Malware MUSTAN evita infectar ciertos archivos para ocultar su presencia

Seguridad Internet.- Expertos de Trend Micro han analizado una pieza de malware llamada PE_MUSTAN.A, una amenaza que se cree está conectado al antiguo WORM_MORTO.SM. El elemento malicioso no solo es interesante por la forma en que se propaga de un equipo a otro, sino también por los mecanismos que utiliza para mantenerse oculto.

Los investigadores han encontrado que Mustan se propaga a por las redes a través de The Remote Desktop Protocol.

“Si un determinado nombre de usuario y combinaciones de contraseña están en uso, el malware será capaz de acceder y comenzar a infectar archivos en el nuevo sistema. Este comportamiento es similar al WORM_MORTO”, explicó Vincent Cabuag, Trend Micro Senior Threat Response Engineer.

Una vez que infecta un equipo, el malware utiliza todas las unidades disponibles, recursos compartidos de red y el protocolo de escritorio remoto con el fin de difundirse.

Infecta todos los archivos .exe , a excepción de los ubicados en carpetas como “Common files”, “Internet Explorer,” “Messenger,” “Microsoft,” “Movie Maker,” “Outlook,” “qq,” “RECYCLER,” “System Volume Information,” “windows” y “winnt”.

Se cree que los archivos. exe de estas carpetas causarían que la aplicación se bloquera si se infectasen y de esa manera,  podría revelar la presencia del malware. Es por eso que Mustan evita comprometer los ficheros de estas ubicaciones.

Otro aspecto a destacar es la forma en que se comunica con su comando y servidor de control vía DNS. Un atacante no sólo puede comandar el malware para descargar archivos adicionales que podrían ayudar al robo de archivos importantes, sino que también puede colocar una backdoor o puerta trasera que le da acceso completo al dispositivo infectado.

Según los expertos, actualmente la amenaza prevalece en Asia-Pacific region. Sin embargo, hicieron hincapié en el hecho de que el malware no debería poder difundirse si los usuarios y administradores de sistemas establecen contraseñas seguras en sus dispositivos.

FUENTE: TRENDLABS