29
mayo
2007

6.308 mensajes en el buzón... alguno con RTF

de vuelta al curro
[Malware] 
6.308 mensajes en el buzón es lo que me encontré el sábado, tras estar cinco días fuera, desconectado por completo. Cada vez se hace más complicado estar mucho tiempo sin Internet, no porque estemos enganchados (no lo echo para nada en falta), sino por lo que se nos amontona a la vuelta entre correo pendiente de leer, feeds, etc. Lo cierto es que una vez en casa me costó encender el ordenador, más de 15 horas, no me apetecía.


Empecé por los blogs, en concreto con un par de ellos que leo asiduamente por diversión, para seguir las andanzas de Kirai y Varsavsky. Después seguí echando un vistazo rápido a los feeds de seguridad, no había mucho nuevo. Me paré en una entrada del blog de McAfee Labs, pq salían un par de pantallazos de VirusTotal. En esa entrada se puede ver una minicomparativa que ha hecho McAfee con VirusTotal sobre como se comportan los motores al incrustar un binario en archivos RTF. Por supuesto McAfee sale bien parado, nadie tira piedras contra su propio tejado, no así la mitad de los motores de VirusTotal.


Al parecer comienza a ser una técnica habitual para distribuir el malware y pasar los filtros antivirus perimetrales. Hice un pequeñito script en python para procesar mi correo pendiente y buscar adjuntos o enlaces a archivos con extensión .RTF y, efectivamente, alguno que otro encontré. Están dándole al tema.



Al abrir el archivo RFT con WorPad un aparente mensaje de error nos informa de que Microsoft Word ha encontrado algún problema al abrir el documento y solicita que demos doble click al icono de Word que aparece para cargarlo de nuevo. El aparente mensaje de error es en realidad el nombre del archivo incrustado, y tras el icono de Word se esconde un ejecutable, de forma que si hacemos doble click estaremos ejecutando el troyano.


Ahora vamos a ver la diferencia de detección cuando el troyano está incrustado en el RTF:



Y cuando analizamos el troyano en crudo, sin incrustar:



Como se puede apreciar hay motores que reconocen el troyano en crudo pero que fallan cuando se lo encuentran incrustado en el RTF (AntiVir, Avast, AVG, CAT-QuickHeal, NOD32 y Sunbelt). Si lo comparamos con la prueba que hizo McAfee, la cosa más o menos cuadra, aunque se ven algunas excepciones.


Dejando a un lado que hay motores que no detectan el troyano en crudo y por tanto tampoco incrustado en el RTF aunque soporten el formato (caso de el propio McAfee, DrWeb, eTrust-Vet o Symantec), puede llamar la atención el caso de AntiVir que en la prueba de McAfee acertó a detectar el EICAR incrustado en el RTF y sin embargo falla en el troyano incrustado de nuestro ejemplo, e Ikarus que hace lo contrario, falló en el test de McAfee y lo detectó en el nuestro. ¿Por qué?... os dejo a vosotros las pruebas y conclusiones, la cosa puede ir por firmas específicas de malware empaquetado vs. soporte de formatos.

Enviado por bquintero a las 12:19 | Enlace permanente | Comentarios (3) | Trackbacks (0)
Comentarios
Re: 6.308 mensajes en el buzón... alguno con RTF


EL GRAN ROBO,DE CUELLO DURO.
Sabemos que,Operación Triunfo,es un gran pagio del Festival Autonómico de la Canción,hecho por los oportunistas directores de Gesmusic-Endemol España,que el autor quiso dialogar con ellos y se negaron,que a raíz de ello,mandó curenta dossiers a toda la prensa,donde las cosas están harto claras;a pesar de ignorarlas.Pero lo que no sabemos muy bien,es lo que pasó a los pocos días de dicha denuncia pública,que los telediarios y los otros medios comentaron el 27 de octubre,del 07:
Ha fallecidó de un infarto,a los 43 años,el que fuera director de TVE.del 2000 al 2002,quien desempolvó de los cajones y propulsó;OT.que posó luego a otra cadena,para recalar más tarde como Consejero de Endemol,y fichar después,como Presidente de Zeppelin,hasta el día de su muerte.Todo ello,(decían otros medios),de la mano de los directores de Gesmusic,josep mª mainat y toni cruz,cuyas productoras son del mismo grupo y,Endemol,la que ha hecho OT.al resto del mundo con activos más que millonarios,con un producto que no les pertenecía y,proporcionado por un señor que ha pagado un precio demasiado caro,por tomar algo que tenía propietario con mombre y apellidos,y Registrado a la Propiedad Intelectual de España;lo que implica,propiedad universal.
Se puede perdonar al desesperado que falto de otras luces,hace el tirón o comete un hurto,para salir del trance,(si no ha hecho daño) pero un señor que gana en un mes,lo que otro trabajador no gana en todo un año,y se apropia de sus ilusiones y esperanza;a ése, no lo perdono ni muerto.Todo ello,quedará en la pequeña historia(como otras cosas),como execrable vergüenza inherente al ser humano de cuello duro,que roba las gotitas de sangre del necesitado.

Posted by: kim at enero 12,2008 18:29
Re: 6.308 mensajes en el buzón... alguno con RTF

HABLANDO DE HISTORIA:
CAÍN MATÓ A SU HERMANO ABEL.DICE UNA PARTE DE LO QUE LLAMAN HISTORIA SAGRADA.YO HE ENCONTRADO UNA CANCIÓN,DE LAS PRESENTADAS A EUROVISIÓN ESPAÑA,TITULADA:CAÍN Y ABEL”QUE SÓLO HA TENIDO 18 VOTOS,Y ES UNA DE LAS MEJORES CANCIONES QUE HE ESCUCHADO EN MI VIDA,PERO ADEMÁS,LA CANTA UN TIPO CON LA VOZ MÁS HERMOSA E INPACTANTE QUE UDS.PUEDAN PENSAR.NO ES BROMA! LA VIDA ES INJUSTA.PASEN A:www.myspace.com/vicastell y lo escuchan Uds. Mismos.

Posted by: cilas at mayo 30,2008 22:35
Re: 6.308 mensajes en el buzón... alguno con RTF

Señores,he leído lo que dicen de la canción caín y abel,que estoy de acuerdo puesto que es formidable.Me ha llamado la atención un post que tienen haciendo referencia del plagio que hace ot.del festival autonómico de la canción,y que había leído en otros sitios de internet,por lo cual quiero decir algo que sé de muy buena tinta,(como se suele dicir coloquialmente):El Sr. que canta caín y abel,no es otro que el creador de de dicho Festival,y que no los ha podido demandar por cuestiones económicas y de presiones muy fuertes producidas por gente muy poderosa que lo tiene controlado desde hace muchos años,poniéndole zancadillas hasta la saciedad y, todo ello,por no haberse doblegado a sus exigencias y a sus coacciones que las vive constantemente,algo trmendo que capea como puede.Con todo ello,se les podrán aclarar muchas cosas al respecto de dicho Sr.con un par de c... más grandes que el caballo de santiago.

Posted by: tony at julio 22,2008 21:30
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/219/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario