Una ola de infecciones reina actualmente, muchísimos ordenadores son tocados en España y en el extranjero.
El laboratorio de análisis viral del editor Antivirus Bitdefender (socio de SosVirus y de UsbFix) sometió a un test este infección.
Este infección tiene varias denominaciones siguiente el antivirus utilizado pero generalmente le damos el dulce nombre de Houdini, Dinihou.
Pero bueno, ahorra, otras infecionnes utilizan el mismo procedimiento, como bondat, jenxcus y la mayoría de la infección de typo VB (VBScript).

El vector de propagación se presenta bajo la forma de un periferico Usb.
( Llave Usb, Disco duro externo pero también los telefonos móviles y La cámara de fotos vía sus tarjeta de memoria etc).
A la inserción del periférico contaminado, el contenido visible es completamente clásico, por ejemplo, aquí una captura de una llave USB infectada que contiene dos fotos y un MP3 :

Más abajo el contenido real de la llave usb escondido al usuario :

Anote que sobre los arquivos de derecha (Aquellos que usted ve si el soporte es infectado), hay la presencia de una flecha que estipula que el fichero es un acceso directo, eso puede ser un indicio de infección. ..

En 1 se encuentran los accesos directos trampado que son visible por el usuario y que hacen piensar (ver más alto) que se trata allí de los verdaderos arquivos.
Sin embargo no es nada y estos accesos directos van una vez ejecutados, lanzar el malware (en 2) luego abrir el fichero original
(en 3) que es ocultado al usuario :

El arquivo malware es un VBS (Microsoft Visual Basic Scripting Edition), este tipo de script son corrientemente utilizados por los administradores sistemas de redes para hacer “aplicaciones” ligeras y así automatizar ciertas acciones.

En el caso estudiado aquí, el malware es encapsulado bajo varias formas de codificación que dejan pensar en un sistema de muñecas rusas, esto en el objetivo de camuflarse y de complicar la tarea de detección del Antivirus :

Una vez decodificado en memoria, el malware comienza diversas acciones :

• Crea una copia de su código en los arquivos temporales:

• Dentro la carpeta “Startup” de Windows :

• Se hace persistente añadidando 2 llaves de registro al que permite al malware de lanzarse al arranque del ordenador :

• Luego el malware busca todos los periféricos amovibles con el fin de parasitarlos para hacer nuevos soportes de propagación :

El malware se conecta a su servidor C&C especificándole ciertas informaciones :

• El hwid (número único basado en uno o varios componentes, aquí se trata del número de serie de los discos)
• El nombre del ordenador
• El nombre de la sesión
• El sistema operativo
• La marca del antivirus eventual que estaría instalado

El servidor podrá responder al ordenador de la víctima, varias forma de órdenes son posible.
(A la iniciativa automática o manual del cybercriminal) :

Asi, el cybercriminal puede hacer lo que desea sobre el ordenador de la víctima :

El código VBS integrado en este malware es reutilizado, enriquecido y personalizado por ciertos cybercriminales.
Aquí un tipo de anuncio “Publicidad” por su compra :

< < RUN ENCODED AUTOIT *.A3X SCRIPT IN CLIENT PC >>
Esto dio vida a un nuevo malware muy activo en Europa : googleupdate.a3x

Aquí más abajo una captura de una consola de administración dedicada a este tipo de malware
(lo que ve el cybercriminal sobre su pantalla) :

Éste ha sido codificada en Delphi y para permitir al cybercriminal de simplificar las tareas de administración de base.

Aquí es el caso y aunque el código es de un real simplicidad, es sufisante para coromper la seguridad de una organización entera.
Este manera de infiltrarse directamente o indirectamente permite de acceder a un espectro ancho de personas para recuperar informaciones personales como confidenciales con el fin de preparar estrategias y financiar ataques :