Hace unos días nuestro laboratorio detectó un nuevo intento de engaño del conocido gusano Storm, o como lo llamamos en ESET: Nuwar. Al parecer los creadores de este peligroso malware no se cansan de idear métodos de engaño y en esta oportunidad recurrieron a “vestirlo” de antispyware.

Como ya es costumbre, a través de spam llega un enlace que nos redirecciona hacia una falsa web llamada “Best Antispyware Solution” que nos advierte sobre una serie de supuestos errores de configuración en nuestro sistema.

Al hacer clic sobre la ventana que despliega la falsa “solución” de seguridad, se descarga un archivo ejecutable llamado install_en.exe que ESET NOD32 detecta como una variante del gusano Nuwar bloqueando la descarga del mismo.

¡Mucho cuidado al descargar archivos!

Jorge

• Nuwar ¿qué haremos contigo?
• Tormenta de juegos
• Nuwar, round 2

Categorias: Malware
1 Comentario »

Los sitios web que prometen la visualización de videos pornográficos son potenciales vías de infección debido a que quienes los visitan, en la mayoría de los casos, desean ver a como de lugar el video que buscan. En consecuencia, los diseminadores de malware aprovechan esta situación para propagar códigos maliciosos de diferente índole.

Un ejemplo concreto, lo constituye el siguiente caso:

Cuando el usuario accede al sitio web malicioso e intenta visualizar un video, es alertado sobre un supuesto error del navegador, por lo que se sugiere descargar un codec DivX.

Este supuesto codec es en realidad un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/Adware.BHO.NCR y que al comprometer un equipo, instala un componente BHO que permite ejecutar instancias particulares en el navegador como por ejemplo ventanas pop-ups con publicidad no deseada características del adware.

Jorge

• Los codecs y la pornografía
• Sitios de videos pornográficos con malware
• Zlob y los códec falsos

Categorias: Malware
1 Comentario »

Hace un tiempo, nuestro laboratorio alertaba sobre la propagación de una falsa actualización en Flash Player, y en los últimos días hemos encontrado un número importante de páginas que despliegan una pequeña ventana simulando ser un error en el objeto ActiveX de Flash.

Al momento de ingresar al sitio web malicioso, el usuario visualiza una ventana pop-up, como la que se observa en la imagen, mostrando un supuesto error de ActiveX con la leyenda “FlashActiveX Object Error:” requiriendo, en consecuencia, la instalación de la falsa nueva versión de Macromedia Flash Flayer.

El usuario desprevenido que acceda al sitio descargará un archivo llamado MediaTubeCodec_ver1.376.0.exe que infectará su computadora con un troyano del tipo downloader.

Lamentablemente para sus creadores, los usuarios que utilicen ESET NOD32 pueden quedarse tranquilos, ya que esta amenaza es bloqueada y detectada bajo el nombre de Win32/TrojanDownloader.Zlob.CBT.

Jorge

• Archivos Flash en peligro (actualización)
• Archivos Flash en peligro
• Falsa actualización crítica de Flash Player

Categorias: Ingeniería Social, Malware
Sin Comentarios »

En los últimos días, nuestro laboratorio ha encontrado que la imagen corporativa del famoso sitio web imagesshack.us, uno de los más importantes sobre almacenamiento de imágenes, está siendo utilizada para la propagación de códigos maliciosos.

En primera instancia, no se trata de la página real, sino de una falsa página cuyo truco radica en el registro de un dominio similar al original. Es decir, el sitio web verdadero es www.imageshack.us y la página web falsa es www.imagesha[ELIMINADO]k.org.

En consecuencia, los usuarios desprevenidos que escriban de manera errónea la dirección real o que quizás ingresen a la web a través de un enlace directo, experimentarán que automáticamente, al ingresar al sitio, se les ofrece la descarga de un archivo ejecutable que intenta simular ser un archivo de imagen.

Si este archivo es ejecutado, la computadora será infectada con un troyano que tiene la capacidad de habilitar un acceso alternativo, no convencional y no autorizado al equipo comprometido (Backdoor). Este código0 malicioso es denominado IRC/SdBot, según la nomenclatura asignada por ESET.

