Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Un conjunto de troyanos abre acceso al equipo infectado

11 de noviembre de 2015

Entre muchos tipos de programas nocivos existe una categoría de aplicaciones no nocivas que aún así pueden ser usadas por los malintencionados con propósitos ilegales. Se trata de los así llamados programas de administración remota que pueden ser usados tanto de forma muy legal — para administrar un equipo por la red, como ilegal: con el mismo objetivo, pero sin que el usuario lo sepa. Los especialistas de la empresa antivirus Doctor Web han estudiado un esquema de ataque usado, para el cual se usaba una aplicación difundida de forma legal para el acceso remoto.

Un paquete entero de programas nocivos llamado BackDoor.RatPack fue difundido por los ciberdelincuentes usando el exploit Exploit.CVE2012-0158.121 como documento en formato RTF, al intentar abrir el cual en el equipo de la víctima se descifraba y se guardaba un archivo nocivo. Cabe destacar que este archivo que es un programa instalador tiene una firma digital válida (igual que casi todos los archivos del conjunto BackDoor.RatPack).

screen BackDoor.RatPack #drweb

Al iniciar, el instalador intenta detectar la existencia de máquinas virtuales en el equipo atacado, así como de programas monitores y depuradores, y luego comprueba la existencia de programas banca-cliente en el sistema de varias entidades rusas de crédito. En caso de haber realizado todas las comprobaciones con éxito, el instalador descarga del servidor de los malintencionados e inicia en el equipo atacado otro instalador en formato NSIS (Nullsoft Scriptable Install System) que contiene otro conjunto de archivos ejecutables y varios archivos archivados protegidos con contraseñas. Este instalador descomprime los archivos e inicia los archivos ejecutables.

Una carga útil para el instalador son varias opciones de la utilidad muy legal condicionalmente gratuita Remote Office Manager — los expertos de la empresa Doctor Web detectaron como mínimo dos opciones de este tipo con varios ajustes de configuración. Al interceptar varias funciones del sistema, el programa nocivo oculta los iconos de esta utilidad en el área de notificación y la barra de tareas Windows, para que el usuario no lo detecte de forma oportuna. También se puede suponer que por medio de aplicar BackDoor.RatPack los malintencionados intentan obtener acceso a las cuentas bancarias y a la información confidencial almacenada en el equipo atacado, administrando de forma remota el equipo infectado.

Las firmas de todos los archivos nocivos que forman parte de BackDoor.RatPack fueron añadidas a las bases de virus Dr.Web y por lo tanto no suponen peligro para los usuarios de nuestros productos antivirus.

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web
Experiencia de desarrollo a partir del año 1992
Dr.Web se usa en más de 200 países del mundo
Entrega de antivirus como servicio a partir del año 2007
Soporte 24 horas

Dr.Web © Doctor Web
2003 — 2021

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125124, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А