Sality.AO, un virus que une pasado y presente

- Este virus aúna las peligrosas técnicas de infección de los virus con los propósitos del nuevo malware, destinado a la obtención de beneficios económicos para sus creadores

- PandaLabs, el laboratorio de Panda Security, ha detectado un creciente número de infecciones y la aparición de nuevas variantes de este tipo de malware por lo que aconseja a los usuarios que extremen las precauciones

Caracas, 19 de febrero de 2009

Sality.AO es un virus que unifica las características de los viejos virus (aquellos que infectaban ficheros y cuyo único fin era dañar el mayor número de ordenadores posibles para dar fama a su creador) con el objetivo de los nuevos ejemplares de malware, que no es otro que proporcionar beneficios económicos a sus creadores. PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha observado ya un crecimiento en el número de infecciones provocadas por este ejemplar en los últimos días, así como la aparición de nuevas variantes que emplean la misma técnica, por lo que aconseja aumentar las precauciones ante un posible ataque masivo.

Sality.AO utiliza técnicas que hace años que no se veían como EPO (http://www.pandasecurity.com/spain/homeusers/security-info/glossary/#EPO) o Cavity (http://www.pandasecurity.com/spain/homeusers/security-info/glossary/#cavity). Ambas son técnicas relacionadas con el modo en que se lleva a cabo la modificación del fichero original para infectarlo, haciendo más difícil de detectar esa modificación así como la posterior desinfección. Así, la técnica EPO permite la ejecución de parte del fichero legal antes de que comience la infección, lo que dificulta la detección del ejemplar. Por su parte, la técnica Cavity consiste en la utilización de los espacios en blanco del código del fichero legal para insertar el código maliciosos del virus, lo que, además de hacerle más difícil de localizar dificulta enormemente su desinfección.

Estas técnicas están muy alejadas de las que se pueden lograr con las herramientas de creación automática de malware, causantes del gran aumento de amenazas en los últimos años, y requieren técnicas más artesanales y un gran conocimiento de programación de códigos maliciosos.

A estas técnicas relacionadas con los primeros ejemplares de malware, Sality.AO añade funcionalidades del nuevo malware como la posibilidad de conectarse a un canal IRC para recibir órdenes de su creador y poder tomar el control de la máquina y convertirla en un ordenador zombie. A través de estos ordenadores zombies se lleva a cabo acciones como el envío de spam, la distribución de malware, ataques de denegación de servicio, etc.

Igualmente, no se limita a la infección de ficheros como los viejos ejemplares de virus, sino que también busca distribuirse a través de la web como los ejemplares más novedosos. Para ello, infecta los archivos PHP, ASP y .HTML que encuentre en el equipo con un iFrame. Debido a esto, cuando alguno de esos ficheros es ejecutado el navegador es redirigido, sin que el usuario se dé cuenta, a una página maliciosa en la que se lanza un exploit contra el equipo con el fin de descargar en él nuevos ejemplares de malware.

Pero la amenaza no termina ahí. Si alguno de esos ficheros infectados son subidos a una página web –y las extensiones de los archivos infectados son las típicas de archivos que se suben a la web-, los usuarios que los descarguen desde ellas o que visiten las páginas formadas por esos códigos quedarán infectados igualmente.

El archivo que se descarga a través de esta técnica es lo que PandaLabs denomina un malware doble ya que es una mezcla de funcionalidades de troyano y de virus. El troyano, además, cuenta con funcionalidades downloader para seguir descargando nuevos ejemplares de malware en el equipo. Las URLs de descarga que utiliza este downloader aún no estaban operativas en el momento del análisis de PandaLabs, pero podrían activarse cuando el número de ordenadores infectados con este ejemplar vayan aumentando, según el laboratorio de Panda Security.

“Como ya pronosticamos en nuestro informe anual la distribución de códigos maliciosos clásicos como los virus será una de las principales tendencias para 2009. El uso de tecnologías de detección cada vez más sofisticadas, como la Inteligencia Colectiva de Panda Security, capaces de detectar incluso ataques de bajo nivel y las técnicas de malware más novedosas, provocará que los ciberdelincuentes comiencen a hacer uso de viejos códigos como éste, pero adaptados a las nuevas necesidades. Es decir, ya no serán virus destinados a propagarse sin más o hacer daño al sistema, como hace una década, sino que servirán, como en este caso, para ocultar troyanos o convertir al ordenador en un zombie”, explica Luis Corrons, director técnico de PandaLabs.

Puede obtener información adicional en este post del blog de PandaLabs: http://pandalabs.pandasecurity.com/archive/Good-_28003F002900_-old-times.aspx
Sobre PandaLabs
Desde 1990, PandaLabs trabaja en la detección y eliminación de las nuevas amenazas de seguridad con el objetivo de ser los más rápidos y ofrecer así la máxima seguridad a nuestros clientes. Para conseguirlo, PandaLabs cuenta con un innovador sistema automatizado que analiza y clasifica miles de muestras nuevas al día produciendo automáticamente veredictos (malware o goodware). Este sistema es la base de la Inteligencia Colectiva el nuevo modelo de seguridad de Panda Security que permite detectar incluso aquellos ejemplares de malware que han dejado escapar otras soluciones de seguridad.
Actualmente, el 94% del malware que detecta PandaLabs ya es analizado a través de este sistema de Inteligencia Colectiva. Esto se complementa con el trabajo de varios equipos especializados en cada tipo de malware (virus, gusanos, troyanos, spyware, phishing, spam, etc.) que trabajan 24 horas los 7 días de la semana, dando respuesta a nuestros clientes. Para los clientes este innovador modelo de seguridad se traduce en soluciones más seguras, más sencillas de manejar y que consumen menos recursos.
Para más información visite el blog de PandaLabs: http://www.pandalabs.com