Malware a la Visual Basic.Net. Especialidad de hoy: Backdoor.MSIL.Bot.A

La historia del backdoor es un clásico. En la práctica, este tipo de amenaza consiste en que un atacante remoto logra acceso ilegal a la máquina de un usuario y, eventualmente, puede tomar el control completo de la misma. Con sus puertas abiertas de par en par, la máquina afectada es el lugar perfecto para la recolección de datos sensibles. Cuando el equipo infectado se convierte en un servidor al que varios ciberdelincuentes, y no sólo el atacante inicial, puede acceder y enviar comandos es cuando se arma la marimorena. Esto, claro, ya lo hemos escuchado antes. Entonces, ¿qué hay de nuevo en esta ocasión? Bueno, un cierto tipo de magia ... .. que tiene que ver con el nombre de Visual Basic.Net. Vamos a ver qué trae la receta en este caso.

 

 

 

Paso 1: Dale sabor con Visual Basic.Net. Esto hará el resultado el doble de sabroso. Primero, el código generado puede ser corrido en cualquier máquina que tenga el Framework .NET instalado. Considerando que este Framework viene pre-instalado en las últimas versiones de Windows, comenzando por Vista, todos los usuarios posteriores de ese sistema son vulnerables.�

 

Segundo, a diferencia de otros lenguajes de programación, como C++, los lenguajes basados en .NET permiten realizar varias tareas con sólo un par de líneas de código, lo que probablemente va a provocar un aumento en el número de programas maliciosos escritos de esta manera y mayor eficiencia y productividad en las futuras generaciones de malware.

 

Paso 2: Añadir un buen toque de sal y pimienta. Backdoor.MSIL.Bot. buscará soluciones específicas de antivirus que puedan estar instaladas en la máquina del usuario y tratará de matar a sus procesos. Este comportamiento, en sí mismo, es algo raro ya que no todos los troyanos cuentan con rutinas para matar los procesos de los antivirus. Pero lo que es aún más sorprendente es que la lista de antivirus que detiene este ejemplar de malware es bastante larga, más larga, incluso, que la que está en el código de troyanos creados específicamente para detener antivirus.

 

Paso 3: mezcla bien el resto de ingredients de la receta. Este ejemplar de malware tiene varias y curiosas capacidades de backdoor. Por ejemplo, roba información sobre los perfiles de Firefox (nombres de usuario, claves) mediante la carga y el uso de varias librerías que pertenecen a Mozilla Firefox. La capacidad de desinstalar añade un gran sabor a la mezcla, ya que cuando se le ordena que lo haga, es capaz de borrar hasta el troyano (lo elimina del sistema, incluyendo sus correspondientes claves de registro) para el cual había abierto un camino en el sistema. Backdoor.MSIL.Bot.A, además, enviará a su creador un “pantallazo” (“Print-screen”) cada poco tiempo para que éste vea lo que ocurre en la pantalla.

 

Paso 4: Cubrir y NO dejar reposar. Con el fin de evitar llamar la atención de los usuarios, el troyano modifica la opacidad de sus propias ventanas, poniéndolas a 0, por lo que se convierte en completamente transparente y por lo tanto prácticamente invisible. Sin embargo, no estamos ante un troyano tímido, tan diferentes de sus hermanos, que pueden minimizar sus ventanas, moverlas fuera de la zona visible de la pantalla o simplemente no mostrarlas. Backdoor.MSIL.Bot.A mostrará su icono si se pulsa “Alt + Tab”, ofreciendo así la posibilidad de cambiar a su ventana invisible.

 

Hay que decir que para los usuarios de BitDefender esta receta no es tóxica, ya que el backdoor es detectado por nuestras soluciones. Se trata, en cualquier caso, de un curioso ejemplar que marca lo que, sin duda, será una tendencia.