LICAT, el virus que lleva a Zeus

Trend Micro publicó un análisis con la detección de un peligroso ataque de virus que mostraba comportamientos similares al famoso Conficker/DOWNAD. Denominado LICAT, desde su descubrimiento TrendLabs ha analizando esta amenaza y comparte hallazgos significativos.

Es estudio se llama “Archivo original de infección” (“Mother File Infector”) y es el primero en generar una infección, es similar a un hipotético virus biológico artificial que sale del laboratorio y está listo para infectar a otros organismos. Además, el archivo original envenenado al parecer prepara los sistemas de sus víctimas para una posterior infección de ZeuS.

ZeuS, es el malware que roba la base de datos de banca online, ha acaparado gran atención tras producirse la detención de alrededor de un centenar de personas que estaban relacionadas con él.

El LICAT genera una lista de nombres de dominios desde los cuales se descargan otros archivos maliciosos. La función de generación del nombre de dominio se basa en una función aleatoria, que es computada desde el sistema UTC (Coordinated Universal Time) de fecha y hora.

También, los archivos envenenados pueden ser muy difíciles de limpiar por dos razones, la primera dependerá del lugar donde el agente de infección inserta el código en el host de archivos, éste puede ser añadido inmediatamente o esperar días para buscar agujeros.

En segundo lugar, puede resultar más difícil su eliminación en función de cómo toma el control una vez que el host de archivos es ejecutado. En la industria de seguridad, éstas sucias técnicas a veces se conocen como EPO (Ocultar el Punto de Entrada o Entry Point Obscuring, por sus siglas en inglés). Ésta, es una técnica para infectar programas mediante la cual un virus intenta esconder su punto de entrada para evitar así ser detectado.