Por otro lado, esta amenaza también intenta propagarse a través de clientes de mensajería instantánea mostrando una frase junto al siguiente enlace:

imagesha[ELIMINADO]k.org/[ELIMINADO]/Picture275.JPG

Cuando el usuario hace clic sobre dicho enlace, es redireccionado hacia la descarga directa del archivo antes mencionado.

Es de vital importancia navegar con mucha precaución y atención, ya que los diseminadores de malware se valen de cualquier estrategia y excusa para propagar códigos maliciosos. Del mismo modo, es sumamente importante la implementación de un antivirus como ESET NOD32, que bloquea estas amenazas de manera proactiva.

Jorge

• La Wikipedia utilizada para propagar malware
• Troyano en MySpace simula ser una actualización de Microsoft
• Ingeniería Social: ¿Por qué no te callas?

Categorias: Malware
1 Comentario »

Continuamos la entrevista a nuestro Jefe del Laboratorio Richard Marko:

P: ¿ESET Mobile Antivirus será compatible con más tipos de móviles?

R: Sí, pronto lanzaremos la versión para Windows Mobil y después de esto mejoraremos la versión para SymbianOS.

P: ¿Qué productos le gustaría proporcionar?

R: Además de las nuevas versiones de ESET Smart Security, ESET NOD32 y de las soluciones para las tecnologías móviles preparamos la versión mejorada para los usuarios corporativos y la integración de antispam a nuestras soluciones para servidores.

P: ¿Cómo trabajan con las muestras recibidas?

R: Experimentamos con amenazas en computadoras aisladas en un ambiente protegido. Utilizamos las depuraciones, emuladores y desensambladores. Tenemos una base de datos con millones de muestras y después de recibirlas comprobamos, si esa muestra esta en la base de datos o es una amenaza “nueva”. Entonces, decidimos sobre las técnicas de detección o desinfección. Finalmente creamos la actualización, varias veces diarias, y tenemos la opción de actualizar hasta cada diez minutos si fuera necesario.

P: ¿Reciben archivos interesantes?

R: Sí, recibimos casi de todo. A veces conseguimos malware desarrollados para las nuevas plataformas como demostración del autor en ser el primero que creó el malware para esta plataforma. A veces también recibimos mensajes políticos cifrados en el cuerpo del archivo. En las amenazas también descubrimos ideas interesantes.

P: Mucha gente puede estar descontenta porque no fueron agregadas sus muestras en la base de datos. ¿Cuál es su política para agregar muestras?

R: Hoy en día son muchas las amenazas que se crean a diario. No es posible analizar esta cantidad una por una y por eso hay una solución inteligente que trabaja con protección genérica y proactiva. Las muestras de los usuarios (la minoría) son analizadas según prioridad, propagación y peligrosidad. Muchos de ellos son archivos corruptos, dañados y no funcionales, o también pueden ser falsos positivos de otros antivirus.

P: ¿Cuál es su opinión sobre amenazas como el rootkit MayDay y de MBR y su futuro?

R: El rootkit MayDay es una “burbuja mediática”. Hay muchos amenazas similares y más peligrosas también. Es posible que los creadores de malware comiencen a utilizar estos métodos más a menudo. La tecnología del rootkit de MBR no es peligrosa, sólo el troyano que lo utiliza es peligroso. Por eso, el trabajo más importante se realiza sobre la detección proactiva.

P: ¿Qué piensa de las amenazas futuras? ¿Podemos esperar códigos o empresas dedicadas al robo de contraseñas?

R: Las plataformas actuales están orientadas a la extensión. El malware está orientado al beneficio del creador de malware de hoy.

P: ¿Piensa que en el futuro el malware para tecnologías móviles se propagará?

R: Las tecnologías móviles cada vez están más entre nosotros. Cada vez son mas los teléfonos móviles con sistema operativos y debido a esto los creadores de malware tienen otra opción para propagar sus códigos.

Espero hayan disfrutado de la entrevista a la persona responsable de nuestro Laboratorio en Eslovaquia y la misma haya servido para sacar dudas respecto a nuestros productos y a la amenazas actuales.

