El colmo: un virus que infecta un troyano

Investigadores de SpiderLabs han encontrado un troyano que había sido infectado por un virus, dejando ambos perfectamente operativos.

¿Estamos asistiendo a una guerra de los ciberdelincuentes por la máquina? Eso es lo que parece después de que investigadores de SpiderLabs hayan descubierto un virus que había sido infectado por un troyano, después de lo cual ambos siguieron funcionando con normalidad.

Los dos malware fueron encontrados en una máquina de punto de venta propiedad de un cliente que quería volver a ponerla en uso y que llevó a SpiderLabs, los laboratorios de investigación de la empresa de seguridad TrustWave, a investigar por qué se habían infectado con malware.

El virus es una variante de la familia Sality conocido como Win32/Sality o W32.HLLP.Sality. Se trata de un virus bien conocido que la mayoría de las plataformas antivirus pueden detectar y eliminar.

Win32/Sality es un virus polimórfico que infecta los archivos ejecutables Win32 PE y que ronda el mercado desde 2003. Este malware se replica e infecta otras máquinas, y puede ser utilizado para crear botnets peer-to-peer y recibir URLs desde las que puede descargar archivos maliciosos adicionales.

En cuanto al troyano bancario, fue colocado en la máquina para robar información de tarjetas de crédito. Fue descubierto por su conducta, es decir, porque estaba buscando información de tarjetas de crédito, y  no por un análisis de firmas. Lo curioso es que cuando finalmente fue detectado, se clasificó como una variante de Sality, a pesar de que el robo de información bancaria era algo que nunca se había visto hacer a este malware, explica SpiderLabs en su blog.

La conclusión de los investigadores de seguridad fue que el troyano se vio infectado por el virus, a pesar de lo cual ambos siguieron funcionando correctamente.

Los investigadores utilizaron un antivirus de Kaspersky para limpiar el virus y se quedaron con un troyano, y como el troyano no se replica, cuando fue eliminado la máquina quedó limpia.