Bookworm, el troyano que se disfraza de antivirus para robar tus datos

Share this…

Un nuevo tipo de troyano se disfraza de aplicación de seguridad de Microsoft o de Kaspersky para infectar ordenadores. Es prácticamente indetectable.

La firma de investigación de seguridad Palo Alto Networks ha identificado un nuevo troyano que usa software de seguridad para instalarse en un ordenador que ejecute Windows cargando sus propias librerías DLL. Esto nos lleva a plantearnos la pregunta de que quizá el software de seguridad ya no es tan seguro. El troyano, por cierto, ha sido bautizado por los expertos de la firma como Bookworm.

La investigación ha determinado que Bookworm comparte algunas conexiones con otro malwareconocido como PlugX RAT. Por ahora, este troyano se ha visto en campañas de un grupo de APT —Advanced Persisten Threat— que tiene su base de acción fundamentalmente en Tailandia.

Analizando la amenaza desde fuera, parece ser que Bookworm es una extensión de la última tendencia del malware modular. Para quienes no lo sepan, el malware modular es un tipo de amenaza informática capaz de autoinstalarse debido a que puede funcionar en múltiples capas de un sistema operativo, y es muy difícil de identificar.

Barti Hendrix

¿Cómo actúa Bookworm?

Desde un servidor C&C —Command & Control— externo se puede determinar qué se necesita subir a dicho servidor, lo que se hace analizando el perfil de máquina del ordenador infectado. En cuanto al malware en sí, lo cierto es que Bookworm utiliza una arquitectura interna muy simple: se usa un algoritmo XOR para cifrar varias DLL maliciosas y un archivo readme.txt, que después asocia entre sí.

Los ejecutables limpios entonces construyen el archivo readme mientras que las DLLs se insertan en un RAR autoextraíble. Este archivo comprimido está contenido dentro de la aplicación que crea los paquetes de instalación, conocida como Smart Installer Maker. El instalador que crea dicha aplicación que después es distribuido por los hackers, y dispara una rutina de auto extración que después descarga el archivo readme infectado, las DLLs maliciosas y el archivo ejecutable del instalador.

Cuando el trabajo del instalador ya está hecho, el ejecutable infectado se autoarranca y busca EXEs ya sea de Microsoft Malware Protection o de Kaspersky Anti-Virus, o los dos. Cuando los localiza, entonces el EXE infectado carga las DLLs maliciosas en los productos de seguridad, y los permisos de estas aplicaciones se usan para que el malware se instale disfrazado de aplicación de Microsoft.

Bookworm puede hacer que toda nuestra seguridad salte por los aires
Bookworm puede hacer que toda nuestra seguridad salte por los aires

Cuando se aprovecha de este fallo, Bookworm extrae y carga otros módulos presentes en el archivo readme. También empieza a comunicar con el servidor C&C y envía datos del dispositivo infectado al mismo. Lo que los investigadores no han mencionado son los tipos de módulosque Bookworm carga o descarga, debido a que su investigación se vio dificultada por el propiomalware, que usa cuatro algoritmos de cifrado para comunicarse con el servidor C&C.

Cómo eliminar Bookworm fácilmente

Para la cantidad de problemas que da, Bookworm es muy fácil de eliminar. Es cuestión de seguir unos pocos pasos extra que vamos a darte a continuación. En primer lugar descarga Avast Pro Antispyware y Wise PC Doctor. Cuando los tengas pásalos a una memoria USB y reinicia el ordenador.

Cuando la máquina vuelva a arrancar pulsa F8 repetidamente hasta que te deje elegir la opción de Modo seguro con funciones de red. Entra ahí e instala Avast Pro Antispyware desde la memoria USB, actualiza su base de datos, reinicia el ordenador para que el programa sea totalmente funcional y vuelve a repetir la operación para volver de nuevo al modo seguro con funciones de red. Cuando vuelvas a entrar en tu sesión ya puedes hacer un análisis completo con la herramienta.

Cuando el análisis haya terminado haz clic en Mostrar resultados completosasegúrate de que los datos importantes no han sido eliminados ni están infectados. Elige o ignora los resultados del escáner y después pulsa en el botón Remove Selected para que los virus desaparezcan. Lo siguiente será eliminar las entradas del registro infectadas, para lo cual tendremos que instalar Wise PC Doctor.

Cuando hayamos instalado el programa pulsamos en One-Click Fix para que realice un análisis completo del ordenador. Cuando termine nos dejará pulsar en el botón Repair All, que solucionará todos los problemas detectados.

Fuente:https://www.malavida.com/