Archivo para junio, 2007
De comparativas, proactividad y falsos positivos
junio 20, 2007 2:08 pmDesde el sitio de AV-Comparatives se puede descargar la comparativa Retrospectiva/Proactiva de antivirus de mayo de 2007.
AV-Comparatives realiza esta comparativa retrospectiva para determinar la eficiencia de la heurística de los productos antivirus, tomando como base que los productos se dejan de actualizar y luego son expuestos a distintas amenazas para que las mismas sean detectadas proactivamente y sin que las amenazas figuren en la base de firmas del producto.
En esta oportunidad ESET NOD32 tuvo el orgullo de ser el único producto distinguido con la Certificación Advanced+, la más alta entregada por este prestigioso laboratorio independiente.
En la comparativa pueden apreciarse dos puntos importantes:
- el nivel de proactividad alcanzada por los 3 primeros productos (en los que se incluye ESET NOD32)
- el nivel de Falso Positivos (FP) alcanzado por los mismos 3 productos. Recordemos que un FP ocurre cuando un producto detecta un archivo no dañino como tal.
Analicemos estos dos puntos con imagenes.
Aquí puede apreciarse el porcentaje de detecciones alcanzado por heurística (ESET NOD32 68%):
Y aquí la cantidad de falsos positivos alcanzados por los mismos productos (sólo 2 para ESET NOD32)
En estos dos gráficos se destaca que una heurística demasiado paranoica o deficiente puede llevar a mayor cantidad de detecciones pero con una alta tasa de FP lo que lleva al usuario a inducir una falsa sensación de seguridad y de confianza en el producto.
Entonces, una heurística eficiente sólo lo es cuando la misma va acompañada de un índice bajo de FP. De otra manera ¿para qué sirve que cada archivo abierto sea indicado como posible amenaza?
Por esta razón ESET NOD32 fue el único en alcanzar la distinción mencionada.
Cristian
Segunda clase del curso Seguridad Antivirus en UTN
junio 19, 2007 4:09 pmUpdate malicioso
junio 11, 2007 4:27 pmUna nueva amenaza fue detectada por ESET NOD32 gracias a sus características proactivas y alerta temprana.
En esta oportunidad se trata del troyano “Win32/TrojanDownloader.Delf.BKH” que se propaga bajo el nombre “install_javav6up2.exe” simulando ser una actualización del lenguaje Java.
Este troyano del tipo downloader se encuentra empaquetado con tElock 0.98b1, está desarrollado en lenguaje Borland Delphi 6.0-7.0 y tiene un peso de 188 Kb, el mismo archivo pero desempaquetado pesa 361 Kb.
Al comprometer al equipo crea en la ruta “C:\windows\system32″ los archivos “win32.exe” y “winupgd.exe” ambos con un peso de 961 Kb. Estos ejecutables están empaquetados con la aplicación “yoda’s Protector 1.03.3″ y se trata de un troyano bancario, descargado por el downloader.
Por otro lado, levanta un proceso llamado “winupgd” y con el fin de asegurar su ejecución en cada arranque del sistema, modifica el registro de Windows agregando la siguiente clave:
Un caso más de Ingeniería Social y una nueva amenaza controlada por ESET NOD32.
Jorge
Mensajería instantánea y malware
4:06 pmAlgunos de los códigos maliciosos que más estragos esta causando en estos últimos meses, son los que se propagan a través de aplicaciones de mensajería instantánea.
Al respecto, ESET ha realizado un informe técnico en el cual se describe el funcionamiento de uno de estos ejemplares.
El malware en cuestión se trata del Win32/TrojanDownloader.Banload.BJU, este código malicioso que se propaga a través de MSN desplegando un mensaje en idioma portugués, invita al usuario a clickear sobre un enlace desde el cual se descarga otro malware.
Esta web maliciosa, que había sido dada de baja, estaba alojada en un sitio de web hosting y correo webmail gratuito ubicado en Rusia, hoy hemos descubierto que esta web se encuentra nuevamente online y lista para seguir diseminando más códigos maliciosos.
