DeBank - Análisis del Anti Troyano Bancario

Introducción

Una compañía finlandesa de pruebas de penetración (Fitsec) ha lanzado una herramienta gratuita que asegura que puede detectar todas las variantes de las cinco grandes familias de software malicioso que roba credenciales de banca online: SpyEye, Zeus, CarBerp, Gozi y Patcher.

La herramienta, llamada Debank, fue construida por Fitsec, una compañía finlandesa de pruebas de penetración, que ha utilizado la herramienta para escanear las máquinas de sus clientes, dijo el fundador de la compañía Toni Koivunen.

Teoría del funcionamiento de Debank

La herramienta ha sido lanzada el 18 de agosto de 2011 y funciona mediante el escaneo de la memoria del ordenador en proceso, dijo Koivunen. La mayoría del software malicioso en estos días es "empaquetado", o comprimido, antes de ser distribuido. Por eso puede engañar a los programas antivirus, ya que el malware puede parecer un programa diferente cada vez que es reenvasado.

Koivunen dijo que los programas antivirus a menudo utilizan la heurística como una forma alternativa para la detección de malware, aparte de las firmas tradicionales, pero ese método no siempre es tan exitoso como un barrido de memoria llena.

Debank analiza el sistema después de que se ha ejecutado en una PC. Los autores de malware no suelen cambiar el código del núcleo del programa, que es lo que Debank analiza.

Koivunen dijo Debank puede detectar casi todas las variantes de SpyEye, Zeus, CarBerp, Gozi y Patcher, cinco conocidos programas de malware bancario. Vale aclarar que el malware tiene que estar en ejecución para que Debank pueda detectarlo y la herramienta sólo funciona en ordenadores con Windows, dijo.

Debank fue capaz de detectar más de 200 variantes de Patcher después que FitSec encontró una parte de su código que era común a todas las variantes. FitSec también lo ha probado con cientos de variantes de SpyEye, una pieza particularmente avanzada de código que funciona como parte de una botnet.

Fitsec decidió publicar la herramienta, y la ha puesto a disposición para su descarga en su blog. "No teníamos razón para empezar a cobrar por ello", dijo Koivunen. "Básicamente, nosotros odiamos el malware".

 

Práctica del funcionamiento de Debank

Obviamente, como primer paso se deberá descargar la aplicación de http://www.fitsec.com/tools/DeBank.exe (786 Kb). Corre bajo Windows 7 (32 bit), Windows 7 (64 bit), Windows Vista (32 bit), Windows Vista (64 bit) y Windows XP.

Para ejecutarla, se deberá correr el software con permisos de administrador. En el caso de Windows XP será necesario solamente correrla con un usuario con privilegios de administrador, y en el caso de los otros sistemas operativos no solo bastará con lo anterior, sino que también habrá que ejecutar la aplicación como administrador.

Yo la he probado en un sistema infectado con Zeus y el resultado ha sido el siguiente:

El resultado final fue el siguiente:

FITSEC Banking Trojan Detection Tool, V1.0 (c) 2011 Fitsec Ltd
Please contact info@fitsec.com for any queries
Scanning... 0 % done.
Scanning... 33 % done.
W32/Zeus variant detected in the process C:\WINDOWS\Explorer.EXE
W32/Zeus variant detected in the process C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
Scanning... 66 % done.
W32/Zeus variant detected in the process C:\WINDOWS\regedit.exe
W32/Zeus variant detected in the process C:\WINDOWS\system32\NOTEPAD.EXE
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\WINDOWS\system32\cmd.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Escritorio\DeBank.exe
Pieces of potentially malicious code were found in the memory.
It is strongly adviced that you run a proper AntiVirus scan on
the machine. Below you can find some free online scanners.
F-Secure       http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/online-scanner
BitDefender    http://www.bitdefender.com/scanner/online/free.html
PandaSecurity  http://www.pandasecurity.com/homeusers/solutions/activescan/
ESET           http://www.eset.com/us/online-scanner
TrendMicro     http://housecall.trendmicro.com/
If you have any questions please don't hesitate to contact
us at info@fitsec.com
Scan completed. Press any key to exit.

Como se puede apreciar, ha mostrado varios procesos raros en los cuales se ha detectado la presencia de código malicioso, como por ejemplo chrome.exe,NOTEPAD.EXE, regedit.exe y hasta el propio DeBank.exe.


Creo yo que esto se provoca porque dichos procesos son ejecutados por el proceso padre explorer.exe, el cual muestra que está infectado, y que por herencia muestra los procesos que cuelgan de el.


Antes de finalizar, vale aclarar que DeBank es una herramienta de detección solamente, con lo cual solamente avisará de la presencia o no de malware, pero no quitará nada.

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

HTTP Fingerprinting