Códecs falsos para la diseminación de malware

Todo el mundo, o casi todo el mundo, emplea códecs en los sistemas operativos. Escuchar MP3, ver vídeos DivX o XviD … la lista es larga, pero bastante frecuente en las configuraciones domésticas.

Este factor se aprovecha muchas veces para, cómo no, diseminar malware, concretamente, troyanos de toda índole (bancarios, especialmente). Esto lleva sucediendo bastante tiempo, no es nada nuevo, si bien está bien recordar de vez en cuando que el hecho de bajar software de una página web no lo convierte automáticamente en software seguro.

La recomendación se la hago a los usuarios de Windows, y es que el malware para derivados de UNIX es prácticamente inexistente. Además, en el mundo UNIX, la tendencia es descargar software de repositorios de confianza, con lo que este método tendría poco éxito.

En Sunbelt han comentado el último ejemplo. Se trata de una página bastante elaborada, que a todas luces parece verídica.

fake codec

El fichero que propone la página para su descarga, es decir, el presunto códec, es un ejecutable de Windows que como cabía esperar, contiene regalito sorpresa.

Este es el resultado completo de analizar el archivo «strcodec.107.zip» que VirusTotal ha procesado con fecha 15/09/2006 14:39:49 (CET).

[ datos de archivo ] * nombre: strcodec.107.zip
* tamano: 69377
* md5…: 9d5b885140629b6a264726fdbdf6c831
* sha1..: 7891cbce1feb28bc001841012cf046a85d28d3a3

[ resultado del analisis ] AntiVir 7.2.0.16/20060915 ha detectado [DR/Zlob.Gen] Authentium 4.93.8/20060914 ha detectado [Possibly a new variant of W32/Adware-Dropper.MCodec-DC-behavior!Maximus] Avast 4.7.844.0/20060913 no ha detectado nada
AVG 386/20060914 no ha detectado nada
BitDefender 7.2/20060915 no ha detectado nada
CAT-QuickHeal 8.00/20060914 no ha detectado nada
ClamAV devel-20060426/20060915 no ha detectado nada
DrWeb 4.33/20060915 no ha detectado nada
eTrust-InoculateIT 23.72.125/20060915 no ha detectado nada
eTrust-Vet 30.3.3078/20060915 no ha detectado nada
Ewido 4.0/20060915 no ha detectado nada
F-Prot 3.16f/20060914 ha detectado [Possibly a new variant of W32/Adware-Dropper.MCodec-DC-behavior!Maximus] F-Prot4 4.2.1.29/20060914 ha detectado [W32/Adware-Dropper.MCodec-DC-behavior!Maximus] Fortinet 2.82.0.0/20060915 ha detectado [suspicious] Ikarus 0.2.65.0/20060914 no ha detectado nada
Kaspersky 4.0.2.24/20060915 ha detectado [Trojan-Downloader.Win32.Zlob.akt] McAfee 4852/20060914 no ha detectado nada
Microsoft 1.1560/20060915 no ha detectado nada
NOD32v2 1.1758/20060915 ha detectado [Win32/TrojanDownloader.Zlob.ACG] Norman 5.80.02/20060915 no ha detectado nada
Panda 9.0.0.4/20060914 ha detectado [Suspicious file] Sophos 4.09.0/20060915 no ha detectado nada
Symantec 8.0/20060915 no ha detectado nada
TheHacker 5.9.8.212/20060915 no ha detectado nada
UNA 1.83/20060914 no ha detectado nada
VBA32 3.11.1/20060914 no ha detectado nada
VirusBuster 4.3.7:9/20060914 ha detectado [Trojan.DL.Zlob.YK.Gen] [ notas ] packers: UPX
packers: UPX, BINARYRES, BINARYRES
packers: UPX

Como véis, la mayoría de los antivirus de momento no lo detectan, y quienes lo hacen, tampoco se ponen muy de acuerdo. Yéndonos a los resultados de Kaspersky y Nod, los dos más fiables en mi criterio, vemos que se trata de un troyano llamado Trojan-Downloader.Win32.Zlob.akt. No tengo a mano Vmware para ver qué hace el bicho ejecutándolo en un entorno virtual, con lo que no puedo ofrecer más detalles.

Sea como fuere, cuidado. No descarguéis software de páginas no fiables nunca.

5 comentarios sobre “Códecs falsos para la diseminación de malware

  1. Habrá que tomar nota de este aviso. Lo de los codecs es muy delicado, porque muchas veces más por las prisas que otra cosa, la gente se descarga el codec del primer sitio que encuentra… y luego zasss: problemon.

    Yo recomendaría bajarselo del sitio oficial del codec y de ser posible huir de los packs de codecs, nunca se sabe que pueden contener. :)

    Saludos. :-)

  2. «Panda 9.0.0.4/20060914 ha detectado [Suspicious file]»

    Lo del fichero sospechoso, si no me equivoco, es cosa del cortafuegos, que detecta la conexión, NO DEL ANTIVIRUS.

    PREGUNTA:

    ¿Es así o ando yo errado? Como no sé cómo se implementó en VirusTotal…

    Y coincido, los dos mejores son el KAV y el NOD32. Lástima que no sea factible combinarlos, como antaño.

  3. maty,

    Me temo andas errado. Panda ha incorporado un motor heurístico no hará mucho a su antivirus, y dicha heurística marca así los contenidos sospechosos. Es algo parecido al «suspicious» de Fortinet (ambas heurísticas bastante poco finas, y muy tendentes a marcar como sospechoso todo lo que le entre, por cierto)

    Siempre puedes combinar ambos, KAV en el servidor, y NOD en los desktops. De hecho, es la combinación más favorable hoy en día.

    Saludos,

Comentarios cerrados.