En la época del DOS uno de los tipos más primitivos de malware eran los “virus de compañía”. Básicamente se aprovechaban de que el MS-DOS daba prioridad a los COM sobre los EXE, de forma que si un usuario ejecuta “CHKDSK”, el sistema primero comprueba si existe “CHKDSK.COM” para ejecutarlo, y en su defecto lo hace con “CHKDSK.EXE”.

El virus lo que hacía era buscar ejecutables con extensión EXE y realizaba una copia del virus con el mismo nombre del ejecutable pero con extensión COM. Cuando el usuario llamaba por su nombre al ejecutable, por ejemplo “CHKDSK”, el MS-DOS ejecutaba el virus (CHKDSK.COM) en vez de la aplicación original (CHKDSK.EXE). Para que el usuario no sospechara, el virus al final de su ejecución lanzaba el ejecutable EXE original, y a simple vista no se apreciaba nada raro.

El otro día un conocido me trajo su portátil porque su antivirus detectaba un malware y no era capaz de desinfectarlo. Se trataba de una versión del popular Vundo/WinFixer, un troyano/adware con múltiples variantes, muy extendido, y que tiene la particularidad de que resulta complicado eliminar (hay muchas discusiones en foros sobre como desinfectar a Vundo-Winfixer porque los antivirus no suelen hacerlo).

Este conocido, con cierta habilidad con la informática (lo que podríamos llamar como usuario avanzado), ya había probado con varios antivirus online de diferentes marcas y utilidades específicas para eliminar al Vundo que había encontrado en foros donde ayudan a los usuarios infectados. Pero aunque algunos de estos programas le decían que habían detectado y eliminado los ficheros del malware, el troyano aparecía después de cada reinicio.

Una de las estrategias que seguía el troyano, y que lo hacía perenne en el sistema, me recordó mucho a los virus de compañía de hace años. Básicamente se hace pasar por algunos de los ejecutables que ya se encuentran en la clave RUN del registro de Windows (que se ejecutan en cada inicio de sistema). En vez de sobreescribir el ejecutable, lo que hace es renombrarlo añadiéndole un espacio a su nombre, y a continuación realiza una copia del troyano con el nombre original.

Con ésto consigue que el troyano se ejecute en cada inicio de sistema sin necesidad de añadir una nueva entrada en la clave RUN. Si el usuario revisa manualmente el contenido de la clave no encontrará ningún nombre extraño, y si tiene algún antivirus o utilidad de seguridad que monitorice las entradas en estas claves tampoco detectará cambios sospechosos.

Para combatir la detección del antivirus por firma lo que hace es seguir esta estrategia de forma simultánea, en el mismo sistema, con diferentes droppers (ejecutables que instalan el troyano). Cada dropper necesitaría una firma de detección distinta, de forma que al mantener varios diferentes tiene más posibilidades de que alguno de ellos no sea detectado por el antivirus que posea el usuario, logrando la reinfección en cada inicio de sistema. Aquí los resultados de VirusTotal en el caso del dropper que suplantaba un binario de Java, jusched.exe, y otra versión del dropper haciendo lo propio con un binario de QuickTime, qttask.exe.

Este tipo de estrategias entre otras (se inyecta en otros procesos, dificulta la eliminación de sus componentes, etc) explican que Winfixer sea uno de los malware más perennes en los equipos infectados pese a que los usuarios mantengan un antivirus actualizado. En el Estudio sobre Seguridad de la Información y eConfianza de los hogares españoles, de INTECO, lectura recomendable, aparece como detectado en el 7,9% de los sistemas analizados.

FUENTE