Como venimos anunciando desde hace tiempo, se están utilizando distintos buscadores para promocionar sitios ilegales o diseminar malware.

En el siguiente caso se utiliza Google para promocionar un sitio de Viagra, al cual se accede a través de la URL que puede verse ofuscada y a través del modificador adurl provisto por el buscador.

El objetivo de este enlace es engañar al usuario para que piense que será dirigido a un sitio de Google, cuando en realidad el buscador redirige el navegador al sitio promocionado por el spammer.

Nuevamemente es fundamental prestar especial atención a los correos recibidos para no caer en este tipo de trampas, facilitadas a veces por otras herramientas (Google en este caso).

Cristian

Artículos Relacionados

• Sitios conocidos para promocionar Viagra
• La pornografía y el malware
• Blogs de WordPress en peligro

Categorias: Malware
Sin Comentarios »

Nuestro Laboratorio acaba de hallar una nueva amenaza que simula ser una actualización de Microsoft pero que en realidad se trata de un troyano que ESET NOD32 detecta como TrojanDownloader.FakeAlert.CV.

La descarga de este troyano se ofrece a través de falsos perfiles de MySpace, los cuales se encuentran activos al momento de escribir el presente:

Si cometemos el error de descargar este archivo, resultararemos infectados con el troyano mencionado.

Para ver más claramente que este perfil en realidad es un engaño podemos abrir el código fuente de la página, en donde se hace referencia a la imágen de la supuesta actualización:

Nota: la imagen no representa ninguna amenaza.

En cambio, al descargar el archivo ejecutable puede comprobarse que en realidad la ubicación es un servidor FTP, ubicado en China, en donde además existen otras variantes del mismo troyano:

Puede observarse también la fecha y la hora de publicación de estos troyanos, los cuales son muy recientes.

Desde ESET no descartamos que pronto aparezcan otros sitios conteniendo el mismo tipo de engaño o alguno similar, por lo que la navegación utilizando el sentido común en estos días es fundamental. No confíe en cualquier sitio e intente pensar que quizás lo que le ofrecen, pueden ser un engaño.

Cristian

Artículos Relacionados

• Troyano en MySpace simula ser una actualización de Microsoft
• Falsos perfiles de MySpace explotados por sitios chinos
• Falsa actualización crítica de Flash Player

Categorias: Alertas, Malware
Sin Comentarios »

Sí, es así de sencillo y no es ninguna broma.

Por tercer año consecutivo, ESET lleva a un alumno de la Universidad Tecnológica Argentina (UTN) a una prestigiosa conferencia internacional sobre Seguridad Antivirus.

En este caso un alumno elegido por sus méritos académicos viajará, con todos los gastos pagos, nada menos y nada más que a Ottawa, Canadá a Virus Bulletin 2008 en donde expertos en malware de todo el mundo se dan cita una vez al año.

Toda la información y las bases para participar en el Concurso ESET-UTN

¡Nos vemos en Ottawa!

Cristian

Artículos Relacionados

• Los codecs y la pornografía
• Capacitación del Laboratorio de ESET
• Éxito del Seminario sobre Seguridad AV en Mendoza

Categorias: Educación
Sin Comentarios »

En la actualidad, ya es cosa de todos los días encontrarnos con programas que prometen solucionar de manera mágica los supuestos problemas que pudieran producirse en cualquier equipo, incluso encontrando y eliminando amenazas que no existen en nuestra PC.

La siguiente imagen representa uno de los tantos ejemplos:

Generalmente, este tipo de programas engañan a los usuarios a través de falsas exploraciones y luego infectan el equipo con diferentes amenazas que poseen características típicas del adware y de spyware (p.e. recolectar información del sistema, de los hábitos de navegación y hasta de información sensible como lo son las contraseñas).

Muchos de ellos intentan, en forma paralela, obtener información de la tarjeta de crédito de aquellos usuarios dispuestos a “comprar” la mágica solución que, lejos de solucionar o eliminar las infecciones termina comprometiendo aún más las computadoras.

Para estar prevenidos de manera efectiva, es muy importante confiar la protección de nuestro equipo a soluciones de seguridad ampliamente reconocidas por el mercado antivirus como ESET NOD32 Antivirus.

