Como todos sabemos la ingeniería social utilizada por los delincuentes no tiene fin y se perfecciona día a día.

En este caso quiero comentar un correo que me ha llegado en portugues, en el cual me invitan a re-registrarme a un servicio debido a que mi cuenta está punto de caducar. Para registrarme “simplemente” debo hacer clic en un enlace.

También me aclaran que si no deseo recibir más correos desde esta supuesta organización simplemente debo realizar la baja del servicio en el cual, por otro lado, nunca me dí de alta. Para realizar la supuesta baja también debo hacer clic en otro enlace.

Si bien ninguno de los dos enlaces parece dañino, al hacer clic (algo que nunca deberíamos hacer en un correo de este tipo), se nos redirige a un sitio dañino desde donde se descarga un archivo ejecutable que inmediatamente es detectado por el antivirus:

Como es fácil apreciar, la dirección desde donde se descarga el ejecutable no es la misma que aparece en la barra de direcciones. Esto se debe a que se utiliza un redireccionamiento 301 comúnmente empleado para informar a los buscadores que un sitio ha sido movido permanentemente de dominio.

En la siguiente imagen vemos que sucede si accedemos a la misma URL desde una aplicación y sin utilizar el navegador web:

Aquí se ve claramente la redirección 301 mencionada así como la descarga posterior del mismo programa dañino.

El crimen no descansa y las formas de engañarnos cambian continuamente, por eso la educación del usuario y una herramienta de última generación son fundamentales.

Cristian

• ESET SysInspector Release Candidate
• Seminarios en la República de El Salvador
• Smileys peligrosos

Categorias: Malware
Sin Comentarios »

Lejos quedaron aquellos tiempos en que el spam llegaba en modo texto y desde direcciones de correo que podían filtrarse manualmente.

En la actualidad el negocio del spam alcanza niveles tan elevados que los spammers pueden “darse el lujo” de investigar nuevas técnicas para asegurar que su basura llegará a buen puerto (el correo del usuario).

Primero fueron todas las variaciones de texto posible para las mismas palabras de modo de dificultar la acción de lo filtro antispam.

Cuando este fue un problema superado por los filtros, fueron las imágenes con publicidad e inmediatamente despues las imágenes con pequeños desplazamientos o “fuera de foco” para imposibilitar la detección por parte de los filtros reconocedores de caracteres (OCR).

Ahora, en un paso más de esta carrera armamentista, llega el correo basura con documentos PDF adjuntos. Si bien pueden resultar efectivos para saltear las barreras de filtro, en este caso el mejor filtro tendría que ser el usuario que no debería abrir adjuntos que no solicitó.

Dejo un ejemplo que me ha llegado hoy:

Personalmente, creo que esta “nueva técnica” hará que todos los administradores nos pongamos paranoicos y le perdamos la confianza que se ha sabido ganar el formato PDF: comenzaremos a bloquear este tipo de archivos en el servidor de correo, lo que sin duda es una gran pérdida para todos aquellos que trabajamos con este formato standar de facto.

Así, una vez más los delincuentes salen ganando.

Cristian

• Spam en archivos comprimidos
• Spam: Desagote su pozo negro
• Haz recibido un nuevo SPAM!!!

Categorias: Spam
Sin Comentarios »

En los últimos meses se han reportado varios casos de malware que aprovechan los dispositivos USB para diseminar e infectar con su código malicioso.

Uno de ellos es el detectado por ESET NOD32 bajo el nombre de Win32/AutoRun.C, un gusano de Internet creado con el lenguaje de programación Microsoft Visual Basic 6.0 con capacidad de infectar dispositivos USB propagándose a través de los mismos.

Para lograrlo, copia en la raíz de estos dispositivos y de los discos locales, los siguientes archivos: “crsvc.exe” con un peso de 48 Kb y “autorun.inf” de 10 Kb en forma oculta y levanta en el sistema un proceso llamado “crsvc”.

Desde ese momento, cada unidad de almacenamiento extraíble que se inserte en los puertos USB de la computadora comprometida será infectada con una copia del gusano.

Como es común en los distintos tipos de malware, intenta asegurar que su proceso se levante en cada inicio del sistema, para lo cual manipula la clave “run” del registro apuntándola al archivo copiado en la raíz del disco X:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\
Syslog C:\crsvc.exe

Al momento de copiarse a los dispositivos, el malware verifica la existencia de los procesos “KofcpfwSvcs.exe” y “OfcpfwSvcs.exe” pertenecientes al troyano Win32/PcClient.WJ, si existen los termina, de igual manera que termina el proceso “explorer.exe” del explorador de Window. Inmediatamente después, vuelve a levantar el proceso “explorer.exe” para infectar el dispositivo insertado.

Además, deshabilita la opción de abrir las unidades con doble clic, tanto en las locales como en las extraíbles y en el submenú del botón derecho del Mouse crea una opción llamada “ZAYLE” cuyo efecto al ingresar a él, es equivalente a hacer doble clic directamente sobre el ejecutable del malware.

En el código del gusano se pueden leer las leyendas “Zarteck” y “LETZEL TE AMO” y hasta el nombre de la carpeta de trabajo del programador del código: \Projectos\Virus auto\3.0\Virus.vbp. Y el archivo “autorun.inf” contiene las siguientes imágenes en código ASCII.

Si bien este malware no posee algún componente innovador en su código, ya que para lograr su objetivo recurre a técnicas comunes utilizadas por la mayoría de los códigos maliciosos, no deja de ser una amenaza para los dispositivos USB que se están convirtiendo en un estádandar a la hora de transportar información.

Jorge

• El malware ¿enamorado?
• Otro viaje en el tiempo: el gusano MyDoom
• Sitios similares, pero con malware

Categorias: Malware
7 Comentario »

Se ha generado mucho revuelo en torno a MPack y como consecuencia de ello los usuarios consultan a sus proveedores de productos antivirus si su programa es capaz de detectarlo. Que el usuario promedio detecte la presencia de MPack no tiene utilidad alguna.

El MPack, según lo reportado, fue encontrado en más de 10.000 servidores Web; sin embargo, ningún usuario que haya visitado alguno de los sitio Web alojados en estos servidores comprometidos fue infectado. El MPack es solo un lanzador de aplicaciones en el que se puede integrar y ejecutar prácticamente lo que desees.

Si ESET NOD32 detecta el MPack en un servidor Web que no sea el tuyo, no te hace ningún bien, ya que MPack no es lo que nos infecta sino que aquel que visite un servidor comprometido con MPack correrá el potencial riesgo de infectarse con muchos otros programas maliciosos.

La mejor y única manera que tenemos como usuarios, para estar seguros frente a las acciones del MPack, es mantener nuestro sistema operativo y aplicaciones actualizadas. Las soluciones antivirus también son una buena herramienta, pero con un sistema debidamente actualizado y con las configuraciones predeterminadas de los navegadores, el MPack no debería representar algún problema.

Cuando me refiero a un sistema completamente actualizado no me refiero sólo al sistema operativo sino también a todas las aplicaciones. Si se utiliza como navegador Firefox, Opera, Internet Explorer o un programa de mensajería instantánea y no mantiene el sistema actualizado, el MPack representa sólo una de las tantas amenazas a las que estamos expuestos y no merece ningún tipo de reconocimiento especial. Preocuparse por el MPack es equivalente a verificar una sola rueda del auto y manejar sin haber revisado las otras tres.

Si tenemos un servidor web y nos preocupamos por el MPack quiere decir que no comprendemos el verdadero problema. El problema no es el MPack sino la inadecuada seguridad que permite que el MPack se instale. Si el MPack se encuentra en nuestro servidor quiere decir que es vulnerable a cualquier tipo de ataque y MPack es sólo uno de los potenciales atacantes.

Muchos sitios lo eliminaron sólo para luego comprobar que lo volvían a tener instalado y esto sucede porque sólo trataron el síntoma y no la causa. Contraseñas débiles, cuentas comprometidas, una vulnerabilidad sin parchear pueden permitir cualquier tipo de acceso no autorizado al servidor. Todas las cuentas en el servidor deberían tener contraseñas fuertes que sean cambiadas con regularidad. Esto también se aplica para su computadora hogareña.

El titulo no debería ser sobre la gran cantidad de servidores afectados por el MPack, en vez de esto debería leerse “más de 10.000 servidores Web descubrieron tener problemas serios de seguridad”.

El MPack es la menor de tus preocupaciones, lo que puede rescatarse es que debes estar protegido contra cualquier programa malicioso. No he escuchado ningún reporte sobre un usuario que haya ingresado a un sitio infectado con el MPack y que posteriormente este se haya infectado con el MPack, simplemente porque  no es el objetivo de MPack.

En de MPack y otras yerbas puedes obtener más información de este paquete de instalación de malware

Randy Abrams
Director de Educación Técnica de ESET

• Entrevista a los creadores de MPack
• De MPack y otras yerbas
• ¿Empresas antivirus que infectan usuarios?

Categorias: Malware
Sin Comentarios »

Recientemente los casos de toolkits de infección como MPack, Dream System (ambos del mismo autor sash), Zunker, DKCS FTP-Toolz han abierto la caja de Pandora sobre este tipo de infecciones, las cuales no son originales y se vienen utilizando desde hace tiempo por los diseminadores de malware. Lo que hace singular a estos casos es la masividad con la que se han logrado las infecciones a través de hostings vulnerables.

La forma de funcionamiento e infección es relativamente sencilla pero requiere un elemento generalmente poco considerado: vulnerar un servidor web que aloje cientos o miles de sitios:

1. Un atacante logra acceso a un hosting más o menos popular que aloja sitios web. Este ingreso generalmente se debe a vulnerabilidades en el software instalado en el servidor (sistema operativo, herramientas de administración, programas de control remoto, etc) y a la incorrecta administración de los servidores web y a prácticas de seguridad deficientes por parte de los administradores.
2. Una vez dentro, se modifican las páginas web de todos los sitios alojados. Esta modificación es masiva y consiste en incluir un pequeño trozo de código que hace referencia a la descarga del malware propiamente dicho.
3. Los usuarios visitan las páginas web ignorando que el sitio ha sido modificado
4. Los usuarios son infectados con diversos tipos de malware. Esta infección ocurre debido a que generalmente se aprovechan diversas vulnerabilidades del navegador o sistema operativo del usuario.

En el caso en particular de Mpack, el kit se vende en foros underground de Rusia y facilita crear una infraestructura web para infectar automáticamente a los usuarios que visitan los sitios web atacados, aprovechando diversas vulnerabilidades, según se explica en el gráfico anterior.

A modo ilustrativo este tipo de paquetes suele rondar los U$S $1.000 y cuenta con administración para controlar y llevar estadísticas sobre las infecciones realizadas. El paquete se ofrece como si se tratara de un software legal, con servicio de soporte incluido y actualizaciones para el mismo.

Como alternativa a la mencionada existen sitios que pagan a otros sitios web (generalmente de contenido sexual, cracks y warez) para que alojen los scripts dañinos que infectan al usuario. De esta forma se aseguran una alta tasa de infección entre los usuarios que visitan los sitios web mencionados. Obviamente estas infecciones repercuten en mayores ganancias económicas.

Randy nos cuenta más en MPack, el generador de revuelos.

Cristian

• Entrevista a los creadores de MPack
• MPack, el generador de revuelos
• Una botnet por dentro

Categorias: Informes, Malware
Sin Comentarios »

Desde el sitio de AV-Comparatives se puede descargar la comparativa Retrospectiva/Proactiva de antivirus de mayo de 2007.

AV-Comparatives realiza esta comparativa retrospectiva para determinar la eficiencia de la heurística de los productos antivirus, tomando como base que los productos se dejan de actualizar y luego son expuestos a distintas amenazas para que las mismas sean detectadas proactivamente y sin que las amenazas figuren en la base de firmas del producto.

En esta oportunidad ESET NOD32 tuvo el orgullo de ser el único producto distinguido con la Certificación Advanced+, la más alta entregada por este prestigioso laboratorio independiente.

En la comparativa pueden apreciarse dos puntos importantes:

• el nivel de proactividad alcanzada por los 3 primeros productos (en los que se incluye ESET NOD32)
• el nivel de Falso Positivos (FP) alcanzado por los mismos 3 productos. Recordemos que un FP ocurre cuando un producto detecta un archivo no dañino como tal.

Analicemos estos dos puntos con imagenes.
Aquí puede apreciarse el porcentaje de detecciones alcanzado por heurística (ESET NOD32 68%):

Y aquí la cantidad de falsos positivos alcanzados por los mismos productos (sólo 2 para ESET NOD32)

En estos dos gráficos se destaca que una heurística demasiado paranoica o deficiente puede llevar a mayor cantidad de detecciones pero con una alta tasa de FP lo que lleva al usuario a inducir una falsa sensación de seguridad y de confianza en el producto.

