Killtrojan te invita a participar como usuario en nuestra comunidad. Registrate y podrás participar en todos nuestros subforos y ayudarás a crecer nuestra comunidad.

Si te gusta la informática,la seguridad, el análisis de malware o tienes problemas con virus o troyanos,no te lo pienses.


Registrarte en el foro no te llevará mas de un minuto.

Técnicas víricas para anular las actualizaciónes de los antivírus

Ver el tema anterior Ver el tema siguiente Ir abajo

Técnicas víricas para anular las actualizaciónes de los antivírus

Mensaje  Skapunky el Lun Sep 27, 2010 12:54 pm

Hoy vamos a comentar una de las formas que tiene el malware de combatir contra los antivírus o programas de seguridad que protegen el ordenador y es quizá uno de los mayores problemas ya que en muchos casos los usuarios no se dan cuenta de ello, la técnica consiste en sobrescribir el archivo hosts, del que ya se ha hablado algúna vez, para que los antivírus no puedan actualizarse devídamente.

Primero de todo hacer un breve resúmen del uso del archivo hosts, este archivo está ubicado en C:\windows\system32\drivers\etc\hosts.txt y tiene la finalidad de resolver los nombres de domínio con sus IP's correspondientes, de esta manéra en un principio este archívo solamente tendrá una sola línea útil definida como localhost apuntando a la dirección 127.0.0.1 que es la de nuestro propio equipo, es decir el archivo tendrá únicamente una sola línea como la siguiente:

127.0.0.1 localhost

Con esta forma para resolver domínios, se nos ofrece mediante una trampa engañar al ordenador para bloquear las páginas que nos interésen, de hecho múchos bloqueadores de páginas utilizan éste método. Por ejemplo, si queremos bloquear una pagina llamada www.ejemplo1.com, simplemente tendrémos de añadir una línea a nuestro archivo hosts, asignandole una IP falsa a ese dominio web. Aparte de bloquear, ofrece otras posibilidades como poder hacer redirecciónes a paginas falsas, pero ese ya es otro tema que se comentará más adelante, así que la nueva estructura de nuestro archivo hosts será:

127.0.0.1 localhost
127.0.0.1 www.ejemplo1.com


Queda por comentar, que estos bloqueos pueden ser directamente de dns o servidores y es aquí donde realmente se verá el problema que puede existir con las actualizaciónes de los antivírus. Hablándo ya sobre los antivírus, la mayoría se actualizan cada dia o varias veces al dia y para ello requieren poder conectarse a un servidor para verificar y bajar las actualizaciónes.

Imagino que sobre estas alturas ya pueden empezar a ver el problema, cualquier malware podría añadir al archivo hosts, una resolución de IP falsa por ejemplo al servidor que se conecta nuestro antivírus, de esta forma nunca llegaría a poder efectuar la actualización y nuestro ordenador quedaría desprotegido. Para que vean un ejemplo mas práctico realizaremos un ejemplo con el antivirus gratuito Avast, en mi caso se actualiza mediante un servidor que conecta al dominio a691sm.avast.com que tiene una dirección assignada, si en el archivo hosts le añado:

127.0.0.1 localhost
127.0.0.1 www.ejemplo1.com
127.0.0.1 a691sm.avast.com


Al intentar actualizar el avast este no es capaz de hacerlo, ya que al introducir el servidor para descargar las actualizaciónes (a691sm.avast.com) el ordenador lo interpreta como dirección local, es decir la del propio ordenador y nunca llegará a conectar en los servidores de avast.

Visto un resúmen de la teoría sobre el archivo hosts y su sencíllo funcionamiento, cualquier vírus fácilente puede deshabilitar las actualizaciónes de un antivírus sin dañarlo o cerrando los procesos de este ya que normalmente si se desactiva el propio software avisa o no es muy difícil darse cuenta.

Con un simple módulo en nuestro malware, podríamos escribir en el archívo hosts, una simple línea para deshabilitar las actualizaciónes del antivírus que querámos mientras sepámos las direcciónes de los servidores donde conectan, información que es pública y cualquier puede encontrar.

A continuación escribiré el fragmento del módulo que podría deshabilitar las actualizaciónes de un antivírus escribiendo en el archivo hosts una simple línea. El fragmento lo escribiré en pascal aunque podría haberlo escrito en basic o C de una forma igual de sencilla.

Procedure desactivar_upd_av;
var
hosts:text;
assign (hosts,'C:\windows\system32\drivers\etc\hosts.txt');
append(hosts);
writeln (hosts,'127.0.0.1 a691sm.avast.com');
close (hosts);
end.


Como se puede ver es muy fácil modificar éste fichero, y no solo para alterar las actualizaciónes de los antivírus, sinó para otras técnicas que utilizan programas malintencionados como la redirección a falsas páginas por eso es recomendable de vez en cuando hechar una ojeada al archivo hosts, o utilizar algúnos de los programas que lo verifíca.
avatar
Skapunky
Admin
Admin

Posts : 493
KCoins : 822
Reputación : 21
Fecha de inscripción : 16/06/2008

Premios :
Staff


Ver perfil de usuario http://www.killtrojan.net

Volver arriba Ir abajo

Re: Técnicas víricas para anular las actualizaciónes de los antivírus

Mensaje  Fitoschido el Mar Sep 28, 2010 8:53 am

Qué info más interesante, buen post Smile
avatar
Fitoschido
Colaborador
Colaborador

Posts : 258
KCoins : 373
Reputación : 1
Fecha de inscripción : 18/10/2009

Premios :
Staff


Ver perfil de usuario http://flavors.me/fitoschido

Volver arriba Ir abajo

Re: Técnicas víricas para anular las actualizaciónes de los antivírus

Mensaje  invisible_hack el Miér Sep 29, 2010 6:38 pm

Había pensado hace tiempo en crear un software que hiciese precisamente esto con las páginas fake de msn y demás, es decir, una lista de páginas fake, que, cuando el usuario entrase en ellas, le redireccionase por ejemplo a localhost, para evitar que metiese sus datos...

Si alguien está interesado en el proyecto, me gustaría oir opiniones, sugerencias etc. Estaría bien que aqui en InfoMalware se desarrollase el soft, estaría genial para evitar que gente incauta regale sus cuentas de correo.

Un saludo.
avatar
invisible_hack
CoAdmin
CoAdmin

Posts : 496
KCoins : 814
Reputación : 7
Fecha de inscripción : 02/09/2009

Staff


Ver perfil de usuario http://www.elrincondeinvisible.blogspot.com

Volver arriba Ir abajo

Re: Técnicas víricas para anular las actualizaciónes de los antivírus

Mensaje  Contenido patrocinado


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.