Las herramientas antivirus no detectarán el virus

2

Hoy encontramos un virus / troyano en nuestra red que hasta ahora:

  1. Todos los archivos y carpetas ocultos
  2. Reemplazó los archivos y carpetas ocultos con archivos ejecutables de sí mismo, con iconos coincidentes, y cambió su nombre a esos archivos.

Kaspersky lo recoge, y es el único escáner de virus que podemos detectar hasta ahora. Process Explorer muestra un archivo boofa.exe en ejecución cuando iniciamos cualquiera de las carpetas falsas.

¿Alguien ha tenido alguna experiencia con este tipo de infección? ¿Hay algún lugar donde podamos enviar un archivo a Symantec u otra compañía de virus? Creemos que es un ataque de 0 días.

Información relacionada: Tuvimos una usuaria que tenía su computadora "manejando" horas después de encontrar este virus. Alguien tomó el control de su computadora, fue a Walmart.com, compró una tarjeta de juego WOW y se despidió.

También hemos ejecutado wireshark mientras ejecutamos el virus en una computadora en cuarentena pero no intentamos salir a internet.

    
pregunta BOMEz 21.11.2012 - 22:42
fuente

4 respuestas

4

Portal de envío de virus de Symantec: enlace

He visto este tipo de infección antes en los últimos años en varias formas.

¿La computadora 'conduciendo' es la misma que la infectada o una computadora diferente? Si es diferente, tendré que destruir todas las máquinas y empezar de cero, me temo. Tiene una RAT .

    
respondido por el schroeder 21.11.2012 - 23:17
fuente
2

En realidad no es tan raro en absoluto, en mi experiencia. Es posible que tengas un día, pero sospecho que es mucho más probable que tengas un virus conocido que ha sido confuso. Corrección: si la computadora se está "conduciendo" es muy probable que tenga un kit raíz instalado. Mal mojo :-( Todo lo siguiente se aplica pero es más académico y funcional. Intente algo como Sysinternals RootKit Revealer , pero buscaría una versión más actual.

Grauwulf balbucea sobre la ofuscación del virus .... tl; dr

La mayoría, si no todos, los sistemas de detección de virus / malware utilizan la coincidencia de firmas para determinar si un archivo es un virus. Las firmas generalmente consisten en una parte del código fuente que es identificable de manera única en "Virus A". Combine eso con otras características únicas como el tamaño de bytes o las firmas de hash, y realmente puede reducir un virus con bastante rapidez.

Esta es una técnica muy útil ya que es muy poco probable que obtenga un falso positivo. Por otro lado, digamos que tiene un virus perfectamente bueno y que algunos creadores han creado una firma para él y arruinaron su día :-(

¿Qué es un script kiddy para hacer? Como sabemos que los archivos coinciden con los elementos de la firma, ¿qué pasaría si pudiéramos modificar eso de alguna manera? Tal vez agregue un código no deseado al final del conjunto de bytes. Tal vez reinicie algunos 'números mágicos' en el código y simplemente vuelva a compilar. Cualquier cosa para hacerlo lo suficientemente diferente. Bueno, vaya a cualquiera, de muchos, sitios como virustotal.com (bueno para los ejemplos, ningún código mono que se respete cargaría su código a un sistema de análisis externo) y usted verifica. ¿Los escáneres de virus actuales ven su archivo como un virus? Si es así, sigue tweeking Finalmente, lo cambiará lo suficiente para que no se marque, pero no tendrá que hacer ningún trabajo real para escribir un nuevo virus.

De esta manera, muchos virus 'nuevos' son solo el mismo código Nimda reciclado usado una y otra vez. Proporcionar estas variantes a los laboratorios de investigación AV les ayuda a identificar nuevas cosas y a lidiar con ellas más rápidamente, y puede realmente mejorar la seguridad general contra esta clase de amenaza.

De nuevo, tal vez tengas un 0day. :-) Sin embargo, las probabilidades son que si consigues esto en las manos correctas, una solución AV puede estar muy cerca.

La mejor de las suertes.

    
respondido por el grauwulf 21.11.2012 - 23:51
fuente
2

Estos virus se llaman FUD (totalmente indetectables). Es muy probable que no sea un 0 días. Lo más probable es que sea un virus común que ha sido encriptado.

    
respondido por el vertroa 23.11.2012 - 03:16
fuente
1

Según el Informe de amenazas globales de Cisco 2011 4Q

  

"Durante el 4T11, el 33 por ciento del malware web encontrado fue un malware de día cero no detectable por las metodologías tradicionales basadas en firmas en el momento del encuentro.

Deberá leer este artículo que explica cómo se genera el malware para que las herramientas antivirus no puedan detectarlos: enlace

Deberá intentar enviar su archivo a Total de virus en un par de días.

    
respondido por el Techbrunch 22.11.2012 - 08:48
fuente

Lea otras preguntas en las etiquetas