Si bien el Troyano Downloader analizado anteriormente sigue siendo el mismo, no pasa lo mismo con el descargado por éste. A continuación se mencionan a grandes rasgos algunas de sus modificaciones.
El código descargado en segunda instancia, al igual que el anterior, se encuentra empaquetado con la aplicación tElock 0.98 con un peso de 1.926 KB, cuando se lo desempaqueta el peso es de 26.728 KB, está programado en lenguaje Borlan Delphi y se aloja en la raíz del disco X (donde X es la unidad donde se encuentra instalado el sistema operativo) bajo la nomenclatura de “system1591.exe”.
Del análisis superficial del malware se desprende que el mensaje que despliega a través del cliente de mensajería instantánea ha sido modificado por el siguiente:
Ei atualizei meu novo flogao olha e para vc :p
http://www.flogao-com-br.[eliminado].ru/virgens.htm
Passa la eh deixa um scrap… :p
En la porción de código del ejecutable se observan las rutas, que varían dependiendo de la versión del sistema operativo, en las cuales hará una copia de sí mismo bajo el nombre de “bios.exe” y luego se encargará de descargar y ejecutar el archivo “remote.cmd” (copia de “system1591.exe”) guardado en la carpeta system32 de Windows.
El objetivo del archivo “remote.cmd” es monitorear cuando el usuario ingresa al Homebanking de las entidades bancarias que líneas abajo se menciona y enviar esta información a una dirección de correo electrónico creada por el atacante:
http://www.caixa.com.br
http://www.bradesco.com.br
http://www.santanderbanespa.com.br
http://www.hsbc.com.br
http://www.itau.com.br
Cómo se podrá deducir, el malware continúa con su carrera de propagación utilizando como medio de diseminación aplicaciones de mensajería instantánea, dejando en evidencia el dinamismo utilizado por quienes se encuentran detrás de la difusión de este tipo de códigos maliciosos.
ESET NOD32 detecta este malware bajo el nombre de Win32/Spy.banker.OBD.
Jorge
Conexión Dial-Up fraudulenta
junio 5, 2007 4:00 pmDentro de la amplia variedad de códigos maliciosos que cotidianamente estamos acostumbrados a ver, algunos de los más difundidos son los troyanos. A su vez, se podría realizar una clasificación teniendo en cuenta nada más que éste tipo de malware.
Es así que nos solemos encontrar, por ejemplo, con troyanos tipo banker (banqueros), downloader (descarga), dropper (transporta otros troyanos), dialers (marcador), entre otros.
En el caso del troyano “Win32/TrojanDownloader.Agent.BRJ”, cuya descripción se realizó en “Infección de los piratas del Caribe”, descarga en la computadora comprometida otro código malicioso pero del tipo “dialers” detectado por ESET NOD32 como “Win32/Diales.NCX”.
Los “Dialers” tienen como principal objetivo cambiar la configuración de la conexión Dial-Up realizadas vía Módem para conectar la computadora a líneas cuya tarifa es más costosa.
El “Win32/Diales.NCX”, al descargarse, realiza una copia de sí mismo dentro de la carpeta “1” (también creada por él) alojada en “Temporales de Windows” bajo el nombre de “svchost.exe” con un peso de 15 Kb. De igual manera, es el encargado de manipular la configuración de Internet Explorer agregando dos accesos directos a los favoritos y al Escritorio.
También modifica las siguientes claves del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
HKLM\\Microsoft\Internet Explorer\Quick Launch
Al hacer click sobre los accesos de Favoritos se direcciona hacia las siguientes páginas web intentando conectarse por medio del módem a los números telefónicos [eliminado] 899026932, [eliminado] 899020332, [eliminado] 7020102463:
Catalogo Caldo –> http://www.[eliminado].biz/members
Giochi e rilassamento –> http://www.[eliminado].com/members
Como se podrá observar, no todo lo que parece real lo es y es casi siempre por intermedio de técnicas de Ingeniería Social que los diseminadores de códigos maliciosos intentan convencer al usuario de ejecutar malware a través de mensajes llamativos como en este caso que se trató de establecer conexiones fraudulentas por intermedio de un “trailer”.
Jorge