El punto de inflexión entre la prevención efectiva y la falsa sensación de seguridad que provocan algunas “soluciones” radica precisamente en esta decisión.

Jorge

Artículos Relacionados

• Falsas aplicaciones de seguridad
• ¡Felices fiestas!
• Mi mulita me engaña

Categorias: Malware
Sin Comentarios »

Miles de foros de PhpBB vulnerables están siendo modificados automáticamente por usuarios malintencionados para redirigir a sus usuarios hacia la descarga de scripts dañinos.

Actualmente pueden ser encontrados arededor de 230.000 foros que han sido modificados, redireccionando al usuario hacia un script http://xprmn[eliminado].info/f.js el cual permite la descarga de un troyano que ESET NOD32 detecta como JS/TrojanDownloader.Agent.NEC.

Este archivo a su vez permite la descarga de otros malware como pueden ser troyanos bancarios o de robos de información confidencial del usuario.

A continuación dejo una imagen de como figura el código fuente de un foro modificado:

Recomendamos a los usuarios extremar las precauciones al navegar y a los administradores a revisar sus sitios en busca de modificaciones en sus sitios web.

Cristian

Artículos Relacionados

• Precaución al navegar por nuevos ataques a sitios web
• Respuesta de UNICEF a ESET
• De MPack y otras yerbas

Categorias: Alertas, Malware
Sin Comentarios »

Nuevamente nuestro Laboratorio se ha encontrado con miles de sitios modificados con scripts dañinos que permiten la descarga de troyanos desde sitios chinos.

Los sitios modificados están disponibles en cualquier buscador y si el usuario ingresa a uno de ellos se descargan los siguientes archivos:

• Sitio modificado con un iframe descarga http://www.kill[eliminado].cn/g.js
• Archivo g.js descarga http://www.kill[eliminado].cn/cc/index.htm
• Por su parte, este archivo index.htm descarga los siguientes scripts dañinos:
  • 14.htm: script en VBS detectado por ESET NOD32 y ESET Smart Security como VBS/Psyme.AK
  • rl.htm: script en JS que explota una vulnerabilidad en RealPlayer y es detectado como JS/Exploit.RealPlay.IX
  • 04.htm: script en JS que explota una vulnerabilidad solucionada en el Boletín MS07-004 de Microsoft
  • new.htm: troyano genéricamente detectado como Delf y que es ampliamente propagado, utilizando cualquiera de las vulnerabilidades mencionadas

Cada uno de estos scripts prueba diferentes vulnerabilidades en el sistema afectado y cualquiera de ellos que tenga éxito descargará otros malware en el equipo del usuario.

Actualmente, pueden encontrarse alrededor de 25.000 sitios afectados y por eso destacamos, una vez más, la necesidad de actualizar todas las aplicaciones.

Cristian

Artículos Relacionados

• Miles de foros de phpBB infectados
• ¿Empresas antivirus que infectan usuarios?
• Miles de sitios modificados con script dañinos

Categorias: Alertas, Malware
Sin Comentarios »

En ¿Sabemos por donde navegan nuestros hijos?, Jorge hizo referencia a la forma de bloquear determinados sitios web desde ESET NOD32 y ESET Smart Security con el objetivo de proteger a los menores al navegar por Internet.

Traigo esto nuevamente a colación por la gran cantidad de preguntas que nos llegan al respecto sobre el bloqueo de cualquier tipo de sitios.

En efecto, ESET NOD32 y ESET Smart Security permiten el bloqueo de los sitios que deseemos y parafraseando a Jorge remarco esta característica. La funcionalidad que nos permite realizar el control en cuestión se llama Direcciones bloqueadas y se accede a ella desde Configuración > Configuración avanzada (o presionando F5) > Protección de tráfico de Internet > HTTP > Direcciones bloqueadas.

De esta manera, la funcionalidad nos permite bloquear determinadas direcciones web, agregándolas una por una o desde un archivo .txt, e incluso podríamos bloquear direcciones a partir de determinadas palabras como por ejemplo xxx, sexo, crack, etc.