Cristian

• Entrevista a los creadores de MPack
• Entrevista al Jefe de Laboratorio de ESET (I)

Categorias: Declaraciones
Sin Comentarios »

Las redes de computadoras zombies se han trasformado en complejas amenazas manipuladas por personajes malintencionados que aprovechan toda la potencialidad del esquema brindado por un ambiente distribuido para realizar diversos tipos de ataques.

Este ambiente distribuido está conformado por cada una de las computadoras que determinado malware ha comprometido, y para controlarlas existe infinidad de aplicaciones que permiten controlar las Botnets a través de alguna interfaz web o un panel de control.

Hace un tiempo, nuestro Laboratorio ha encontrado un panel de control que nos llamo la atención debido a lo “amigable” que pretende ser su interfaz de acceso. A continuación, les mostramos una captura:

En este caso, se destaca y llama la atención la viva imagen de una serpiente junto a los campos de acceso a la bot.

Nos preguntamos entonces ¿por qué una serpiente? Aunque existen muchos mitos en torno a este reptil, uno de los relatos más escuchados se basa en la creencia de que son muy tentadoras. ¿Habrá querido transmitir esto su autor?

Jorge

Categorias: Curiosidades, Malware
Sin Comentarios »

Tal y como sucedió con los falsos correos con la muerte de Fidel Castro y la muerte del presidente Felipe Calderón, en estos días se han comenzado a ver un correo falso con la muerte de Verónica Castro.

El correo simula provenir del medio El Universal de México e informa sobre un accidente automovilístico que le habría causado la muerte a la actriz.

Por supuesto se trata de un engaño que intenta que el usuario descargue un troyano a su equipo. Al momento de escribir el presente, el archivo dañino ya no se encontraba en el servidor, pero no descartamos la aparición de nuevos casos similares.

Como podemos ver la muerte de personalidades es un tema recurrente en estos engaños, debido muchas veces a la morbosidad de ciertos usuarios que intentan “ser los primeros en conocer detalles”.

Cristian

• ¿Murio Fidel Castro?
• Correo con la muerte Felipe Calderón
• Virtumonde: Crónica de una muerte anunciada

Categorias: Malware
Sin Comentarios »

Es realmente numerosa la cantidad de aplicaciones tipo rogue que día a día aparecen con la intención de atrapar algún usuario desprevenido y así lograr infectar su equipo, tal es así que si quisiéramos podríamos escribir dos o tres post por día sólo de falsos antivirus.

Pero evidentemente eso aburriría a nuestros lectores. Sin embargo, esta semana nuestro laboratorio ha encontrado uno que vale la pena destacar debido a que se distingue un poco de los demás programas maliciosos de este estilo, o por lo menos, su diseño difiere bastante con lo que estamos acostumbrados a encontrar.

Se trata de un rogue que simula ser el Centro de seguridad que se encuentra en plataformas Windows. A continuación, podemos observar una captura:

En este caso, intenta engañar al usuario simulando que tanto la protección del firewall como las actualizaciones automáticas se encuentran en perfecto estado, pero que la protección antivirus del equipo se encuentra deshabilitada y en consecuencia sugiere la descarga de dos supuestos antivirus.

El primero de ellos, es identificado por ESET NOD32 bajo el nombre de Win32/Adware.WinAntivirus y el segundo bajo el nombre de Win32/Adware.AVSystemCare.

Lamentablemente, lejos de proteger la PC, estos dos falsos antivirus no hacen otra cosa que instalar en la computadora dos códigos maliciosos.

Si bien es sumamente importante la utilización de un antivirus con capacidades de detección proactiva como ESET NOD32, también es muy importante tomar las medidas preventivas necesarias y navegar con todos los sentidos despiertos, esto evitará que programas de este tipo nos hagan pasar un mal rato.

Jorge

• Ahora, Nuwar se viste de antispyware
• Blogs de WordPress en peligro
• Seminarios en la República de El Salvador

Categorias: Malware
1 Comentario »

Nuestro Laboratorio internacional de análisis de malware se encuentra ubicado en la ciudad de Bratislava, capital de Eslovaquia y desde allí el Jefe del Laboratorio Richard Marko cede esta entrevista a SecIT, un medio sobre tecnología de ese país.

La entrevista traducida es la siguiente:

P: ¿Tienen preparadas nuevas funciones para ESET Smart Security, por ejemplo: control parental, bloqueo de anuncios y cuánto tendremos que esperar la nueva versión?

