Hackers invierten los nombres de archivos para crear extensiones de archivo “seguras”

Una función de Unicode usada maliciosamente para infectar equipos con base de pago-por-instalación

PRAGA, Republica Checa, 7 de Septiembre de 2011 -- “Lo que ves no es lo que recibes” gracias a una nueva ola de malware que hace un mal uso de una función especial para desplegar idiomas que engaña al usuario para abrir lo que supuestamente son archivos “seguros”. La nueva vulnerabilidad de seguridad hace mal uso de las características del Unicode – El estándar de la industria informática para la representación de texto – para enmascarar un ejecutable de malware como un archivo “seguro” con una extensión .doc o .jpg por ejemplo. Esta vulnerabilidad ha sido nombrada "Unitrix" por los analistas de AVAST Software.

Esta función de Unicode ha sido diseñada para desplegar alfabetos escritos bajo un esquema de derecha a izquierda como es el caso del árabe o hebreo y que invierte el texto desplegado después de ciertos códigos ocultos tales como 0x202E (Reemplazar de izquierda a derecha) que son añadidos al nombre de archivo. Por ejemplo: el ejecutable del archivo malware con terminación “gpj.exe” es desplegado al destinatario con un nombre que suene más inocente como “photo_D18727_Collexe.jpg”.


Fuente: AVAST Virus Lab

“El usuario típico normalmente mira la extensión al final del nombre del archivo; por ejemplo, jpg para una foto. Ahí es donde radica el peligro comenta Jindrich Kubec, encargado del laboratorio de virus de AVAST. “La única manera de que un usuario se entere de que se trata de un archivo ejecutable es si tiene detalles adicionales desplegados en alguna parte del PC o si un elemento emergente

El laboratorio de virus de AVAST ha rastreado un crecimiento constante en el número de detecciones durante Agosto con un pico diario mayor a los 25,000. “De los correos electrónicos y el patrón de tráfico, esto es claramente a empresas,” expresó el Señor Kubec. Los ataques son casi exclusivamente hechos durante los horarios de trabajo, con detecciones diarias que caen a menos de 5,000 durante el fin de semana.

EL archivo más común Unitrix es un malware que descarga y genera conexiones a varias direcciones URL que actúan como comando y centros de. “Basado en nuestro análisis de más de cincuenta muestras, parece ser parte de una red pago-por-instalación PPI con capacidad para enviar a los usuarios infectados con una variedad de malware,” explica el Sr. Kubec. Información adicional en relación de Unitrix está disponible en el blog de AVAST.

“No es posible hacer una detección única, universal, a prueba de tontos porque esta crearía muchos falsos positivos, pera hay definitivamente maneras de enfrentar esta situación,” comentó el Sr. Kubec y apunto que el usuario final de avast! Antivirus están protegidos en dos formas:

  1. Detección simple cuando el nombre del archive utiliza este truco aparece en un correo electrónico de entrada.
  2. En el sistema de archivos avast! automáticamente sugiere que el archivo sospechoso sea abierto en la sandbox, un ambiente seguro virtualizado.

“El problema es que esta es una funcionalidad del Unicode. Aunque mencionaron la implicación en la seguridad de estas especificaciones, las personas lo implementan como está diseñado sin prestarle mayor importancia. Se ha mencionado en otros sitios de laboratorios de antivirus pero no es algo ampliamente conocido,” comentó el Sr. Kubec.

Su navegador está obsoleto.

1. El 8 de abril de 2014 Microsoft dejará de dar soporte a su navegador Internet Explorer en Windows XP. Esto pondrá a su equipo y a sus datos, como su tarjeta de crédito o sus detalles de banca en línea, en mayor riesgo frente a los hackers y el malware.

2. Existen algunas alternativas, pero aquí, en AVAST, utilizamos y recomendamos Chrome ya que consideramos que es la opción más segura disponible.