, la red zombie porta un troyano de robo de información que apunta a los ciudadanos de Georgia como su objetivo, según un blog acerca de la botnet Georgiana publicado por los investigadores de la firma de seguridad ESET.
"Entre otras actividades, [Win32/Georbot] intentará robar documentos y certificados, puede crear grabaciones de audio y video y navegar la red local en busca de información," dice el blog.
La nueva botnet puede ver los "Archivos de configuración de Escritorio Remotos" que le permite a la gente recibir esos archivos para conectarse a las máquinas remotas sin utilizar ningún exploit, según dice ESET. "Ese enfoque incluso eludirá la necesidad de exploits RDP tales como el revelado esta semana [MS12-020]," dice el blog.
Win32/Georbot tiene como característica un mecanismo de actualización que distribuye nuevas versiones del bot, haciendo más dificil que sea detectado por los escaner anti-malware, dice ESET.
"El bot también tiene un mecanismo de emergencia en caso que no pueda contactar al servidor de comando y control: en ese caso, se conectará con una página web especial que esta ubicada en un sistema alojado por el gobierno Georgiano," dice ESET. "Esto no significa automáticamente que el gobierno Georgiano esté involucrado. Muy a menudo la gente no está consciente que sus sistemas están comprometidos."
Un documento (PDF) sobre el Win32/Georbot [PDF] ofrece detalles de como trabaja esta red zombie y como los usuarios pueden detectarla y defenderse de ella.
En el documento se pueden leer algunas particularidades del malware que opera esta botnet:
Autor: Tim Wilson
Fuente: DarkReading
Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz1pyGirt32
Under Creative Commons License: Attribution Non-Commercial Share Alike
Denominada Win32/Georbot, la red zombie porta un troyano de robo de información que apunta a los ciudadanos de Georgia como su objetivo, según un blog acerca de la botnet Georgiana publicado por los investigadores de la firma de seguridad ESET.
La nueva botnet puede ver los "Archivos de configuración de Escritorio Remotos" que le permite a la gente recibir esos archivos para conectarse a las máquinas remotas sin utilizar ningún exploit, según dice ESET. "Ese enfoque incluso eludirá la necesidad de exploits RDP tales como el revelado esta semana [MS12-020]," dice el blog.
Win32/Georbot tiene como característica un mecanismo de actualización que distribuye nuevas versiones del bot, haciendo más dificil que sea detectado por los escaner anti-malware, dice ESET.
"El bot también tiene un mecanismo de emergencia en caso que no pueda contactar al servidor de comando y control: en ese caso, se conectará con una página web especial que esta ubicada en un sistema alojado por el gobierno Georgiano," dice ESET. "Esto no significa automáticamente que el gobierno Georgiano esté involucrado. Muy a menudo la gente no está consciente que sus sistemas están comprometidos."
Un documento (PDF) sobre el Win32/Georbot [PDF] ofrece detalles de como trabaja esta red zombie y como los usuarios pueden detectarla y defenderse de ella.
En el documento se pueden leer algunas particularidades del malware que opera esta botnet:
En algunas variantes, encontramos una verificación por la zona horaria del sistema. Antes de instalarse, el bot verifica que la computadora esté localizada para la zona horaria UTC+3 o UTC+4.
Para ocultar cadenas de texto tales como URLs, direcciones IP y DLLs que carga, el Win32/Georbot usa un cifrado one-time pad localizado justo antes de la sección que ofusca los datos. Cuando se inicia el malware, este descifra la sección completa de inmediato realizando una simple sustracción de cada byte.Traducción: Raúl Batista - Segu-Info
Autor: Tim Wilson
Fuente: DarkReading
Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz1pyGirt32
Under Creative Commons License: Attribution Non-Commercial Share Alike
No hay comentarios:
Publicar un comentario