Malware disfrazado de antivirus
Una de las normas básicas para tener una computadora libre de malware (dejando de lado el sentido común) es tener instalado un buen antivirus y de esta necesidad surge AVGater, el nuevo exploit que utiliza el antivirus para infectar con malware los equipos.
AVGater permite a un atacante mover un archivo (en este caso, uno malicioso) en el equipo de la víctima, desde su carpeta de cuarentena. Esta carpeta es la que utiliza nuestro antivirus cuando encuentra un archivo malicioso, y ahí dentro no te puede hacer daño (normalmente, los antivirus no borran los archivos directamente, ya que podría tratarse de un falso positivo, a menos que el dueño del equipo quiera sacar este archivo de la cuarentena de forma manual). Pero una vez que AVGater saca el malware fuera de la cuarentena, tu ordenador queda infectado.
Para saber como funciona con profundidad, el descubridor de este exploit, Florian Bogner ha publicado un vídeo donde explica en detalle el funcionamiento de AVGater. Un dato importante es que, en condiciones normales, un usuario sin privilegios de administrador no podría ser capaz de mover un archivo a las carpetas que contienen el sistema operativo, pero gracias a la función NTFS de Microsoft Windows, AVGater logra saltarse también esta restricción.
La buena noticia es que AVGater no es un exploit que funcione de forma remota, por lo que el atacante tendría que tener acceso físico a nuestro PC para poder llevar a cabo el exploit. Y, sinceramente, si un hacker malicioso tiene acceso físico a tu ordenador, puede desactivar temporalmente tu antivirus y simplemente instalar el malware de forma manual, por lo que no tendría mucho sentido que utilizara AVGater, ya que solo serviría para hacer más complicado el proceso.
Coss Consulting S.A de C.V, Especialistas en Seguridad Informática.
Distrubuidor Preferred Partner de Barracuda Networks en México.
Comment