Como mencionabamos el otro día el costo de la fama de nuestro producto llega a los más diversos lugares. Esta vez nos ha tocado observar cómo un artículo de la Wikipedia ha sido víctima de vandalismo agregando supuestos vínculos a productos de ESET.

En realidad se trata de vínculos a programas dañinos que simulan descargar herramientas de seguridad. Si bien el artículo mencionado ya ha sido corregido, es sencillo ver cómo los delincuente usan todos los medios disponibles a su alcance para lograr la mayor cantidad de infecciones posibles, lo que les redundará en más dinero.

A continuación se puede ver el historial donde aparece el artículo modificado y su corrección posterior.

Cristian

Vota primero

Categorias: Malware
Dejar un comentario »

En el marco de la campaña educativa , ESET Latinoamérica, a través del Lic. Cristian Borghello, Technical & Educational Manager, dictará un nuevo seminario sobre Seguridad Antivirus en Internet.

En esta oportunidad, el mismo tendrá lugar el 3 de agosto en la provincia de Neuquén, exactamente en la Universidad Tecnológica Nacional (UTN) una de las universidades más importantes de Argentina.

Durante el mismo, Cristian explicará algunas cuestiones a nivel conceptual, como por ejemplo qué es y cuál es el objetivo de troyanos, gusanos, rootkits, keyloggers, etc., para luego profundizar en la problemática existente en materia de Seguridad Antivirus como consecuencia de la amplia gama de malware que circula por Internet.

Por último, realizará demostraciones en vivo sobre las acciones provocadas por los códigos maliciosos al infectar un sistema y el accionar de la Heurística avanzada de ESET NOD32.

Jorge

Vota primero

Categorias: Educación, Eventos
Dejar un comentario »

Bajo esta frase se nos presenta una simpática tarjeta virtual que, a través de un SPAM (correo electrónico no solicitado), intenta descargar un archivo llamado “amor.scr” que pretende simular ser un screensaver (protector de pantalla).

En el post “La curiosidad mató al gato… y el Nuwar infectó tu PC” describí qué sucede cuando la curiosidad anula nuestra capacidad de discernir entre lo peligroso y lo benigno.

En este caso, por más que no conozcamos el idioma portugués, es fácil deducir que el título dice algo como “Alguien te mandó una tarjeta virtual”.

Supongamos que, aún sabiendo que por las características que presenta el mensaje, tenemos un alto grado de desconfianza y sabemos que somos potenciales víctimas de una infección, igualmente hacemos clic sobre el divertido y amoroso gif animado.

Al intentar descargar el ejecutable, nuestra herramienta de protección nos alerta advirtiéndonos que si ejecutamos este archivo, puede provocar cambios dañinos en el sistema.

Al ser una amenaza desconocida, ESET NOD32 advierte sobre un “Probablemente desconocido NewHeur_PE(Virus)” para dar cuenta de la posible amenaza.

En este punto, cabe destacar la importancia de tener instalado en nuestra computadora un buen producto anti-malware con capacidades proactivas que permita prevenir la propagación de todo tipo de malware a través de su heurística. Esta metodología de detección a través de técnicas inteligentes (heurística avanzada) nos permite prevenir que nuestra máquina sea comprometida por algún código malicioso desconocido.

Si bien ya casi nadie se sorprende del spam, hay que tener presente que el correo electrónico es, en la actualidad, el medio más utilizado por los spammer (personas que envían spam) y otros delincuentes informáticos para diseminar códigos maliciosos.

La mayoría del malware requiere de nuestra intervención para lograr su objetivo. Por ello hay que tratar de ser precavido a la hora de abrir nuestros correos y/o navegar por Internet.

Más sobre las capacidades de detección heurística de fín de semana

Jorge

Promedio: 5

Categorias: Heurística, Malware, Spam
Dejar un comentario »

Realmente es un placer tener que escribir este post anunciando nuevos productos. Es un placer porque indica el crecimiento de ESET y también el compromiso renovado con nuestros clientes.

Tenemos el agrado de anunciar tres nuevos productos en Fase Beta para los sistemas operativos Linux y BSD: ESET Linux Security Beta.

A continuación dejo una reseña de cada uno de ellos y sus características. Recordar que al ser productos en Fase Beta, no se recomienda su instalación en equipos de producción.

ESET File Security, ESET Gateway Security, ESET Mail Security es la próxima generación de software anti-malware para Linux y BSD de ESET y están disponible para su testeo. ESET Linux Security (ELS) es un binario precompilado para las siguientes plataformas:

• Debian
• Red Hat, Mandriva, SuSE
• Red Hat-Ready, SuSE-Ready
• BSD 5.x
• BSD 6.x
• Otros

Todos los productos ESET Linux Security incluyen:

• Compatibilidad con on-demand scanning
• Compatibilidad con on-access scanning
• Compatibilidad con configuraciones para multi-procesadores
• Compatibilidad con procesadores de 64-bit (x64 no IA64)
• Interfase basada en la web
• Eficacia y estabilidad mejoradas del Demon de exploración
• Configuración por usuario (especifique parámetros específicos para usuarios específicos)
• Políticas para manejar objetos detectados (eliminar, limpiar, aceptar o rechazar).

Esperamos que estos nuevos productos también puedan integrarse en su organización tan bien como lo ha hecho ESET NOD32 hasta ahora.

Pronto tendremos más novedades en este sentido.

Cristian

Promedio: 5

Categorias: Productos
Dejar un comentario »

Evidentemente a medida que un producto se comienza a hacer conocido y respetado en el ambiente comienzan a ocurrir cosas como las que comento a continuación.

En nuestro laboratorio es costumbre buscar archivos ejecutables con nombres comunes, que simulan ser aplicaciones para engañar al usuario y así instalar malware. Hoy nos hemos encontrado con una “grata” sorpresa al encontrar un sitio web que se encarga de distribuir “gratuitamente” nuestro producto ESET NOD32 (y en su última versión):

Al descargarlo (algo que sólo deberíamos hacer desde sitios oficiales), se descarga un pequeño archivo ejecutable de 200 KB. ESET NOD32 es conocido por la utilización de mínimos recursos y bajo tamaño de su instalador pero… ¿tanto?.

Nuevamente estamos en presencia de un engaño que bajo la apariencia de un sitio y software de seguridad intenta hacer pasar gato por liebre. Si analizamos el archivo, el mismo es detectado como una herramienta de fraude:

Recordemos que cualquier software debería ser descargado desde los sitios oficiales siempre que sea posible. Generalmente este tipo de regalos suelen terminar costando caro.

Cristian

Vota primero

Categorias: Malware
3 Comentarios »

Hace un par de días hablábamos del costo, desde el punto de vista de la imagen, que puede tener para una organización que sus servidores se vean vulnerados y en cada página se inserte un vínculo a un exploit dañino, que instala un malware.

Hoy buscamos en Google el sitio del ejemplo y podemos ver que el mismo ya ha sido marcado como “posiblemente dañino” por StopBadware.org, el sitio que utiliza el buscador para catalogar la peligrosidad de las páginas web.

Si además intentamos ingresar al sitio podrá verse lo siguiente:

El costo en pérdida de imagen y dinero para este sitio ya es incalculable. Por eso siempre debemos administrar de manera inteligente y responsable nuestro sitio web, porque el mismo es la forma de llegar a nuestro público y por supuesto repercute en la forma en que ellos nos ven.

Cristian

Vota primero

Categorias: Malware
Dejar un comentario »

Lo que en un principio, los usuarios desinformados, pensarían que se trata de una verdadera, creativa, colorida y linda tarjeta virtual enviada por alguna amiga “o amigo”, puede traer consecuencias desagradables para nuestro equipo y fastidio para nosotros.

Muy sabio es aquel dicho que dice: “la curiosidad mató al gato”, como también lo es aquello que naturalmente poseemos como seres humanos: nos mata la intriga y la curiosidad; y más aún como usuarios informáticos, donde, como diría un experto profesional de la materia, nos convertimos en “pistoleros del doble clic”.

Así quedó comrpobado en ”Las tarjetas virtuales de Nuwar”, donde se demostró de qué manera este malware se disemina a través del correo electrónico incrustando un enlace que supuestamente nos invita a descargar una tarjeta virtual pero que en realidad se trata del código del gusano informático.

Inmediatamente después de ser ejecutada la supuesta tarjeta virtual, levanta un proceso bajo el nombre “ecard.exe” (el mismo nombre del archivo ejecutado) a su vez, éste ejecuta la herramienta “netsh.exe”.

Netsh.exe es una herramienta que trae incorporado el sistema operativo y sirve para configurar y supervisar en forma remota o local los equipos conectados a una red.

Si tenemos activo un firewall, situación deseable y recomendada para cualquier usuario, nos alertará cuando el malware intente establecer una conexión.

En la siguiente captura podemos ver las acciones realizadas por el Nuwar hasta aquí descriptas.

Paralelamente a lo mencionado, genera un archivo llamado “spooldr.ini” en la misma carpeta desde donde se copió el código malicioso (ecard.exe) mediante el cual establece el puerto donde se quedará “escuchando”.

Por otro lado, el malware realiza una copia de sí mismo en la carpeta Windows bajo el nombre de “spooldr.exe” y genera en la carpeta Windows/System32 el archivo “spooldr.sys” (denominado por ESET NOD32 como Win32/Nuwar.AE) que contiene instrucciones para matar los procesos de varias herramientas de seguridad.

Hasta esta instancia, los archivos creados por el Nuwar son fácilmente visibles y eliminados, esto puede llevar a suponer, por ejemplo, que el malware se encuentra en proceso de desarrollo y todavía adolece de ciertas características que el desarrollador intenta lograr con su creación.

Pero los que lidiamos con los códigos maliciosos, logramos dotarnos de algo en lo que la mayoría de los profesionales de Seguridad caen, la paranoia; dicho de otra manera, no creemos nada que un malware nos muestre, entonces probamos cada cosa que podemos para intentar saber el recorrido que los códigos maliciosos realizan por la computadora.

Y fue así que luego de reiniciar la PC donde nuestro amigo Nuwar se aloja cómodamente, pudimos descubrir que en realidad incorpora en su código propiedades de rootkit, ya que esconde sus archivos y procesos.

Si bien es verdad que este tipo de técnicas, el engaño por intermedio de tarjetas virtuales, no es novedosa y que data desde hace mucho tiempo atrás, la realidad es que sigue siendo utilizada porque hay muchísimos usuarios que desconocen éste y la mayoría de las metodologías de los delincuentes informáticos.

Jorge

Promedio: 5

Categorias: Malware
Dejar un comentario »

Vale la pena leer la entrevista realizada por Security Focus a Dream Coders Team, los desarrolladores del problemático MPack.

Cristian

Vota primero

Categorias: Declaraciones
Dejar un comentario »

Cuando se trata de visitar páginas webs las personas que trabajamos en seguridad solemos recomendar “sólo visitar sitios confiables”, y solemos darle las algunas de las siguiente connotaciones a esa palabrita “confiable”:

• Sitio muy visitado y por ende bastante conocido por el público
• Empresas u organizaciones de seguridad
• Sitios respetados en el ambiente de TI
• Medios de comunicación masivos
• Webs 2.0 con contenido actualizado permanentemente
• Sitios de comunidades virtuales
• Webmails
• Entidades financieras
• Sitios de descarga de software gratuito/shareware

Obviamente cuando ingresamos a estos sitios raramente nos detenemos a pensar que el mismo puede ser dañino y de hecho es probable que ninguno de ellos jamás intente instalarnos programas dañinos porque basan su reputación en ello.

Ahora, ¿qué sucede si uno de esos sitios es vulnerado y en el código HTML del mismo se inserta código dañino? El usuario es dañado por el código y automáticamente el sitio puede perder su reputación e imagen.

Este es el caso que nos ocupa: un conocido sitio de noticias ha sido vulnerado (su servidor) y se ha modificado todas las páginas del sitio web insertando la llamada al código dañino (un iframe):

Como puede verse, al intentar ingresar al sitio ESET NOD32 advierte de la amenaza del exploit. Si lograra descargarse, este script intentaría explotar un viejo fallo del navegador Internet Explorer para descargar un archivo ejecutable dañino.

Dado el supuesto caso, este archivo sería detectado por nuestro producto mediante su heurística.

Más alla de eso, esto pone en evidencia que un sitio confiable puede dejar de serlo tán rapido como le cuesta a un delincuente ingresar al servidor y modificar el sitio web.

Una vez más queda en evidencia que la seguridad debe pensarse desde:

• el servidor: los administradores deben actualizar y controlar las aplicaciones que brindan al público
• desde el cliente: los usuarios también deben actualizar sus aplicaciones y protegerse mediante productos con capacidades proactivas que puedan detectar las amenazas nuevas que aparecen a cada instante.

De otro modo seguiremos siendo carne de cañon de los delincuentes actuales.

Cristian

Vota primero

Categorias: Heurística, Malware
Dejar un comentario »

Nuwar (también conocido como Storm/Tibs/Peacomm/Peed) es un sofisticado gusano de Internet que se propaga por correo electrónico bajo diferentes formas, cada una más compleja que la anterior.

Actualmente, el principal medio que está utilizando para engañar al usuario es simular ser una tarjeta virtual que llega por correo electrónico. En el cuerpo del mensaje se invita a descargar dicha “e-card” desde una dirección IP (variable y perteneciente a equipos ya infectados) como puede verse a continuación:

Si bien las técnicas utilizadas por Nuwar varían constantemente para evitar la detección antivirus, si recibimos este tipo de correo seguramente se trate de una variante del mismo. Elimine el correo sin más.

Si cometemos el error de descargar y ejecutar el archivo desde esa ubicación (generalmente llamado “ecard.exe”) habremos sometido a nuestro equipo y comenzaremos a formar parte de una extensa red de infecciones utilizada para diversos fines maliciosos.

A continuación dejo una captura de lo que sucede al ejecutarse ecard.exe:

Este es sólo el comienzo. Luego iremos mostrando más tareas de este curioso y avanzado gusano que nos hace la vida imposible.

Cristian

Vota primero

Categorias: Malware
Dejar un comentario »