Buscar este blog

jueves, 7 de agosto de 2014

Malware infecta sin instalar archivos

 

Los investigadores han detallado una rara forma de malware que mantiene la infección en las computadoras y roba datos de usuarios sin instalar archivos.

El malware reside sólo en el registro de la computadora y por lo tanto no es fácil de detectar. El código llega a las máquinas a través de un documento de Microsoft Word malicioso, según dijo el investigador de malware Paul Rascagneres.

El malware crea y ejecuta código Shell y una carga útil binaria en Windows. "Todas las actividades son almacenadas en el registro, ningún archivo es creado", Rascagneres dijo en el post.

"Por lo tanto, los atacantes son capaces de eludir las técnicas de exploración de archivos antimalware clásicos y son capaces de llevar a cabo cualquier acción cuando llegan a la capa más interna de una computadora, incluso después de un reinicio del sistema."

"Para evitar los ataques de este tipo, las soluciones antivirus interceptan el documento Word antes de su ejecución (si lo hay), de preferencia antes de que llegue a la bandeja de entrada de correo electrónico del cliente."

El regedit de Windows no puede leer o abrir la clave de entrada non-ASCII. Rascagneres dijo que el conjunto de características es similar a una muñeca de Matryoshka, debido a su posterior y continua ejecución de código 'apilado'.

El non-ASCII es una herramienta que Microsoft utilizaba para ocultar un código fuente a partir de una copia, pero la característica fue vulnerada mas tarde.

Una solución de seguridad puede detectar alternativamente el exploit del software o, como un paso final, monitorizar el comportamiento inusual del registro, dijo.

En el foro KernelMode.info se analizó el mes pasado una muestra que explotaba los defectos explicados en la vulnerabilidad CVE-2012-0158 que afectó a productos de Microsoft como Office.

"Esta amenaza evita una gran cantidad de herramientas de procesamiento y análisis, además puede generar un montón de problemas para los equipos de respuesta a incidentes durante su estudio. El mecanismo se puede utilizar para iniciar cualquier programa en el sistema infectado y esto hace que sea muy potente", dijo Rascagneres.