DeBank - Análisis del Anti Troyano Bancario

De pcastagnaro -

Introducción

Una compañía finlandesa de pruebas de penetración (Fitsec) ha lanzado una herramienta gratuita que asegura que puede detectar todas las variantes de las cinco grandes familias de software malicioso que roba credenciales de banca online: SpyEye, Zeus, CarBerp, Gozi y Patcher.

La herramienta, llamada Debank, fue construida por Fitsec, una compañía finlandesa de pruebas de penetración, que ha utilizado la herramienta para escanear las máquinas de sus clientes, dijo el fundador de la compañía Toni Koivunen.

Teoría del funcionamiento de Debank

La herramienta ha sido lanzada el 18 de agosto de 2011 y funciona mediante el escaneo de la memoria del ordenador en proceso, dijo Koivunen. La mayoría del software malicioso en estos días es "empaquetado", o comprimido, antes de ser distribuido. Por eso puede engañar a los programas antivirus, ya que el malware puede parecer un programa diferente cada vez que es reenvasado.

Koivunen dijo que los programas antivirus a menudo utilizan la heurística como una forma alternativa para la detección de malware, aparte de las firmas tradicionales, pero ese método no siempre es tan exitoso como un barrido de memoria llena.

Debank analiza el sistema después de que se ha ejecutado en una PC. Los autores de malware no suelen cambiar el código del núcleo del programa, que es lo que Debank analiza.

Koivunen dijo Debank puede detectar casi todas las variantes de SpyEye, Zeus, CarBerp, Gozi y Patcher, cinco conocidos programas de malware bancario. Vale aclarar que el malware tiene que estar en ejecución para que Debank pueda detectarlo y la herramienta sólo funciona en ordenadores con Windows, dijo.

Debank fue capaz de detectar más de 200 variantes de Patcher después que FitSec encontró una parte de su código que era común a todas las variantes. FitSec también lo ha probado con cientos de variantes de SpyEye, una pieza particularmente avanzada de código que funciona como parte de una botnet.

Fitsec decidió publicar la herramienta, y la ha puesto a disposición para su descarga en su blog. "No teníamos razón para empezar a cobrar por ello", dijo Koivunen. "Básicamente, nosotros odiamos el malware".

 

Práctica del funcionamiento de Debank

Obviamente, como primer paso se deberá descargar la aplicación de http://www.fitsec.com/tools/DeBank.exe (786 Kb). Corre bajo Windows 7 (32 bit), Windows 7 (64 bit), Windows Vista (32 bit), Windows Vista (64 bit) y Windows XP.

Para ejecutarla, se deberá correr el software con permisos de administrador. En el caso de Windows XP será necesario solamente correrla con un usuario con privilegios de administrador, y en el caso de los otros sistemas operativos no solo bastará con lo anterior, sino que también habrá que ejecutar la aplicación como administrador.

Yo la he probado en un sistema infectado con Zeus y el resultado ha sido el siguiente:

El resultado final fue el siguiente:

FITSEC Banking Trojan Detection Tool, V1.0 (c) 2011 Fitsec Ltd
Please contact info@fitsec.com for any queries
Scanning... 0 % done.
Scanning... 33 % done.
W32/Zeus variant detected in the process C:\WINDOWS\Explorer.EXE
W32/Zeus variant detected in the process C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
Scanning... 66 % done.
W32/Zeus variant detected in the process C:\WINDOWS\regedit.exe
W32/Zeus variant detected in the process C:\WINDOWS\system32\NOTEPAD.EXE
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
W32/Zeus variant detected in the process C:\WINDOWS\system32\cmd.exe
W32/Zeus variant detected in the process C:\Documents and Settings\admin\Escritorio\DeBank.exe
Pieces of potentially malicious code were found in the memory.
It is strongly adviced that you run a proper AntiVirus scan on
the machine. Below you can find some free online scanners.
F-Secure       http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/online-scanner
BitDefender    http://www.bitdefender.com/scanner/online/free.html
PandaSecurity  http://www.pandasecurity.com/homeusers/solutions/activescan/
ESET           http://www.eset.com/us/online-scanner
TrendMicro     http://housecall.trendmicro.com/
If you have any questions please don't hesitate to contact
us at info@fitsec.com
Scan completed. Press any key to exit.

Como se puede apreciar, ha mostrado varios procesos raros en los cuales se ha detectado la presencia de código malicioso, como por ejemplo chrome.exe,NOTEPAD.EXE, regedit.exe y hasta el propio DeBank.exe.

Creo yo que esto se provoca porque dichos procesos son ejecutados por el proceso padre explorer.exe, el cual muestra que está infectado, y que por herencia muestra los procesos que cuelgan de el.

Antes de finalizar, vale aclarar que DeBank es una herramienta de detección solamente, con lo cual solamente avisará de la presencia o no de malware, pero no quitará nada.
  














































Comentarios











Publicar un comentario


Siéntase libre de dejar su comentario a continuación...



















Entradas populares de este blog









Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows







De


pcastagnaro



-














Imagen







 Quiero compartir con ustedes una utilidad muy importante, tanto para el escaneo de virus como para la recuperación de datos en una PC. Trinity Rescue Kit (TRK)  es una distribución Linux  que se ejecuta como un LiveCD  (es decir, se bootea desde el arranque de la máquina) para poder escanear y chequear los discos duros desde fuera .  Si bien se puede chequear cualquier sistema operativo, su uso está dirigido a aquellos sistemas con Windows  que pueden haber sido afectados por un virus o con pérdida de datos. Se basa en un kernel de la distro Mandriva  para utilizar los comandos y demás.  Para remover los virus, utiliza 4 motores de antivirus muy poderosos: BitDefender Scanner, Grisoft AVG, F-prot y Clamav .      Un agregado importante es que si tenés una conexión a internet que utilice DHCP, las bases de los antivirus se actualizarán inmediatamente.  








Leer más










Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes







De


Unknown



-














Imagen







   Cuando se posee una captura de tráfico en formato .pcap o .cap con el handshake WPA/WPA2 suele suceder que el mismo posee un tamaño grande o excesivamente grande según el tiempo que se haya tardado en obtener el handshake.   Si lo que se desea es un archivo de tráfico con sólamente los paquetes necesarios para hacer el crackeo, a continuación se muestran los pasos que se deberán llevar a cabo para filtrar un archivo de captura mostrando sólo aquellos paquetes necesarios y cómo exportarlo con el fin de obtener un nuevo archivo de captura liviano pero con la información que se desea.   








Leer más










15 Editores Hexadecimales para Windows y Linux







De


pcastagnaro



-














Imagen







  Esta es una recopilación con los editores hexadecimales que se han ido mencionando para ver sus características más importantes y resumirlas en esta entrada.   Pese a que todos son usados para lo mismo, las diferencias entre muchas de ellas son importantes y dependiendo de la situación y los requisitos es posible que se use más de una.   Como siempre, lo mejor es descargar una demo de todas e ir probando sus funcionalidades. Al final cada persona aprecia aspectos distintos.  








Leer más