traducido por Federico Dilla
Facundo Red Gil, CISA, CISM, Director General - VINTEGRIS
ZeroAccess: an Advanced Trojan
Vintegris.info Malware on Sep 10, 2014 Comments Off
ZeroAccess rootkit is a sophisticated kernel mode, equivalent to vectors Family TDL rootkits.
Use advanced methods to conceal its presence and works on Windows 32 and 64-bit from a single installer. Includes an aggressive functionality for self-defense and acts as an ideal platform for other types of malware download.
ZeroAccess replaced some critical operating system files and some specific to the structure of the kernel to achieve invisibility cloak against both the operating system and security software against Antivirus.
Infection vectors
The vectors of infection for ZeroAccess identify with modern processes malwares can find these lists major threats antivirus companies.
Basically we identified two distinct methodologies propagation: exploit packs and social engineering.
Exploit packs:
BlackHole Exploit Kit is one of the most common tools used by cybercriminals to give permeability ZeroAccess Internet.
The Exploit Kits usually contain a lot of exploits targeting various applications typically found on Windows and Mac OSX operating systems, using IE, Acrobat, Flash and Java.
They are used to infect legitimate sites webs (SQL injection or FTP) by installing a series of scripts in php.Si a user visits a website infected with Blackhole, your operating system is infected by ZeroAccess without having to be downloaded or executed a command, a process called Drive-by-Download.
Social engineering:
The other vector ZeroAccess infection is commonly used by the different use of social engineering techniques, which exploit hot news or phishing masks to confuse the user
Persistent objective seeks to convince the user to run a file that will leave infected.
Seek alternatives from a program or valuable game "pirated" to a crack or keygen false to turn costly programs.
Used as a platform download sites or torrents. These offerings are designed to fool the unwary down and run applications that infect them.
Another factor is very effective seduction free download porn, which attracts a large audience that is able to run anything to access the content.
In short, the human factor is the main vector of infection and no antivirus able to stop him.
By Facundo Red Gil
CISA, CISM
Director General - VÍNTEGRIS
ZeroAccess: un Troyano Avanzado
ZeroAccess es un sofisticado rootkit en modo kernel, equivalente a los vectores de la familia de rootkits TDL.
Usa métodos avanzados para encubrir su presencia y funciona en Windows 32 y 64-bit desde un mismo instalador. Incluye una funcionalidad agresiva para defensa propia y actúa como una plataforma de descarga ideal para otros tipos de malwares.
ZeroAccess sustituye algunos archivos críticos del sistema operativo y algunos propios de la estructura del kernel para alcanzar un manto de invisibilidad tanto frente al sistema operativo como frente al software de seguridad Antivirus.
Vectores de infección
Los vectores de infección para ZeroAccess se identifican con procesos de malwares modernos que podemos encontrar hoy en las listas de amenazas de las principales compañías de antivirus.
Fundamentalmente identificamos dos metodologías de propagación bien definidas: exploit packs e ingeniería social .
Exploit packs:
BlackHole Exploit Kit es una de las herramientas más comunes utilizadas por los ciberdelincuentes para dar permeabilidad a ZeroAccess en Internet.
Los Exploit Kits habitualmente contienen una gran cantidad de exploits dirigidos a aplicaciones varias que se encuentran normalmente en equipos con sistemas operativos Windows y Mac OSX, utilizando IE, Acrobat, Flash y Java.
Son usados para infectar sitios webs legítimos (por inyección de SQL o FTP) instalando una serie de scripts en php.Si un usuario visita un sitio web infectado con el Blackhole, su sistema operativo queda infectado por ZeroAccess sin que tengan que haber descargado ni ejecutado ningún comando, un proceso denominado Drive-by-Download.
Ingeniería social:
El otro vector de infección de ZeroAccess utilizado habitualmente es mediante el uso diferentes de técnicas de ingeniería social, que aprovechan noticias candentes o máscaras de phishing para confundir al usuario
El objetivo persistente busca convencer al usuario para que ejecute un archivo que lo dejará infectado.
Buscan diferentes alternativas, desde un programa o juego valioso “pirateado”, hasta un crack o keygen falso para activar costosos programas.
Usan como plataforma los sitios de descargas o torrentes. Estas ofertas son diseñadas para engañar a los incautos que bajan y ejecutan las aplicaciones que los infectan.
Otro factor de seducción muy efectivo es la descarga gratuita de pornografía, la cual atrae a mucho público que es capaz de ejecutar cualquier cosa con tal de acceder al contenido.
En definitiva, el factor humano es el principal vector de infección y no existe antivirus capaz de detenerlo.