Una nueva variante de Sality.aa, el virus polimórfico más popular hoy en día.

Según publica Segu Info News, el viernes pasado, los expertos de Kaspersky Lab detectaron una nueva variante de Sality.aa, el virus polimórfico más popular hoy en día. Sality.aa mutó por última vez hace un año y el cambio no fue muy dramático. Pero este virus se ha mantenido entre las 5 amenazas más detectadas en los ordenadores de los usuarios en los últimos dos años. Las variantes previas de Sality no eran tan populares. Después de Sality.aa apareció una nueva versión llamada Sality.ae, que utiliza la técnica de infección EPO. Pero no tuvo grandes logros porque los cibercriminales la utilizaban como un simple algoritmo de decodificación y sus técnicas de infección eran ineficientes. Las versiones siguientes del programa malicioso tampoco fueron muy populares por la exagerada simplicidad de sus algoritmos de codificación.

La variante recién descubierta fue nombrada Sality.ag. ¿Qué tiene de interesante esta variante? Contiene un algoritmo de decodificación completamente nuevo y aloja ‘características avanzadas’. Como vemos, la nueva variante tiene todas las posibilidades de reemplazar la anterior versión, Sality.aa, y ganar popularidad.

Sus características funcionales califican a este virus como una Puerta Trasera (Backdoor). Cuando ingresa al sistema, lo primero que Sality.ag hace es instalar su DLL y un controlador para filtrar el tráfico de Internet. El DLL se utiliza para repeler todos los programas de seguridad y cortafuegos.

A continuación vemos una captura de pantalla del DLL decodificado. Contiene líneas que demuestran la capacidad del virus de resistir los contraataques de los programas de seguridad: “avast! Self Protection”, “NOD32krn”, “Avira AntiVir Premium”, “DRWEBSCD” etc. Sality emplea una de las formas más simples de apagar un antivirus: Intenta cerrar todas las ventanas y acabar con todos los procesos con nombres asociados a productos de seguridad.