La simbiosis llega al mundo del malware

Microsoft ha detectado dos malware, Vobfus y Beebone, que se ayudan uno a otro para evadir a los programas antivirus, por lo que su eliminación resulta complicada.

Dos malware, o programas maliciosos, han establecido una relación simbiótica entre sí, haciendo que sea muy difícil acabar con ellos con un programa antivirus. Vobfus y Beebon, que así se llaman los malware se ayudan uno a otro para permanecer en el ordenador y no ser eliminados. Trabajan juntos para, alternativamente, descargar variaciones ligeramente diferentes con el fin de evadir el software antivirus. Así lo ha explicado, al menos, Hyun Choi, del centro de protección de malware de Microsoft, en un blog.

Simbiosis — El proceso de simbiosis es habitual en la naturaleza.

Uno de los programas, Vobfus, fue detectado en septiembre de 2009 y es lo que se llama un ‘downloader’, o programa que descarga piezas de código. Un vez que Vobfus infecta el ordenador, descarga remotamente un programa llamado Beebone de un servidor de comando y control, que es otro tipo de ‘downloader’ capaz de descargar variantes del otro que no son detectadas de manera inmediata por los programas antivirus.

“La relación cíclica entre Beebone y Vobfus para descargarse uno a otro es la razón por la que Vobfus puede ser tan resistente a los productos antivirus”, escribe Choi en el blog. Y es que los productos antivirus pueden detectar una variante presente en el sistema, pero cuando llega una variante pueden tardar un tiempo en poder detectarla.

Aunque ya se han visto miles de casos en los que un malware se actualiza a sí mismo una vez que ha infectado el ordenador, una vez que es detectado y eliminado el ordenador tiene que ser infectado de nuevo. En el caso de Beebone y Vobfus es más complicado por la simbiosis establecida.

Vobfus pertenece a una familia de gusanos que se extiende a través de unidades de disco removibles; utiliza la función ‘autorun’ de Windows para infectar los ordenadores automáticamente.

En cuanto a Beebone, pertenece a una familia de troyanos compilados en Visual Basic conocidos por descargar amenazas de varias familias de malware, como Vobfus, Zbot, Sirefef, Fareit, Nedsym y Cutwail. Una vez ejecutado, Vovfus contacta con el servidor de comando y control para obtener instrucciones cifradas para descargar Beebone en otras máquinas cifradas.

“Según nuestras observaciones, las variantes de Beebone descargas otras variantes de Vobfus, creando un ciclo de infecciones que significa que donde ves una de estas familias, a menudo ves a la otra”, explica Choi.

Además de tener cuidado a la hora de pinchar sobre enlaces externos, los usuarios deben mantener tanto el navegador como el sofware instalado actualizado para prevenir los exploits. Además, otro posible método de prevención es desactivar la funcionalidad ‘autorun’.