Malware modifica la tabla de hosts y es transparente a los antivirus

Escrito por Adrián Crespo
Seguridad
1

Es capaz de descargar una tabla de hosts nueva y sustituirla por la que se encuentra en el equipo sin que este sea detectado por el software antivirus y sin la necesidad de utilizar ningún tipo de ofuscación o polimorfismo. Esto provoca problemas a los software antivirus para detectar la presencia y la actividad del malware.

El modificador de hosts o HostModifier se encarga de instalarse en el equipo utilizando algún medio, se ejecuta y se conecta con un servidor del cual se descarga una tabla de hosts modificada según la conveniencia del ciberdelincuente. Para terminar, el programa reemplaza una tabla por la otra y finaliza su ejecución.

Aunque parezca sorprendente, en Hispasec han comprobado que esta amenaza fuera del equipo es detectada como sospechosa por más de 48 antivirus. Sin embargo, una vez en el equipo, muy pocos consiguen por lo menos percatarse de la actividad sospechosa que el malware está realizando y sólo uno lo detecta como tal.

HostModifier2

El funcionamiento de la tabla de hosts

Para que se entienda lo importante que es o son las amenazas similares a esta, la tabla de hosts se encarga de identificar el nombre de dominio con una dirección IP. Si el dominio no se encuentra (algo que sucede con la mayoría) es cuando entonces recurre a las direcciones DNS para que estas faciliten la relación que existe.

De esta forma se puede utilizar para suplantar la identidad de entidades bancarias o instituciones y así proceder al robo de los datos de los usuarios.

¿Alguna solución a esta amenaza?

Además de tener el antivirus actualizado, algo que se recomienda todas las veces que se detecta una amenaza importante, desde algunos foros creen que cambiar los permisos del fichero de la tabla de hosts podría dificultar que esta acción se llevase a cabo, o lo que es lo mismo, hacer que el fichero únicamente posea permisos de lectura. No se trata de una solución como tal, pero si podría funcionar en muchos casos o bien que el procesos sea más difícil.

Fuente | Hispasec