Skip to content

Zeus, o cómo desarrollar un troyano indetectable para la mayoría de antivirus

Publicado por Sergio Hernando el 21 septiembre 2009

Hola,

Que confiar toda la seguridad de nuestros equipos a un antivirus es absolutamente inútil es algo que todos sabemos (o deberíamos saber). Que los estudios sobre virus y antivirus propician que cada cual cuente la feria según le ha ido tampoco es una novedad. Que los antivirus, por desgracia, son cada día menos efectivos, es algo que se viene comprobando desde hace bastante tiempo, y buena culpa de ello la tiene la especialización de la industria del malware.

Considerando todo lo anterior, os enlazo un interesante documento que bien podría poner en jaque a la industria antivirus. Se llama Measuring the in-the-wild effectiveness of Antivirus against Zeus, y como su propio nombre indica, es un estudio en el que se trata de analizar la efectividad de los antivirus a la hora de proteger a los usuarios de Zeus.

La familia Zeus, también conocida como Zbot, WSNPOEM, NTOS y PRG, es una familia de troyanos financieros de alta especialización orientados al robo de credenciales. Como buen pack de crimeware, Zeus viene acompañado de un panel de control PHP y un ejecutable para construir el troyano a medida. Entre las poco honrosas habilidades de Zeus se encuentran la capacidad de interceptación de credenciales en cualquier puerto TCP, incluyendo HTTP y HTTPS, la posiiblidad de ser personalizado en el momento de la compilación, comunicación aunque la máquina infectada esté tras NAT mediante un proxy Socks 4/4a/5, o la generación de capturas de pantalla del escritorio de la máquina infectada, por citar algunos ejemplos.

Zeus incorpora una lista de direcciones que, una vez visitadas por la víctima, disparan el proceso de apropiación ilegítima de las credenciales, enviándolas en tiempo real al servidor de destino. También tiene capacidad para inyectar código HTML, superponiendo falsos formularios de autenticación a los legítimos. Zeus también es el nombre de una red de ordenadores infectados (botnet) que sólo en Estados Unidos cuenta con más de 3,5 millones de máquinas infectadas por esta virulenta familia de troyanos.

Pero lo peor de Zeus es que utiliza algunas técnicas rootkit para evadir la detección de los antivirus, y quizás ese sea el factor que hace que sea extremadamente difícil su tratamiento. En el estudio de Trusteer las cifras hablan por sí mismas: después de analizar 10,000 máquinas infectadas, la principal conclusión es que Zeus acaba infectando el 77% de las máquinas con antivirus actualizados, lo que reduce la tasa neta de efectividad a un 23%. Para más inri, la mayoría de las infecciones detectadas (un 55%) correspondía a equipos con antivirus actualizados.

Que sólo un 23% de los despliegues antivirus consiga frenar un troyano y sus variantes es una cifra que debe hacernos pensar y mucho. Yo, si os sirve de algo, os aliento a que dejéis de pensar en que el antivirus que tenéis instalado es el Santo Grial de la protección, y que empecéis a considerar seriamente realizar una navegación responsable, huyendo del software pirata que hay en las redes de pares, los cracks, los keygens y los ficheros ZIP y/o RAR de la mula con las últimas canciones del Bisbal y compañía.

Sí, ya sabemos que según la legislación y jurisprudencia española descargar música sin ánimo de lucro no es un delito, pero la cantidad de descargas que además de la canción del verano incluyen regalito sorpresa es bastante más elevada de la que podáis pensar. Os recomiendo también que evitéis la tentación de ver cuerpos femeninos/masculinos en poses provocativas en páginas de dudoso origen y contenidos, ya que también son fuente habitual de contaminación. Sé que a alguno le costará trabajo, pero le va en ello su salud financiera :)

Un saludo,

Be Sociable, Share!

Categoría/s → Malware

10 comentarios
  1. 23 septiembre 2009

    Recomiendales que usen linux, así al menos están un poco más seguros que con windows.

    Una pregunta, un troyano que tome screen capture necesita correr con privilegios de administrador?

  2. 24 septiembre 2009
    Hernan permalink

    En el “informe” no dicen:
    – Cuáles han sido las técnicas de muestreo escogidas para hacer esa “estadística”.
    – Varios datos críticos para el análisis: sistema operativo de la máquina, antivirus utilizado, malware detectado y método de detección, cuentas y privilegios con las que se opera, formación informática del usuario, etc. O no, al menos, con un detalle razonable.

    Y, sobre todo, no me dejan claro como es que el Zeus este les mete semejante golazo a tooooodos los fabricantes de antivirus mientras que ellos lo detectan fácilmente mediante esa huella que un malware que usa rootkits y avanzadísimas técnicas de ocultación deja bien a la vista, pero que toooodos los antivirus ignoran o no pueden utilizar para nada. :-?

    Además, la empresa se dedica a vender precisamente eso (Trusteer helps online businesses secure the consumer browser from financial malware attacks and fraudulent websites).

    Me gustaría tener algo más claro que eso es un “informe” y no un simple “folleto de propaganda”.

  3. 24 septiembre 2009

    Alfonso,

    No se trata de recomendar una cosa u otra. Se trata de formar y potenciar la navegacion responsable.

    Hasta el punto que puedo comentarte no es preciso ser admisitrador para sacar una captura de pantalla.

    Un saludo,

  4. 24 septiembre 2009

    Hernan,

    Si esperas que alguien en la industria antivirus te facilite esa informacion lo tienes complicado. Es muy raro que alguien se moje más de lo que has visto en este texto.

    Es por esto que escribí que cada cual cuenta la feria según le ha ido. Haces bien en cuestionarte el informe, ya que no contiene toda la informacion que hubiésemos deseado, y como cualquier otro texto sobre antivirus nunca despeja todas las incógnitas.

    Lo que si te quiero decir es que un 23% como tasa de detección no es un golazo: es más de lo que muchos motores antivirus son capaces de detectar en condiciones normales. No creas que los mejores andan en tasas del 90% tampoco.

    Un saludo y gracias. Si localizase informacion extendida sobre este informe la publicaré en un comentario.

  5. 25 septiembre 2009

    Un poco tarde Trusteer ,el primer troyano creado para este tipo de delito fue el bandook hace unos 5 años con características similares a la descriptas ,hoy dia existen una gran variedad mas amplia de troyanos con etas características, con un poco de lectura se daran cuenta que saltar la protección de un AV es muy sencillo , popr eso como lo indica el amigo Sergio Hernando es muy bueno tomar precauciones.

    El informe no es del todo correcto ,cuando unos se pone a investigar y mete mano con algún depurador luego lo scannea los AV toman al troyano como una variante de zeus y no lo es ,hagan la prueba .saludos

  6. 3 octubre 2009

    Os dejo un enlace de S21. Masters at work :)

    http://blog.s21sec.com/2009/09/detectando-un-zeus.html

    Ojo a los mutex creados por el bicho. No tienen desperdicio.

Trackbacks & Pingbacks

  1. naw's status on Monday, 21-Sep-09 21:00:39 UTC - Identi.ca
  2. SinapsysMx.Net » Zeus, o cómo desarrollar un troyano indetectable para la mayoría de antivirus
  3. ZeuS: virus informàtic per robar diners (v2.x)
  4. Variante P2P de Zeus explota marcas de confianza para robar datos de tarjetas de débito « Seguridad PCs

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS