Los mecanismos maliciosos utilizados tanto en el proceso e propagaci\u00f3n como en los m\u00e9todos de infecci\u00f3n evolucionan de manera progresiva gracias a los desarrolladores de crimeware que constantemente perfeccionan sus creaciones con el objeto de aumentar su econom\u00eda.<\/p>\n
Esta realidad da cuenta clara que el desarrollo de malware constituye un negocio donde muchos \u201cemprendedores\u201d toman la posta del tema lanzando al mercado viral nuevas alternativas que colaborar activamente en la generaci\u00f3n automatizada de c\u00f3digos maliciosos incorporando procesos auto-defensivos que provocan un efecto negativo para el an\u00e1lisis e investigaci\u00f3n de malware.<\/p>\n
Hace un tiempo habl\u00e1bamos de uno de los aplicativos crimeware de origen ruso que se sumaba de manera feroz a la cartera de ofertas que presenta, y representa, el comercio clandestino de malware: la familia de software da\u00f1ino con caracter\u00edsticas polim\u00f3rficas de CRUM.<\/p>\n
A principios de mes, sus creadores lanzaron oficialmente, con fuegos artificiales, nueva versi\u00f3n de sus dos aplicativos crimeware estrellas CRUM Cryptor Polymorphic (v2.6) y CRUM Joiner Polymorphic (v3.1), ambos escritos en Delphi y ASM.<\/p>\n
El primero de ellos se trata de un \u201ccripter\u201d polim\u00f3rfico, un programa cuyo objetivo es cifrar cada archivo procesado. En este caso, el cifrado es a trav\u00e9s de una clave aleatoria de 256 bytes. Al mismo tiempo, el archivo da\u00f1ino tambi\u00e9n es sometido a polimorfismo con lo cual en cada proceso se obtiene un archivo diferente, lo que es igual a decir\u2026 un malware diferente.<\/p>\n
Con un valor de USD 200, este crimeware promete, entre muchas otras, las siguientes funcionalidades:<\/p>\n
* Windows 2000, Windows XP SP3, Windows Server 2003 y Windows Vista
\n * Cifrado polim\u00f3rfico
\n * Cifrado con clave aleatoria de 256 bytes, en versiones anteriores el cifrado es de 128 bytes
\n * Por defecto, el punto de entrada est\u00e1 siempre en la primera secci\u00f3n del binario; sin embargo, puede ser configurado para que sea aleatorio
\n * Anti-VM. Evita la ejecuci\u00f3n del binario en m\u00e1quinas virtuales
\n * Anti-dump. Evita el volcado de memoria
\n * Sustituci\u00f3n de “pixels” del icono al azar
\n * Capacidad para cambiar o borrar el icono
\n * Permite cifrado bajo l\u00ednea de comandos<\/p>\n
Quiz\u00e1s este crimeware parezca un tanto trivial pero su funcionalidad de polimorfismo lo convierte en una amenazas muy peligrosa ya que la mutaci\u00f3n que se produce en cada uno de los archivos no es superficial, no cambia alg\u00fan time stamp sino que realiza importantes cambios en el binario modificando completamente su estructura, formando en cada proceso un nuevo prototipo de malware.<\/p>\n
En cuanto al hermano menor de la familia, CRUM Joiner Polymorphic, se encuentra dise\u00f1ado, como su nombre lo indica, para fusionar (concepto adoptado por el crimeware actual) archivos sin importar su extensi\u00f3n y est\u00e1 escrito en MASM32.<\/p>\n
Su precio es de USD 100 y entre sus caracter\u00edsticas se destaca que:<\/p>\n
* Al igual que el hermano mayor, posee capacidades polim\u00f3rficas
\n * Permite fusionar una cantidad ilimitada de archivos con cualquier extensi\u00f3n (mp3, avi, doc, bmp, jpg, exe)
\n * Configurar opciones de funcionalidad en el archivo final (carpeta de alojamiento, atributos, etc.)
\n * Permite seleccionar la iconograf\u00eda. Por defecto, el software trae 40 im\u00e1genes
\n * Cifrado del binario con clave aleatoria de 256 bytes
\n * Soporta Drag & Drop
\n * Capacidad de seleccionar la extensi\u00f3n del archivo final
\n * Extracci\u00f3n de iconos de archivos
\n * Capacidad anti-an\u00e1lisis. No permite la ejecuci\u00f3n del binario en m\u00e1quinas virtuales<\/p>\n
Con respecto a las condiciones de venta y uso del crimeware, el autor solicita no compartir el cripter ni sus componentes (esto atenta contra el \u201cnegocio\u201d), utilizarlo con fines comerciales (una contradicci\u00f3n evidente) ni someterlo al an\u00e1lisis a trav\u00e9s de sitios online como VirusTotal (esto aumenta el \u00edndice de detecci\u00f3n de su binario). Requerimientos que parecen ser un tanto infantiles.<\/p>\n
El objetivo que se encuentra detr\u00e1s del desarrollo de estos aplicativos es aumentar el ciclo de de vida de los c\u00f3digos maliciosos que son sometidos a los procesos maliciosos propuestos por la aplicaci\u00f3n, a\u00f1adi\u00e9ndole caracter\u00edsticas anti-an\u00e1lisis que entorpecen su an\u00e1lisis y su posterior detecci\u00f3n por parte de las compa\u00f1\u00edas antivirus.
\nFuente: http:\/\/mipistus.blogspot.com<\/p>\n","protected":false},"excerpt":{"rendered":"
Los mecanismos maliciosos utilizados tanto en el proceso e propagaci\u00f3n como en los m\u00e9todos de infecci\u00f3n evolucionan de manera progresiva gracias a los desarrolladores de crimeware que constantemente perfeccionan sus creaciones con el objeto de aumentar su econom\u00eda. Esta realidad da cuenta clara que el desarrollo de malware constituye un negocio donde muchos \u201cemprendedores\u201d toman […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-551","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"\n