News

Induc: El innovador programa que infecta archivos

Hace poco agregamos a nuestra base de datos un nuevo virus que infecta archivos, que hemos denominado Virus.Win32.Induc.a. Desde entonces, hemos recibido muchas preguntas sobre él. Por ahora no realiza ningún ataque malicioso y no infecta de forma directa los archivos .exe. En vez de eso, revisa si el ordenador de su víctima tiene instaladas las versiones 4.0, 5.0, 6.0 y 7.0 de Delphi.

Si las encuentra, copia SysConst.pas a Lib y escribe su código allí. Después realiza una copia de seguridad de SysConst.dcu, llamándola SysConst.bak (los archivos dcu se mantienen en Lib). A continuación compila LibSysConst.pas para producir una versión infectada de SysConst.dcu. Por último, elimina el archivo .pas modificado.

“uses windows;
var sc:array[1..24] of string=(‘uses windows; var sc:array[1..24] of string=(‘, ‘function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]’,
‘=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;’, ‘h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin’,
‘h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle’, ”

El resultado: todos los programas Delphi del ordenador quedan infectados. (Ya hemos recibido quejas de una empresa que nos contactó porque pensaba que habíamos detectado una infección inexistente en su producto). Tal vez este virus en particular no es una amenaza muy grande: no es la primera vez que vemos este método de propagación, el código es bastante primitivo, el ataque no es muy dañino y hay formas mucho más fáciles de infectar ordenadores. Pero a lo largo de los años hemos visto que las nuevas formas de infección se reutilizan, alteran y mejoran. Así que mantendremos este programa vigilado en caso de que esto suceda.

Induc: El innovador programa que infecta archivos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada