Llegamos a ustedes gracias a:



Noticias

Test tipo 'One clic' detecta infecciones de Gameover Zeus

[13/06/2014] Los usuarios pueden testear sus computadoras simplemente visitando una página web. En ella se podrá ver si la máquina ha sido infectada con Gameover Zeus, un sofisticado troyano bancario en línea que las autoridades han detectado.

El test tipo one clic fue desarrollado por investigadores en seguridad de la empresa proveedora de antivirus F-Secure y aprovecha el agresivo algoritmo del malware.

Gameover Zeus monitorea e inyecta código malicioso en las sesiones de navegación web cuando los usuarios acceden a la banca y a otros sitios web populares desde computadoras infectadas. Los sitios objetivo se encuentran determinados por reglas basadas en expresiones comunes listadas en el archivo de configuración del malware.

Por ejemplo, para robar credenciales de log in de Amazon.com o sitios web de Amazon el malware monitorea si alguna de las URL a las que se accedió en el navegador es igual a alguna de las siguientes expresiones comunes: http.*?://.*?amazon..*?/.*?. Sin embargo, estas expresiones no solo son iguales a los sitios de Amazon, sino también a cualquier URL que tenga la palabra amazon en ella, como por ejemplo https://www.f-secure.com/amazon.com/index.html.

Podemos usar esto para engañar a los bots de Gameover y revisar fácilmente si la infección se encuentra presente en su navegador, indicó Antti Tikkanen, director de respuesta de seguridad de F-Secure, en una entrada de blog el lunes.

Al visitar la página de test de F-Secure desde una computadora infectada se forzará al malware a inyectar código malicioso en ella. La página, luego, realiza una revisión en sí misma para detectar si se ha añadido código específico de Gameover.

Buscamos la cadena LoadInjectScript, sostuvo Tikkanen. Si la cadena se encuentra en el página, sabemos que Gameover Zeus ha infectado su computadora.

El test, sin embargo, no es perfecto, ya que el malware no soporta navegadores nativos de 64 bits, por lo que visitar la página de F-Secure desde un navegador, así no va a detectar la infección. Los usuarios, por ello, reciben la sugerencia de realizar un test usando una versión de 32 bits de Internet Explorer, Google Chrome o Mozilla Firefox.

F-Secure también proporciona un escáner gratuito en línea que es capaz de detectar y remover la amenaza.
Lucian Constantin, IDG News Service