R: Tenemos preparada la nueva versión. Nuestra política es, y esto es avalado por nuestros clientes, no agregar muchas funciones nuevas, ya que disminuye el rendimiento del sistema. Nosotros analizamos, qué nuevas funciones dar a nuestros clientes y que las mismas no afecten la rendimiento.

P: Los usuarios avanzados hablan de las pocas opciones del firewall y el sistema IDS. ¿Usted piensa que la situación actual es conveniente o se agregarán nuevas opciones y funciones?

R: La versión actual proporciona una protección confiable y proactiva (antes de que los ataques ocurran) ya que debido al trabajo con otros módulos se crea una protección automática del sistema. Esta forma es adecuada para la mayoría de nuestros clientes. Para usuarios avanzados, quienes buscan más opciones, agregaremos más características.

P: Algunas compañías integraron a sus productos la protección ante exploits, la cual se puede encontrar en sitios web. ¿Su plan es agregar una función similar?

R: Este tipo de protección corresponde a la detección de exploits que ESET Smart Security realiza en cada sitio sitio web a través de la protección web en tiempo real.

P: Los expertos ven problemas en la protección de autodefensa ausente en la versión 2.X. Por ejemplo, Win32/Stration que destruye ESET NOD32. ¿Está en sus planes agregar esta función?

R: La base es detectar la amenaza antes que ingrese a la computadora, porque la solución después de activado el malware puede ser tarde. Su ejemplo, Win32/Stration podía estar activo en la computadora con una base de actualizaciones vieja. Pero esto no quiere decir que no mejoraremos la protección de nuestros productos.

P: Existen casos de instalador MSI corrupto y problemas con el desinstalador de Windows, ¿no son una buena alternativa de uso?

R: Muchos clientes reclamaron MSI debido a muchas razones y no hay muchos de esos problemas que menciona. Si ocurren problemas con el desinstalador más a menudo, nosotros crearemos una utilidad para desinstalar el producto.

P: ESET Smart Security tiene el módulo antispam para tres clientes de correo. ¿Integrarán más clientes de correo?

R: Trabajamos en el módulo para Mozilla Thunderbird y soporte para otros clientes que consideramos los más utilizados.

P: ¿Puede decirnos más sobre la Tecnología Antistealth?

R: Esta tecnología tiene protección contra rootkits. Cuando “vemos” al rootkit en el sistema, son las funciones del antivirus lo que lo hacen posible. El adelanto para los usuarios es que el Antistealth sea transparente y continúe activo.

P: Su herramienta ESET SysInspector ¿Proporcionará la eliminación manual del malware encontrado? ¿Qué planes tienen para esta utilidad en el futuro?

R: ESET SysInspector será parte de la nueva versión de ESET Smart Security. Además de la ayuda para los usuarios experimentados, proporcionará la posibilidad a todos los usuarios de enviar una “foto” de su sistema a soporte. Esto reduce el tiempo de reacción para sus peticiones. Proporcionamos esta herramienta de forma gratuita (freeware) y no elimina el malware de manera automática.

Continuará…

Cristian

• Entrevista a los creadores de MPack
• Entrevista al Jefe de Laboratorio de ESET (II)

Categorias: Declaraciones
Sin Comentarios »

Una vez más Adobe Reader es vulnerable a un error no especificado y que se está aprovechando para difundir malware.

El caso es semejante al que ya comentamos en malware en archivos PDF y al mostrado en nuestro Video Educativo sobre infección en archivos PDF. Por supuesto, la recomendación es la misma de antes: actualizar lo más pronto posible a Adobe Reader versión 8.1.2 Security Update 1.

Otra alternativa es abrir Adobe Reader y hacer que el programa busque las actualizaciones disponibles, tal y como se muestra en nuestro video o en esta imagen:

De esta forma, se evitará ser víctima de la descarga de un malware a través de la ejecución de archivos PDF modificados para tal fin.

Cristian

• Vulnerabilidad en Adobe Reader permite descargar malware
• Malware en archivos PDF
• Archivos Flash en peligro

Categorias: Alertas, Vulnerabilidades
Sin Comentarios »