ESET Latinoamérica - Laboratorio

Redirecciones de Google a sitios de Viagra

16 Mayo 2008 2:34 pm

Como venimos anunciando desde hace tiempo, se están utilizando distintos buscadores para promocionar sitios ilegales o diseminar malware.

En el siguiente caso se utiliza Google para promocionar un sitio de Viagra, al cual se accede a través de la URL que puede verse ofuscada y a través del modificador adurl provisto por el buscador.

Spam mediante Google

El objetivo de este enlace es engañar al usuario para que piense que será dirigido a un sitio de Google, cuando en realidad el buscador redirige el navegador al sitio promocionado por el spammer.

Nuevamemente es fundamental prestar especial atención a los correos recibidos para no caer en este tipo de trampas, facilitadas a veces por otras herramientas (Google en este caso).

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Falsa actualización de Microsoft en MySpace

14 Mayo 2008 10:08 pm

Nuestro Laboratorio acaba de hallar una nueva amenaza que simula ser una actualización de Microsoft pero que en realidad se trata de un troyano que ESET NOD32 detecta como TrojanDownloader.FakeAlert.CV.

La descarga de este troyano se ofrece a través de falsos perfiles de MySpace, los cuales se encuentran activos al momento de escribir el presente:

Perfil falso de MySpace

Si cometemos el error de descargar este archivo, resultararemos infectados con el troyano mencionado.

Para ver más claramente que este perfil en realidad es un engaño podemos abrir el código fuente de la página, en donde se hace referencia a la imágen de la supuesta actualización:

Perfil falso de MySpace

Nota: la imagen no representa ninguna amenaza.

En cambio, al descargar el archivo ejecutable puede comprobarse que en realidad la ubicación es un servidor FTP, ubicado en China, en donde además existen otras variantes del mismo troyano:

Perfil falso de MySpace

Puede observarse también la fecha y la hora de publicación de estos troyanos, los cuales son muy recientes.

Desde ESET no descartamos que pronto aparezcan otros sitios conteniendo el mismo tipo de engaño o alguno similar, por lo que la navegación utilizando el sentido común en estos días es fundamental. No confíe en cualquier sitio e intente pensar que quizás lo que le ofrecen, pueden ser un engaño.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

ESET te lleva a Canadá con todo pago

4:07 pm

Sí, es así de sencillo y no es ninguna broma.

Por tercer año consecutivo, ESET lleva a un alumno de la Universidad Tecnológica Argentina (UTN) a una prestigiosa conferencia internacional sobre Seguridad Antivirus.

En este caso un alumno elegido por sus méritos académicos viajará, con todos los gastos pagos, nada menos y nada más que a Ottawa, Canadá a Virus Bulletin 2008 en donde expertos en malware de todo el mundo se dan cita una vez al año.

Toda la información y las bases para participar en el Concurso ESET-UTN

¡Nos vemos en Ottawa!

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

¡Cuidado con el rogue!

13 Mayo 2008 10:54 am

En la actualidad, ya es cosa de todos los días encontrarnos con programas que prometen solucionar de manera mágica los supuestos problemas que pudieran producirse en cualquier equipo, incluso encontrando y eliminando amenazas que no existen en nuestra PC.

La siguiente imagen representa uno de los tantos ejemplos:

Rogue

Generalmente, este tipo de programas engañan a los usuarios a través de falsas exploraciones y luego infectan el equipo con diferentes amenazas que poseen características típicas del adware y de spyware (p.e. recolectar información del sistema, de los hábitos de navegación y hasta de información sensible como lo son las contraseñas).

Muchos de ellos intentan, en forma paralela, obtener información de la tarjeta de crédito de aquellos usuarios dispuestos a “comprar” la mágica solución que, lejos de solucionar o eliminar las infecciones termina comprometiendo aún más las computadoras.

Para estar prevenidos de manera efectiva, es muy importante confiar la protección de nuestro equipo a soluciones de seguridad ampliamente reconocidas por el mercado antivirus como ESET NOD32 Antivirus.

El punto de inflexión entre la prevención efectiva y la falsa sensación de seguridad que provocan algunas “soluciones” radica precisamente en esta decisión.

Jorge

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Miles de foros de phpBB infectados

12 Mayo 2008 12:15 pm

Miles de foros de PhpBB vulnerables están siendo modificados automáticamente por usuarios malintencionados para redirigir a sus usuarios hacia la descarga de scripts dañinos.

Actualmente pueden ser encontrados arededor de 230.000 foros que han sido modificados, redireccionando al usuario hacia un script http://xprmn[eliminado].info/f.js el cual permite la descarga de un troyano que ESET NOD32 detecta como JS/TrojanDownloader.Agent.NEC.

Este archivo a su vez permite la descarga de otros malware como pueden ser troyanos bancarios o de robos de información confidencial del usuario.

A continuación dejo una imagen de como figura el código fuente de un foro modificado:

Foros de phpBB modificados

Recomendamos a los usuarios extremar las precauciones al navegar y a los administradores a revisar sus sitios en busca de modificaciones en sus sitios web.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Scripts de China infectan miles de sitios

11:35 am

Nuevamente nuestro Laboratorio se ha encontrado con miles de sitios modificados con scripts dañinos que permiten la descarga de troyanos desde sitios chinos.

Los sitios modificados están disponibles en cualquier buscador y si el usuario ingresa a uno de ellos se descargan los siguientes archivos:

  • Sitio modificado con un iframe descarga http://www.kill[eliminado].cn/g.js
  • Archivo g.js descarga http://www.kill[eliminado].cn/cc/index.htm
  • Por su parte, este archivo index.htm descarga los siguientes scripts dañinos:
    • rl.htm: script en JS que explota una vulnerabilidad en RealPlayer y es detectado como JS/Exploit.RealPlay.IX
    • 04.htm: script en JS que explota una vulnerabilidad solucionada en el Boletín MS07-004 de Microsoft
    • new.htm: troyano genéricamente detectado como Delf y que es ampliamente propagado, utilizando cualquiera de las vulnerabilidades mencionadas

Cada uno de estos scripts prueba diferentes vulnerabilidades en el sistema afectado y cualquiera de ellos que tenga éxito descargará otros malware en el equipo del usuario.

Actualmente, pueden encontrarse alrededor de 25.000 sitios afectados y por eso destacamos, una vez más, la necesidad de actualizar todas las aplicaciones.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Bloqueo de sitios con ESET

10 Mayo 2008 11:23 am

En ¿Sabemos por donde navegan nuestros hijos?, Jorge hizo referencia a la forma de bloquear determinados sitios web desde ESET NOD32 y ESET Smart Security con el objetivo de proteger a los menores al navegar por Internet.

Traigo esto nuevamente a colación por la gran cantidad de preguntas que nos llegan al respecto sobre el bloqueo de cualquier tipo de sitios.

En efecto, ESET NOD32 y ESET Smart Security permiten el bloqueo de los sitios que deseemos y parafraseando a Jorge remarco esta característica. La funcionalidad que nos permite realizar el control en cuestión se llama Direcciones bloqueadas y se accede a ella desde Configuración > Configuración avanzada (o presionando F5) > Protección de tráfico de Internet > HTTP > Direcciones bloqueadas.

Listado de páginas que ESET NOD32 bloqueará

De esta manera, la funcionalidad nos permite bloquear determinadas direcciones web, agregándolas una por una o desde un archivo .txt, e incluso podríamos bloquear direcciones a partir de determinadas palabras como por ejemplo xxx, sexo, crack, etc.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Protección en todo momento

9 Mayo 2008 3:54 pm

Cuando hablamos de soluciones antivirus, la mayoría de las veces, lo asociamos nada más que a la detección de archivos que al momento de activarse ejecutan acciones maliciosas o a la eliminación de archivos infectados.

Sin embargo, al navegar por Internet también somos potenciales víctimas de códigos maliciosos que poseen la capacidad de infectar nuestro equipo con sólo acceder a una página, por lo general explotando alguna vulnerabilidad del sistema o aplicación de uso masivo.

Para evitar este riesgo, ESET NOD32 permite el bloqueo de estos sitios directamente al intentar acceder a ellos:

Detección en línea

Los casos de infección a través de páginas maliciosas son cada vez más, día a día surgen diferentes técnicas que permiten explotar las vulnerabilidades que poseen los equipos de aquellos usuarios que omiten o no incorporan las medidas de seguridad al navegar.

Resulta importante utilizar herramientas de seguridad como ESET Smart Security o ESET NOD32 Antivirus, que nos garantizan la seguridad de poder navegar por Internet sin preocuparnos del malware.

Jorge

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Netsky: peligrosamente insistente

10:20 am

El gusano Netsky, quien en su momento de mayor “gloria” entabló una guerra con su par Bagle, después de varios años de ser detectado por la mayoría de las soluciones de seguridad antivirus, continúa con su intento de infección.

Aún hoy, y luego de cuatro años de vida, es realmente sorprendente cómo Netsky sigue con su travesía de tratar de infectar los equipos de los usuarios diseminándose a través del correo electrónico.

Bajo el mensaje I have received your document. The corrected document is attached (He recibido tu documento. Te adjunto el documento corregido) intenta que descarguemos un archivo comprimido que contiene, supuestamente, el documento prometido.

Gusano Netsky

Al descomprimirlo, notamos que se trata de un archivo con doble extensión que simula ser un documento de texto, pero que su extensión real es .scr. Además, para simular aún más su condición de doble extensión, contiene espacios entre la extensión falsa (.rtf) y la real (.scr).

Como vemos en la siguiente captura, es detectado por ESET NOD32 bajo el nombre de Win32/Netsky.Q.

Detección de Netsky

Aunque estas técnicas no son novedosas, siguen siendo aprovechadas por el malware y, por lo tanto, nos obliga a estar atentos en todo momento.

En el documento Disfrazando códigos maliciosos: Ingeniería Social aplicada al malware, se explica cuales son las técnicas que comúnmente utiliza el malware y de qué manera prevenir este tipo de casos.

Jorge

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Rastreo de correos con imágenes

8 Mayo 2008 12:30 pm

Esta técnica es sumamente vieja pero todavía sigue siendo utilizada por spammers y por diversos servicios de publicidad para conocer si un correo ha sido abierto o visualizado.

Se trata de insertar una imagen generalmente muy pequeña y poco visible (o transparente) en el correo electrónico y luego verificar en el servidor web que la aloja si esa imagen ha sido descargada o no. Si la imagen es descargada, indica que alguien ha abierto el correo y es una buena señal para seguir enviando correo, publicidad o spam a ese destinatario

Últimamente esta técnica está cayendo en desuso debido al bloqueo de imágenes automático de los clientes de correo y los webmail. Sin embargo, como mencioné, algunas empresas y spammers lo siguen utilizando, como en este caso:

Imagen insertada en un correo

El rastreo de emails a través de este método es un buen motivo para bloquear las imágenes en el correo electrónico y que nadie conozca, al menos a través de esta forma, que leemos o dejamos de leer.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame