Noticias

Otro aparato infectado

Hace poco lanzamos un producto especial para netbooks, así que constantemente estamos realizando pruebas de compatibilidad con cada nuevo netbook que aparece en el mercado. El otro día compramos un M&A Companion Touch nuevo para examinarlo. Tras realizar los primeros análisis, el equipo de examinadores me contactó porque sospechaba que había una infección de virus. ¿Sería posible que este sea otro ejemplo de un aparato que viene infectado de fábrica?

Un análisis antivirus detectó los siguientes programas nocivos: Worm.Win32.AutoRun.aayn, Rootkit.Win32.Agent.hwq y Packed.Win32.Krap.g. Por si les interesa, estos son sus MD5s:

Worm.Win32.Autorun.aayn: 0x4f90e62489e5a891a1d9520408164b8c
Rootkit.Win32.Agent.hwq: 0x7f289b08a41ef6c26b684dc4d95028ee
Packed.Win32.Krap.g: 0x1928c09bdb7d2c7d1180bf2105e1315a

Después de estudiar el caso con mayor profundidad, descubrí que los archivos habían estado en el aparato desde febrero de 2009, mucho tiempo antes de que compráramos el netbook.

El gusano AutoRun se propaga a través de dispositivos removibles, aprovechando vulnerabilidades en la forma en que Microsoft ejecuta la funcionalidad. Escribí sobre el problema en el blog de Zdnet (en inglés). Lo que debe haber pasado es que alguien utilizó un dispositivo USB infectado y lo conectó al netbook para instalar algunos drivers del aparato.

El verdadero propósito de este gusano es robar las contraseñas de algunos juegos en línea, como el de El señor de los anillos y Maple story. También utiliza un mecanismo especial de descarga. Los archivos PE están codificados y vinculados de forma previa por un encabezamiento RAR falso para burlar a las soluciones de seguridad. Detectamos estos archivos “defectuosos” como Trojan.Win32.Ramag.

Este caso demuestra una vez más que hasta los productos nuevos pueden venir infectados desde la fábrica. Protegerse de los dispositivos nuevos que ya vienen infectados es muy difícil. Por lo general lo más efectivo es hacer un análisis con una solución antivirus actualizada sin conexión a la red. Como siempre habrá transcurrido cierto tiempo entre el momento de la infección y el de la compra, tu programa de seguridad no debería tener ningún problema en detectar las amenazas.

Como es de esperarse, hemos informado a M&A sobre nuestro descubrimiento. Pero, como los aparatos también están dando vueltas en casas y oficinas, también estamos alertando a los usuarios.

Otro aparato infectado

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada