[Nuevo informe] eMule: ¿siempre una fuente de archivos maliciosos?

1 de agosto de 2016


No es necesaria ninguna prueba de concepto que evidencie la existencia de malware en redes P2P. Es un hecho demostrable con cualquier búsqueda en un cliente del tipo eMule, que bajo cracks, serials, ejecutables y todo tipo de reclamos, se esconde software malicioso. Pero en ElevenPaths nos hemos preguntado si ocurre lo mismo en el caso de los documentos ofimáticos, libros, o diapositivas. ¿Es peligroso abrir un Excel, PowerPoint, archivo Word o PDF descargado de eMule?

El experimento

En este experimento nos centramos en el análisis de archivos ofimáticos y PDF, realizando un repaso previo por las técnicas más conocidas de infección. Para llevarlo a cabo, hemos descargado 7973 muestras de archivos ofimáticos y PDF usando los servidores de conexión que proporciona el cliente eMule. Esto significa que no hemos tenido en cuenta servidores adicionales, sino los supuestamente fiables que recomienda eMule y de los que disponen por defecto la mayoría de los usuarios cuando instalan este cliente en Windows. Hemos prestado especial atención al formato de los documentos descargados, y en especial hemos atendido a las macros y JavaScript incrustados en ficheros ofimáticos y PDF respectivamente, principal fórmula de infección a través de este tipo de archivos.


Archivos con macros (en el caso de ofimáticos) o JavaScript (en el caso de PDF) descargados de redes P2P
Se han utilizado varios métodos además de los antivirus para poder determinar si alguno de esos casi 8000 archivos podían resultar peligrosos:
  • Extracción de potencial payload (macros o JavaScript)
  • Búsqueda de URLs y direcciones IP maliciosas en el interior del documento.
  • Análisis en profundidad de los formatos potencialmente corruptos.
Tras el análisis, lo cierto es que no fuimos capaces de encontrar ni una sola muestra con malware, payload o exploit funcional conocido, al margen de algunos falsos positivos demostrados. El hallazgo es, cuando menos, curioso.

Sin malware en el frente

Las conclusiones por tanto podrían ser:
  • No parece habitual encontrar malware conocido en documentos ofimáticos y PDF en redes eDonkey. Este tipo de ataque parece restringirse a la difusión por correo electrónico, donde siempre se han encontrado una gran cantidad de muestras.
  • No parece que los documentos ofimáticos compartidos en redes P2P utilicen las tácticas más habituales de ejecución de malware, tales como el uso de exploits, macros maliciosas, o métodos de ingeniería social.
  • Dentro de los no detectados como malware conocido, el porcentaje de ficheros más sospechosos (que ofrezcan las condiciones necesarias en muchas ocasiones para ser dañinos como presencia de macros o JavaScript…) no es muy elevado. Un 8,5% en el caso de documentos ofimáticos contienen macros, y solo un 1,5% de los PDF contienen JavaScript.
  • A pesar de estos hallazgos, no es recomendable ni seguro descargar archivos de fuentes no confiables. Ni ofimáticos ni de ningún tipo.
Los detalles y análisis en profundidad con detalles está disponible desde: