El troyano Dofoil infecta equipos Windows y posee un gran repertorio de funciones

El troyano Dofoil infecta equipos Windows y posee un gran repertorio de funciones

Adrián Crespo

El mes pasado os hablamos por primera vez de este malware, informando sobre la importancia que estaba tomando en los correos spam que eran enviados. Después de analizar en profundidad al troyano Dofoil se han obtenido algunos resultados sorprendentes, siendo lo más destacado por los investigadores su alto grado de preparación para camuflarse ante la presencia de herramientas de seguridad.

Contra todo pronóstico, los expertos en seguridad se encontraron con un problema a la hora de analizar la amenaza: esta no se ejecuta en entornos virtualizados. Después de observar durante un tiempo comprobaron que poseía un sistema que detectaba cuando se estaba utilizando un entorno virtualizado o bien se recurría a una sandbox. Por lo tanto, para obtener datos significativos tuvieron que recurrir a un equipos Windows utilizando el sistema operativo para comprobar la actividad del troyano.

La prueba se realizó utilizando en primer lugar un equipo libre de herramientas de seguridad y posteriormente se comprobó pero utilizando otro con un software antivirus y análisis de procesos en tiempo real, obteniendo unos resultados bastante interesantes.

Dofoil se camufla y engaña a las herramientas de seguridad

Para ocultar el tráfico generado recopila del registro del sistema operativo una lista de direcciones legítimas y las utiliza para enviar una gran cantidad de paquetes cifrados que contienen las peticiones que son enviadas al servidor remoto.  Sin embargo, esta no es la única acción que el troyano realiza para protegerse ante la presencia de una herramienta de seguridad, ya que se ha detectado que modifica la fecha de todos los ejecutables que forman parte de su entramado de archivos en el equipo ara evitar que sean analizados por el software de seguridad, dando a entender a este que al poseer una fecha anterior ya lo fueron en su momento.

dofoil modifica fecha de creacion

Sin importancia hasta el pasado mes

Tal y como ya dijimos en su momento, la botnet de este virus fue creada hace más de un año, permaneciendo inerte hasta el pasado mes momento en el que su presencia en correos electrónicos spam se disparó, suponiendo una amenaza importante para los usuarios, ya que hasta este momento se duda sobre qué herramientas de seguridad serán capaces de detectar su presencia y lo más importante, qué finalidad posee una vez ha llegado al equipo del usuario, aunque se cree que sea la recopilación de datos para su posterior envío.

Fuente | Softpedia

2 Comentarios