Microsoft y Cisco Talos han identificado un nuevo malware, un nuevo virus para Windows que está afectando a miles de ordenadores en Europa. Este software malicioso es capaz de convertir ordenadores en servidores proxy, los cuáles se pueden usar para propagar el virus. Este nuevo malware, llamado por Microsoft Nodersok y Divergent por Cisco tiene la peculiaridad de que puede ser ignorado por Windows Defender, el antivirus de fábrica de Windows.
Este malware usa el framework Node.js y WinDivert, que es un paquete de captura y desvío de paquetes en modo usuario para Windows: 2008, 7, 10 y 2016. Microsoft ha asegurado que Windows Defender es capaz de detectar y bloquear Nodersok, lo tiene un poco difícil debido a que emplea una infraestructura de red que hace que el ataque pase desapercibido.
Tanto Microsoft como Cisco Talos han publicado respectivos informes sobre las amenazas de este nuevo malware, y ambos tienen cosas que decir de dicho malware.
El nuevo virus para Windows que se puede saltar tu antivirus
Según los investigadores de Microsoft, una vez que Nodersok convierte los sistemas en proxys involuntarios "los usa como un relé para acceder a otras entidades de la red (sitios web, servidores C&C, máquinas comprometidas, etc.), lo que puede permitirles realizar actividades maliciosas sigilosas". Por la parte de Talos, sus investigadores creen que "este malware puede ser aprovechado por un atacante para atacar redes corporativas y parece estar diseñado principalmente para realizar fraude de clics. También presenta varias características que se han observado en otros programas maliciosos de fraude de clics, como Kovter".
Microsoft cree que su antivirus oficial puede detectar y bloquear dicho software, no obstante, considera que puede ser complicado ya que "emplea técnicas avanzadas sin archivos [...]. Se basa en una esquiva infraestructura de red que hace que el ataque pase desapercibido".
Microsoft cree que este software sigue en desarrollo, y según International Business Times ya ha afectado a miles de ordenadores tanto de Europa como de Estados Unidos. Microsoft ha puesto una medida preventiva sobre la mesa: evitar ejecutar archivos HTA que encontremos en el sistema y que no recordemos haber descargado nosotros. No debemos ejecutar ningún archivo de esta índole cuya procedencia no reconozcamos.
Via | MS Power User | International Business Times