Entre las novedades, vemos indicios que implican el interés en propagarse por unidades extraíbles utilizando el clásico “autorun.inf”, tal y como se puede ver en las cadenas de caracteres incluidas en el mismo.
[autorun] shellexecute=autorun.exe UserAutoPlay=1…así como la información de debug…
AUTOCOPY: report=[DEVICE], type=[USB], deviceID=[%s], vendorID=[%s], caption=[%s], size=[%s], HKLM_NoDriveTypeAutoRun=[%u], HKCU_NoDriveTypeAutoRun=[%u]. AUTOCOPY: report=[STATUS], active=[%u].…y el respectivo comando para ser activado…
autocopy_enable autocopy_disable
Esta nueva funcionalidad, unida al comando “network_scan”, podría
dar a entender que los desarrolladores están buscando dotar al troyano
de nuevas funcionalidades más allá de su principal especialización hasta
ahora, los bancos.
El añadido de estas funcionalidades puede llevar a debate, puesto que
aunque aumente la funcionalidad, también se puede pensar que el troyano
añade funciones que no encajan con su filosofía, puesto que para
propagarse por la red interna o conseguir acceso a otros equipos existen
otro tipo de software malicioso que encaja mejor.
Además de lo anterior, y entre otras cosas, cabe destacar que continúa
la eterna lucha para evitar su análisis, y en este caso se ha
implementado un nuevo cambio en la rutina de cifrado utilizada tanto
para la comunicación como para el (des)cifrado del fichero de
configuración.
En la última versión conocida (1.3.5.1), la rutina de descifrado del
fichero de configuración utilizaba un AES modificado y una capa de
VisualEncrypt/Decrypt, mientras que ahora incluye una tercera capa que
consiste en un cifrado utilizando XOR con una constante incluida en el
binario y 32 bytes aleatorios.
Todos estos cambios intentan añadir un nuevo aire fresco a una familia
que se creía en decadencia, o al menos estancada, demostrando que aún
sigue con nosotros, aunque el modelo de negocio haya cambiado.
Fuente: Blog.s21sec
No hay comentarios:
Publicar un comentario