Thanatos, un troyano que elimina otras amenazas de los equipos

Share this…

Aunque todavía no está afectando de forma masiva a los usuarios, los expertos en seguridad han detectado en lo foros de la Deep Web la distribución de un nuevo troyano que ha sido bautizado con el nombre de Thanatos y que posee la especial peculiaridad de borrar otras amenazas existentes en el equipo infectado con sistema operativo Windows.

En realidad fue descubierto el pasado mes de marzo, aunque es ahora cuando esta amenaza se ha puesto a la venta en el mercado negro, permitiendo a sus propietarios la creación de una botnet con los equipos infectados. Conocido también con el nombre de Alphabot, esta tiene como particularidad que cuando alcanza un equipo procede a la desinstalación de otros malware para evitar de esta forma compartir el premio, es decir, que los recursos existentes correspondan únicamente a Thanatos.

Los propietarios confirman en los foros existentes en el lado oscuro de Internet que el funcionamiento es muy similar a la ya desparecida ZeuS, pero con funciones mejoradas. Hay que recordar que esta última ha sido una de las más longevas, estando activa hasta el 2014 y con una tasa bastante alta de infecciones.

Los expertos han tenido la oportunidad de probar y analizar una copia y afirman que es totalmente funcional en cualquier versión de los sistemas operativos de los de Redmond, independientemente de si es de 32 y 64 bits. Está programado en C++ y no necesita de permisos de administrador para instalarse de forma correcta, pudiendo evadir el sistema de detección de algunas herramientas de seguridad.

Thanatos botnet admin panel

Thanatos posee un módulo antivirus

Pero la verdadera peculiaridad de esta amenaza no es otra que la presencia de algo similar a un módulo de un sistema antivirus, permitiendo a la amenaza la búsqueda de otras amenazas existentes en el equipo y llevando a cabo su eliminación o al menos su ejecución, evitando que se puedan aprovechar de los recursos del equipo, es decir, compartir el pastel.

Para asegurarse de que se trata de una amenaza y no de un falso positivo, los ciberdelincuentes envían una copia del ejecutable a VirusTotal,  cerciorándose de este modo que la amenaza detectada es real y proceder a una de las dos acciones descritas con anterioridad.

Aunque parezca un comportamiento poco común, ya hemos disfrutado con anterioridad de alguna amenaza con esta misma conducta, como fue el caso de Shifu, cuya repercusión entre los usuarios de Internet fue escasa.

La finalidad de pertenecer a esta botnet no es otra que el envío de correos spam y la realización de ataques de denegación de servicio.

Fuente:https://www.redeszone.net/