1 de octubre de 2013

MODIFICADORES HOSTS. Evitan detección de los Antivirus

Durante el análisis de un malware de este tipo en el laboratorio de la empresa de seguridad Hispasec, observaron que no fue detectado por ningún antivirus. Motivo por el cual fue analizado para ver su código malicioso y comprender por qué no fue detectado.

Un "HostModifier" es un modificador del archivo hosts. El archivo hosts contiene la correspondencia entre el nombre de un dominio y su dirección IP. Cuando Windows resuelve la dirección IP, va a consultar primero el archivo host y si el dominio no está dentro, hace una petición al servidor DNS para recoger la dirección IP.

Impacto en el sistema afectado
  • Un atacante puede modificar el archivo hosts para redireccionar los dominios reales a dominios fraudulentos. Este ataque se utiliza para robar datos como, por ejemplo credenciales bancarias. Además, este ataque es más sencillo de realizar para robar datos y credenciales, comparado con otras familias más elaboradas y complejas como Zeus, Citadel, SpyEye, etc.
  • Para explicar las funcionalidades del "host modifier", desde Hispasc han  creado una versión sencilla con solo la parte maliciosa. La lógica del programa es la siguiente: (1) se esconde del usuario, (2) recoge el archivo hosts de un servidor a distancia, (3) re-escribe el actual archivo hosts, y (4) termina su ejecución. Más sencillo imposible.
  • El código, como prueba de concepto, lo han subido a VirusTotal para comprobar los resultados de los análisis de los antivirus. De los 48 antivirus, solo uno, McAfee-GW-Edition, lo ha detectado como sospechoso. Curioso que este mismo antivirus en cambio detecte como malware todos los programas VisualBasic sin línea de programación dentro.
https://www.virustotal.com/es/file/f708a2133b3b9fae65adb7ff152853a2e4ede857d8912567210d9606a5cec8e5/analysis/1379951161/
Recomendación
Destacar como siempre la importancia de mantener actualizado el antivirus, y atender las alertas de análisis heurístico de comportamientos maliciosos.
Más informacion:
Fuente: Hispasec