Análisis de malware

Ofuscamiento por junk bytes en algoritmo de barrido lineal

En oportunidades anteriores hemos hablado sobre técnicas de identificación y el perfilado de un código malicioso. En este caso, profundizamos sobre una técnica utilizada para ofuscar el malware mediante la inserción de lo que se conoce como junk bytes, utilizados para forzar errores en el desensamblado durante el análisis estático. A la hora de analizar una

Análisis de Bicololo.A: malware que se aloja en Latinoamérica y afecta usuarios rusos

La semana pasada estuvimos analizando un troyano que fue encontrado en servidores de 4 países de Latinoamérica y que afectaba a usuarios de redes sociales rusas. En esta oportunidad, continuaremos con el análisis, abordando los temas que quedaron inconclusos. Recapitulando el análisis previo, “¿Qué pasó ayer en el Laboratorio? Analizando una muestra que recorre Latinoamérica“,

¿Qué pasó ayer en el Laboratorio? Analizando una muestra que recorre Latinoamérica

En este post analizamos una muestra recibida ayer por el Laboratorio de Investigación de ESET Latinoamérica mediante nuestro Sistema de Alerta Temprana. La muestra representa una amenaza que afecta a usuarios de Rusia, pero lo hace desde dominios de diversos países de América Latina. Cada día se reciben y procesan numerosas muestras en nuestro Laboratorio,

Una amenaza, dos análisis: diferencias entre análisis estático y dinámico (parte II)

Continuando con esta serie de post, les traemos la segunda entrega de este análisis a una amenaza. Algunos días atrás les mostrábamos qué información habíamos podido obtener por medio de un análisis dinámico, pero ahora es el momento de realizar un análisis estático para ver que información se puede obtener de la amenaza. Un análisis

Una amenaza, dos análisis: diferencias entre análisis estático y dinámico (parte I)

Es notable como distintos acercamientos a un mismo problema pueden arrojar resultados similares y más valioso aún cuando cuando uno de esos métodos se destaca por arrojar aún más información que el otro. Esto usualmente aplica a las dos técnicas utilizadas para analizar malware: análisis dinámico y análisis estático. En esta serie de post se observará la

Análisis de un ataque con Win32/TrojanDownloader

En este post trataremos un caso puntual de TrojanDownloader en donde comenzaremos a ver las distintas etapas de un ataque y lo que el cibercriminal busca obtener a partir de él. Durante el análisis de códigos maliciosos es común encontrarnos con algunos patrones que se repiten una y otra vez. Entre esta serie de situaciones

Visualización y análisis de malware con ProcDot

El análisis de códigos maliciosos suele incluir tareas bastante diversas. En primera instancia, tenemos que considerar qué tipo de amenaza estamos por investigar y en base a ello decidir qué tipo de aproximación vamos a utilizar para conocer su funcionamiento. En el día de hoy vamos a empezar a hablar sobre visualización en el análisis de

Encontrando información útil de una botnet

En muchas ocasiones cuando nos encontramos frente un malware y tenemos que realizar un análisis, existen una gran cantidad de herramientas que podemos utilizar. Cada una de ellas cumplen funciones determinadas y nos permiten conocer información acerca del comportamiento de dicha amenaza y las actividades que realiza en un sistema infectado. Hoy vamos a ver cómo hacer

Backdoors web presentes en servidores latinoamericanos

Desde el Laboratorio de Investigación de ESET Latinoamérica se llevó a cabo un procesamiento de datos sobre sistemas que se encuentran vulnerados y alojan Webshells del tipo backdoor. De esa forma, se detectó la presencia de diversos servidores latinoamericanos afectados con códigos maliciosos de estas características. ¿Qué es una WebShell? Una WebShell es un script o programa

Rápido crecimiento del troyano Zortob.B

El siguiente post es una traducción de la publicación Sinkholing of Trojan Downloader Zortob.B reveals fast growing malware threat  escrita por nuestro colega e investigador Sébastien Duquette y publicada en el blog de ESET Norteamérica. Se analizó un código malicioso que ha infectado 250.000 computadoras alcanzando 80 millones de mensajes por hora. Este código malicioso se detecta como

Win32/Gataka – ¿o debemos decir Zutick?

El siguiente post es una traducción y adaptación de la publicación Win32/Gataka – or should we say Zutick? escrita por nuestro colega Jean-Ian Boutin de ESET Norteamérica. Win32/Gataka es un troyano diseñado para robar información. No es primera vez que hablamos sobre esta amenaza en el blog. En dos ocasiones anteriores habíamos analizado algunos aspectos

Bootkit Olmasco: ¿una evolución de TDL4?

El siguiente post es una traducción de la publicación “Olmasco bootkit: next circle of TDL4 evolution (or not?) escrita por nuestro colega Aleksandr Matrosov. Olmasco (también conocido como SST y MaxSS) es una modificación de la familia de bootkit TDL4 de la cual tenemos conocimiento desde el verano de 2011, sin embargo, a partir de