Menú de contenidos Cerrar

Noticias

Otro aparato infectado

Noticias

lectura de un minuto

Autores

Hace poco lanzamos un producto especial para netbooks, así que constantemente estamos realizando pruebas de compatibilidad con cada nuevo netbook que aparece en el mercado. El otro día compramos un M&A Companion Touch nuevo para examinarlo. Tras realizar los primeros análisis, el equipo de examinadores me contactó porque sospechaba que había una infección de virus. ¿Sería posible que este sea otro ejemplo de un aparato que viene infectado de fábrica?

Un análisis antivirus detectó los siguientes programas nocivos: Worm.Win32.AutoRun.aayn, Rootkit.Win32.Agent.hwq y Packed.Win32.Krap.g. Por si les interesa, estos son sus MD5s:

Worm.Win32.Autorun.aayn: 0x4f90e62489e5a891a1d9520408164b8c
Rootkit.Win32.Agent.hwq: 0x7f289b08a41ef6c26b684dc4d95028ee
Packed.Win32.Krap.g: 0x1928c09bdb7d2c7d1180bf2105e1315a

Después de estudiar el caso con mayor profundidad, descubrí que los archivos habían estado en el aparato desde febrero de 2009, mucho tiempo antes de que compráramos el netbook.

El gusano AutoRun se propaga a través de dispositivos removibles, aprovechando vulnerabilidades en la forma en que Microsoft ejecuta la funcionalidad. Escribí sobre el problema en el blog de Zdnet (en inglés). Lo que debe haber pasado es que alguien utilizó un dispositivo USB infectado y lo conectó al netbook para instalar algunos drivers del aparato.

El verdadero propósito de este gusano es robar las contraseñas de algunos juegos en línea, como el de El señor de los anillos y Maple story. También utiliza un mecanismo especial de descarga. Los archivos PE están codificados y vinculados de forma previa por un encabezamiento RAR falso para burlar a las soluciones de seguridad. Detectamos estos archivos “defectuosos” como Trojan.Win32.Ramag.

Este caso demuestra una vez más que hasta los productos nuevos pueden venir infectados desde la fábrica. Protegerse de los dispositivos nuevos que ya vienen infectados es muy difícil. Por lo general lo más efectivo es hacer un análisis con una solución antivirus actualizada sin conexión a la red. Como siempre habrá transcurrido cierto tiempo entre el momento de la infección y el de la compra, tu programa de seguridad no debería tener ningún problema en detectar las amenazas.

Como es de esperarse, hemos informado a M&A sobre nuestro descubrimiento. Pero, como los aparatos también están dando vueltas en casas y oficinas, también estamos alertando a los usuarios.

Autores

Otro aparato infectado

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Dark Tequila Añejo

    Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada