SpyEye, es un kit de malware más avanzado y peligroso de estos días y recientemente a ha incorporado las funcionalidades de Zeus, aquí les dejo un link a youtube de cómo funciona el troyano, según Hispasec:
http://www.youtube.com/watch?v=IJzcguH76Wg
Hoy, por primera vez, se ha filtrado un "parche" para el constructor de SpyEye (para la v3.1.45) según informa damballa. Un investigador de seguridad francés llamado Xyliton, parte del grupo de ingeniería reversa (RED Crew) fue capaz de localizar una copia del constructor de SpyEye 1.3.45 (Descarga http://www.mirrorcreator.com/files/15CTKTBX/) y ha creado un tutorial que permite al lector romper la identificación de hardware (HWID) (Descarga http://www.malwareinfo.org/wp/?p=292), que utiliza SpyExe a través de VMProtect (una herramienta licenciada que bloquea la instalación de software en un dispositivo físico en particular).
El proceso de parcheado y cambio del ID sobreescribe/borra el nombre del operador (que se encuentra entre [ XX ] en la parte superior izquierda, al ejecutar el constructor) por lo que el proceso de llama "zeros-out". Esto dificulta atribuirle un "autor" a cada uno de los binarios encontrados.
Hoy, por primera vez, se ha filtrado un "parche" para el constructor de SpyEye (para la v3.1.45) según informa damballa. Un investigador de seguridad francés llamado Xyliton, parte del grupo de ingeniería reversa (RED Crew) fue capaz de localizar una copia del constructor de SpyEye 1.3.45 (Descarga http://www.mirrorcreator.com/files/15CTKTBX/) y ha creado un tutorial que permite al lector romper la identificación de hardware (HWID) (Descarga http://www.malwareinfo.org/wp/?p=292), que utiliza SpyExe a través de VMProtect (una herramienta licenciada que bloquea la instalación de software en un dispositivo físico en particular).
El proceso de parcheado y cambio del ID sobreescribe/borra el nombre del operador (que se encuentra entre [ XX ] en la parte superior izquierda, al ejecutar el constructor) por lo que el proceso de llama "zeros-out". Esto dificulta atribuirle un "autor" a cada uno de los binarios encontrados.
SpyEye normalmente costaría alrededor de U$S 10.000 (Buen ahorro) o más. Sin embargo, dado que ya existe el código fuente y el tutorial para romper el DRM, los delincuentes comenzarán a aprovechar el kit masivamente.
Esta fuga es importante, ya que ilustra las técnicas de codificación del equipo Gribo-Demon’s team, los autores de SpyEye, y también asesta un nuevo golpe al ecosistema criminal.
Esta fuga es importante, ya que ilustra las técnicas de codificación del equipo Gribo-Demon’s team, los autores de SpyEye, y también asesta un nuevo golpe al ecosistema criminal.
Ahora que existe un crack para el constructor de SpyEye (la herramienta que genera el troyano de SpyEye), los investigadores de seguridad pueden comenzar la búsqueda de vulnerabilidades en la aplicación. Esta es una cosa buena, especialmente si ya se tiene el SDK de SpyEye y sabe que APIs son capaces de ser explotadas con fines defensivos. Este enfoque también ayuda a las empresas de seguridad a comprender mejor las técnicas y métodos detrás de la última versión de SpyEye.
Al mismo tiempo, esta fuga también pone al resto de nosotros sobre aviso porque los aspirantes a criminal puede comenzar a destrozar y mejorar SpyEye.
Los nuevos binarios con "zeros out" (sin autor) ya están siendo vistos en SpyEyeTracker, en menos de 12 horas después de haber sido lanzado el tutorial (http://xylibox.blogspot.com/2011/08/cracking-spyeye-13x.html).
A jugar J