Entonces, una heurística eficiente sólo lo es cuando la misma va acompañada de un índice bajo de FP. De otra manera ¿para qué sirve que cada archivo abierto sea indicado como posible amenaza?

Por esta razón ESET NOD32 fue el único en alcanzar la distinción mencionada.

Cristian

• ESET NOD32, mejor antivirus del 2007
• ¿Se “equivocan” los antivirus?
• Los primeros 50 premios de Virus Bulletin para ESET

Categorias: Certificaciones, Heurística
Sin Comentarios »

El pasado sábado 16 de junio tuve el agrado de estar al frente de la segunda clase del curso Seguridad Antivirus desarrollado en la Facultad Regional La plata de la Universidad Tecnológica Nacional.

En este segundo encuentro pudimos charlar sobre las técnicas más comunes que utilizan los códigos maliciosos para llevar a cabo el proceso de infección, para ello tomamos como ejemplo un malware de amplia difusión que se transmite a través de aplicaciones de mensajería instantánea.

También pudieron aprender sobre el porqué del entorno controlado, a utilizar algunas de las herramientas utilizadas a la hora de llevar adelante un análisis de malware y hasta pudimos “jugar” realizando los primeros pasos hacia el análisis de códigos maliciosos.

En lo personal, espero que se hayan ido contentos y que la clase haya sido útil, en cuanto al entusiasmo, no esperaba menos que lo demostrado en el primer encuentro.

Junto a Cristian los esperamos en la próxima clase y para aquellos que deseen conocer esta temática pueden hacerlo en nuestra Plataforma Educativa de ESET

Jorge.

• Se inició el Curso de Seguridad Antivirus en UTN
• Tercera clase del curso Seguridad Antivirus en UTN
• Finaliza el Primer Curso de Seguridad Antivirus de ESET

Categorias: Educación
Sin Comentarios »

Una nueva amenaza fue detectada por ESET NOD32 gracias a sus características proactivas y alerta temprana.

En esta oportunidad se trata del troyano “Win32/TrojanDownloader.Delf.BKH” que se propaga bajo el nombre “install_javav6up2.exe” simulando ser una actualización del lenguaje Java.

Este troyano del tipo downloader se encuentra empaquetado con tElock 0.98b1, está desarrollado en lenguaje Borland Delphi 6.0-7.0 y tiene un peso de 188 Kb, el mismo archivo pero desempaquetado pesa 361 Kb.

Al comprometer al equipo crea en la ruta “C:\windows\system32″ los archivos “win32.exe” y “winupgd.exe” ambos con un peso de 961 Kb. Estos ejecutables están empaquetados con la aplicación “yoda’s Protector 1.03.3″ y se trata de un troyano bancario, descargado por el downloader.

Por otro lado, levanta un proceso llamado “winupgd” y con el fin de asegurar su ejecución en cada arranque del sistema, modifica el registro de Windows agregando la siguiente clave:

Un caso más de Ingeniería Social y una nueva amenaza controlada por ESET NOD32.

Jorge

• Vulnerabilidad (otra vez) de Adobe Reader
• Carla y sus fotos
• Descarga de malware a través de scripts dañinos

Categorias: Malware
Sin Comentarios »

Algunos de los códigos maliciosos que más estragos esta causando en estos últimos meses, son los que se propagan a través de aplicaciones de mensajería instantánea.

Al respecto, ESET ha realizado un informe técnico en el cual se describe el funcionamiento de uno de estos ejemplares.

El malware en cuestión se trata del Win32/TrojanDownloader.Banload.BJU, este código malicioso que se propaga a través de MSN desplegando un mensaje en idioma portugués, invita al usuario a clickear sobre un enlace desde el cual se descarga otro malware.

Esta web maliciosa, que había sido dada de baja, estaba alojada en un sitio de web hosting y correo webmail gratuito ubicado en Rusia, hoy hemos descubierto que esta web se encuentra nuevamente online y lista para seguir diseminando más códigos maliciosos.

Si bien el Troyano Downloader analizado anteriormente sigue siendo el mismo, no pasa lo mismo con el descargado por éste. A continuación se mencionan a grandes rasgos algunas de sus modificaciones.