Cristian

Artículos Relacionados

• ¿Sabemos por donde navegan nuestros hijos?
• Miles de sitios modificados con script dañinos
• Protección en todo momento

Categorias: Productos, Tutoriales
2 Comentario »

Cuando hablamos de soluciones antivirus, la mayoría de las veces, lo asociamos nada más que a la detección de archivos que al momento de activarse ejecutan acciones maliciosas o a la eliminación de archivos infectados.

Sin embargo, al navegar por Internet también somos potenciales víctimas de códigos maliciosos que poseen la capacidad de infectar nuestro equipo con sólo acceder a una página, por lo general explotando alguna vulnerabilidad del sistema o aplicación de uso masivo.

Para evitar este riesgo, ESET NOD32 permite el bloqueo de estos sitios directamente al intentar acceder a ellos:

Los casos de infección a través de páginas maliciosas son cada vez más, día a día surgen diferentes técnicas que permiten explotar las vulnerabilidades que poseen los equipos de aquellos usuarios que omiten o no incorporan las medidas de seguridad al navegar.

Resulta importante utilizar herramientas de seguridad como ESET Smart Security o ESET NOD32 Antivirus, que nos garantizan la seguridad de poder navegar por Internet sin preocuparnos del malware.

Jorge

Artículos Relacionados

• Consejos para una Semana Santa sin infecciones
• La mejor forma de protección es la prevención (III)
• Amor, postales y troyanos bancarios

Categorias: Malware, Productos
4 Comentario »

El gusano Netsky, quien en su momento de mayor “gloria” entabló una guerra con su par Bagle, después de varios años de ser detectado por la mayoría de las soluciones de seguridad antivirus, continúa con su intento de infección.

Aún hoy, y luego de cuatro años de vida, es realmente sorprendente cómo Netsky sigue con su travesía de tratar de infectar los equipos de los usuarios diseminándose a través del correo electrónico.

Bajo el mensaje I have received your document. The corrected document is attached (He recibido tu documento. Te adjunto el documento corregido) intenta que descarguemos un archivo comprimido que contiene, supuestamente, el documento prometido.

Al descomprimirlo, notamos que se trata de un archivo con doble extensión que simula ser un documento de texto, pero que su extensión real es .scr. Además, para simular aún más su condición de doble extensión, contiene espacios entre la extensión falsa (.rtf) y la real (.scr).

Como vemos en la siguiente captura, es detectado por ESET NOD32 bajo el nombre de Win32/Netsky.Q.

Aunque estas técnicas no son novedosas, siguen siendo aprovechadas por el malware y, por lo tanto, nos obliga a estar atentos en todo momento.

En el documento Disfrazando códigos maliciosos: Ingeniería Social aplicada al malware, se explica cuales son las técnicas que comúnmente utiliza el malware y de qué manera prevenir este tipo de casos.

Jorge

Artículos Relacionados

• Mariposa dañina
• El regreso del “rusito”
• Conocer para educar y educar para prevenir (III): Gusanos

Categorias: Curiosidades, Malware
2 Comentario »

Esta técnica es sumamente vieja pero todavía sigue siendo utilizada por spammers y por diversos servicios de publicidad para conocer si un correo ha sido abierto o visualizado.

Se trata de insertar una imagen generalmente muy pequeña y poco visible (o transparente) en el correo electrónico y luego verificar en el servidor web que la aloja si esa imagen ha sido descargada o no. Si la imagen es descargada, indica que alguien ha abierto el correo y es una buena señal para seguir enviando correo, publicidad o spam a ese destinatario

Últimamente esta técnica está cayendo en desuso debido al bloqueo de imágenes automático de los clientes de correo y los webmail. Sin embargo, como mencioné, algunas empresas y spammers lo siguen utilizando, como en este caso:

El rastreo de emails a través de este método es un buen motivo para bloquear las imágenes en el correo electrónico y que nadie conozca, al menos a través de esta forma, que leemos o dejamos de leer.

Cristian

Artículos Relacionados

• Spam + Troyano = Robo
• Cuidado, imágenes en el MSN
• El spam y la Ingeniería Social

Categorias: Spam
2 Comentario »