En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Practicas malware en Emule.

Cuando buscamos en Emule algún archivo que no tiene muchas fuentes en algunos servidores se generan respuestas automáticas con tres archivos, infectados con malware.

Un ejemplo es cuando buscamos la palabra “qwery”:

Este ejemplo realizado el 15 de mayo del 2007 daba tres resultados:

Qwery fastest BitTorrent download.zip
Find qwery using emule multimedia toolbar.zip
Watch Live TV and Find qwery usin TVtoolbar.zip

Analizando estes archivos con Virustotal obtengo los siguientes resultados:

“Qwery fastest BitTorrent download.zip”, 16 motores antivirus detectan este archivo como infectado por un troyano.

“Find qwery using emule multimedia.zip” y “Watch Live TV and Find qwery usin.zip” no son detectados por ningún motor antivirus.

Realizando esta misma prueba hoy 11 de junio de 2007 obtengo los siguientes resultados:

Download qwery with the fastest BitTorrent downloader.zip
Find qwery using emule multimedia toolbar.zip
View qwery with the ultimate player.zip

Analizando estés archivos con Virustotal obtengo los siguientes resultados:

“Download qwery with the fastest BitTorrent downloader.zip”, 11 motores antivirus lo reconocen como un troyano.

“Find qwery using emule multimedia toolbar.zip”, ningún motor antivirus lo reconoce como infectado.

“View qwery with the ultimate player.zip”, 9 motores antivirus lo reconocen como infectado.


Conclusiones de los análisis:


El archivo “Qwery fastest BitTorrent download.zip” ha cambiado de nombre a “Download qwery with the fastest BitTorrent downloader.zip” pero sigue conteniendo el mismo virus, le han aplicado técnicas de morphing, para engañar el sistema de reconocimiento de firmas de los motores antivirus por eso ha pasado de ser reconocido por 16 motores a 11 motores antivirus.

“Find qwery using emule multimedia toolbar.zip”, sigue sin ser reconocido por ningún motor antivirus pero es una barra multimedia con comportamiento de malware, recaba información de hábitos de navegación para después enviarlos a la red.

“View qwery with the ultimate player.zip”, en otro troyano al que también se le han aplicado técnicas de morphing, para engañar a los motores antivirus solo 9 motores lo reconocen.

“Watch Live TV and Find qwery usin TVtoolbar.zip”, ya no aparece como resultado, aunque ningún antivirus lo reconoce es una barra para el navegador, con un comportamiento malware, también sirve para averiguar nuestros hábitos de navegación.


Conclusiones finales.


Siempre hay que estar muy seguros de las fuentes de donde sacamos el software en este caso, en el emule es imposible.

Un antivirus no es la solución final contra el malware y los virus, se necesitan protecciones adicionales como firewall, programas antiespias y programas antirootkit.




Post relacionados anteriormente publicados:

Infectar un sistema fácilmente con un troyano.
http://vtroger.blogspot.com/2006/08/infectar-un-sistema-fcilmente-con-un.html

Forma común de recibir un troyano.
http://vtroger.blogspot.com/2005/10/forma-comn-de-recibir-un-troyano.html

Antivirus, ¿Cuánto más caro mejor?
http://vtroger.blogspot.com/2005/10/antivirus-cunto-ms-caro-mejor.html

10 consejos de seguridad para un usuario.
http://vtroger.blogspot.com/2005/10/10-consejos-de-seguridad-para-un.html

Ordenadores zombies.
http://vtroger.blogspot.com/2006/02/virus-zombis.html

Acerca de Virustotal.
http://vtroger.blogspot.com/2006/05/servicio-gratuito-de-anlisis-antivirus.html
Practicas malware en Emule. Practicas malware en Emule. Reviewed by Álvaro Paz on lunes, junio 11, 2007 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.