Replanteamiento de los programas maliciosos para Java o gestación de un inédito robot malicioso para Java

En “Firing the roast – Java is heating up again”, publicado en el Virus Bulletin 2011, hablamos sobre el nivel de explotación de los exploits Java que se han lanzado este año. Analizamos en detalle la vulnerabilidad CVE-2010-0840, así como otras variantes de sus implementaciones más comunes en la web y algunas herramientas y consejos para su análisis. El equipo de seguridad de Microsoft presentó sus hallazgos de este año, que reflejan los nuestros, en relación al predominio de los exploits dirigidos a Java en la web (¡en primera posición!). Al mismo tiempo, aparte de la reciente y afamada implementación BEAST para Java, resulta sorprendente la baja presencia de puertas traseras, troyanos y spyware para Java. Pero esa falta de programas maliciosos para Java está comenzando a cambiar. Mi colega, el analista de programas maliciosos Roman Unucheck, ha identificado un nuevo robot de Java con interesantes características, al que hemos bautizado como “Backdoor.Java.Racac”.

Nuestra detección de “Backdoor.Java.Racac” ya es pública, pero hasta este momento no se han tenido informes de que Virustotal lo haya detectado (otro upload podría remediar esto). Lo que hace que este nuevo robot de Java sea tan interesante son sus modernas funciones:

1. Comunicaciones móviles Twitter
2. Efectiva implementación de la codificación (los algoritmos incluyen uso privado o público de llaves, encadenamiento de bloqueo de codificación).
3. Lista completa de capacidades DDoS: HTTP Flooder, UDP Flooders, Raw Socket Flooder junto a completas capacidades proxy SOCKS para ocultar la verdadera fuente del robot infeccioso.
4. Rastreo de localización geográfica y generación de informes.
5. Descarga y ejecución de códigos arbitrarios.
6. Habilidad para identificar herramientas automáticas de análisis y autoeliminarse para dificultar la detección de la familia.
7. Adecuada implementación AWT de capturas de pantalla para múltiples plataformas
8. Completamente funcional en múltiples plataformas: se ejecuta en Windows, Linux y Apple OS X.
9. Etc.

Este código dirigido al objeto está bien desarrollado y tiene un claro estilo. El archivo JAR sólo pesa 131 kb, lo que hace que el tamaño de este robot Java sea comparable al de otros robots y RATs comunes que infectan los sistemas de sus víctimas. Con ejemplos como este, podemos esperar una mayor presencia de programas maliciosos para Java en la lista habitual de exploits para Java de la que hemos visto hasta ahora. En breve seguiremos publicando sobre otros inusuales y recientes programas maliciosos para Java.