Los malware evolucionan y no es la primera vez que vemos aparecer variantes de un virus que ya era bastante poderoso, mejorándolo de forma más que considerable. Eso es lo que ha sucedido en esta ocasión con Rovnix, modificado por ciberdelincuentes ahora está adaptado para afectar a los usuarios europeos, ayudado por un módulo que evita que sea detectable ante la presencia de herramientas de seguridad.
Este tipo de amenazas son constantes y esta misma semana os hemos hablado en muchas más ocasiones de otras similares, como el bulo que se distribuye usando la red social Facebook sobre un vídeo robado a Emma Watson con la única finalidad de distribuir software malicioso. En el caso de Rovnix es probable que los medios de difusión sean similares. Se ha sabido que hasta este momento, el software se ha distribuido haciendo uso de correos electrónicos spam y añadido como archivo adjunto a descargas de archivos torrent, algo que sin lugar a dudas es un filón sobre todo la segunda de las opciones.
Como ya hemos dicho con anterioridad, esta nueva variante posee mejoras que dificultan su detección en el sistema. Estas mejoras hacen que el software esté cargado antes de que el usuario haya podido visualizar el escritorio y se hayan cargado la mayoría de los procesos, creando un auténtico problemas para las herramientas de seguridad.
Otros sistemas que posee Rovnix y que evitan su detección
A la hora de crear ficheros o realizar el envío de datos a través de Internet descarta la utilización de patrones para evitar que los sistemas de protección existentes en el equipo lo detecten y utiliza nombres aleatorios además de comunicaciones cifradas para enviar datos y recibir instrucciones del servidor.
Hasta el momento se sabe que las soluciones de seguridad de Norton y Mcafee son capaces de detectar la presencia de la amenaza y eliminarla. Sin embargo, no se conoce nada con respecto al resto de herramientas de seguridad, pero sí que se confirma que existe un porcentaje alto suites de seguridad que no son capaces de localizar la amenaza.
El usuario no puede percibir la existencia de este software en el equipo porque no se crea ningún tipo de fichero ni carpeta de instalación, ni siquiera procesos fuera del listado clásico de un sistema operativo Windows. De lo único que se puede valer el usuario para detectar la presencia de Rovnix en el equipo es gracias al tamaño del proceso explorer.exe. Un tamaño elevado cuando en el equipo no se está realizando ninguna tarea podría ser un indicativo de esta infección.
Países con una mayor tasa de infección
Aunque existen casos en la mayor parte de los países europeos, existe una mayor tasa de infección en Francia, Alemania, Reino Unido y Rusia, siendo este último el que se lleva más del 40% de las infecciones actuales.
En el caso de detectar un uso desmesurado de memoria por parte del proceso explorer.exe, una buena solución sería realizar una restauración del sistema a un etapa anterior.
Fuente | Softpedia