El código descargado en segunda instancia, al igual que el anterior, se encuentra empaquetado con la aplicación tElock 0.98 con un peso de 1.926 KB, cuando se lo desempaqueta el peso es de 26.728 KB, está programado en lenguaje Borlan Delphi y se aloja en la raíz del disco X (donde X es la unidad donde se encuentra instalado el sistema operativo) bajo la nomenclatura de “system1591.exe”.

Del análisis superficial del malware se desprende que el mensaje que despliega a través del cliente de mensajería instantánea ha sido modificado por el siguiente:

Ei atualizei meu novo flogao olha e para vc :p
http://www.flogao-com-br.[eliminado].ru/virgens.htm
Passa la eh deixa um scrap… :p

En la porción de código del ejecutable se observan las rutas, que varían dependiendo de la versión del sistema operativo, en las cuales hará una copia de sí mismo bajo el nombre de “bios.exe” y luego se encargará de descargar y ejecutar el archivo “remote.cmd” (copia de “system1591.exe”) guardado en la carpeta system32 de Windows.

El objetivo del archivo “remote.cmd” es monitorear cuando el usuario ingresa al Homebanking de las entidades bancarias que líneas abajo se menciona y enviar esta información a una dirección de correo electrónico creada por el atacante:

http://www.caixa.com.br
http://www.bradesco.com.br
http://www.santanderbanespa.com.br
http://www.hsbc.com.br
http://www.itau.com.br

Cómo se podrá deducir, el malware continúa con su carrera de propagación utilizando como medio de diseminación aplicaciones de mensajería instantánea, dejando en evidencia el dinamismo utilizado por quienes se encuentran detrás de la difusión de este tipo de códigos maliciosos.

ESET NOD32 detecta este malware bajo el nombre de Win32/Spy.banker.OBD.

Jorge

• Mensajeros instantáneos utilizados para crear botnets
• Configurando ESET NOD32 Antivirus en MSN
• Nueva variante de animación sobre Bush

Categorias: Malware
Sin Comentarios »

Dentro de la amplia variedad de códigos maliciosos que cotidianamente estamos acostumbrados a ver, algunos de los más difundidos son los troyanos. A su vez, se podría realizar una clasificación teniendo en cuenta nada más que éste tipo de malware.

Es así que nos solemos encontrar, por ejemplo, con troyanos tipo banker (banqueros), downloader (descarga), dropper (transporta otros troyanos), dialers (marcador), entre otros.

En el caso del troyano “Win32/TrojanDownloader.Agent.BRJ”, cuya descripción se realizó en “Infección de los piratas del Caribe”, descarga en la computadora comprometida otro código malicioso pero del tipo “dialers” detectado por ESET NOD32 como “Win32/Diales.NCX”.

Los “Dialers” tienen como principal objetivo cambiar la configuración de la conexión Dial-Up realizadas vía Módem para conectar la computadora a líneas cuya tarifa es más costosa.

El “Win32/Diales.NCX”, al descargarse, realiza una copia de sí mismo dentro de la carpeta “1” (también creada por él) alojada en “Temporales de Windows” bajo el nombre de “svchost.exe” con un peso de 15 Kb. De igual manera, es el encargado de manipular la configuración de Internet Explorer agregando dos accesos directos a los favoritos y al Escritorio.

También modifica las siguientes claves del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
HKLM\\Microsoft\Internet Explorer\Quick Launch

Al hacer click sobre los accesos de Favoritos se direcciona hacia las siguientes páginas web intentando conectarse por medio del módem a los números telefónicos [eliminado] 899026932, [eliminado] 899020332, [eliminado] 7020102463:

Catalogo Caldo –> http://www.[eliminado].biz/members
Giochi e rilassamento –> http://www.[eliminado].com/members

Como se podrá observar, no todo lo que parece real lo es y es casi siempre por intermedio de técnicas de Ingeniería Social que los diseminadores de códigos maliciosos intentan convencer al usuario de ejecutar malware a través de mensajes llamativos como en este caso que se trató de establecer conexiones fraudulentas por intermedio de un “trailer”.

Jorge

• Infección de los piratas del Caribe
• Phishing a Bancomer
• Juguemos: ¡Dame tu computadora!

Categorias: Malware
Sin Comentarios »