Hace un par de días hablábamos del costo, desde el punto de vista de la imagen, que puede tener para una organización que sus servidores se vean vulnerados y en cada página se inserte un vínculo a un exploit dañino, que instala un malware.

Hoy buscamos en Google el sitio del ejemplo y podemos ver que el mismo ya ha sido marcado como “posiblemente dañino” por StopBadware.org, el sitio que utiliza el buscador para catalogar la peligrosidad de las páginas web.

Si además intentamos ingresar al sitio podrá verse lo siguiente:

El costo en pérdida de imagen y dinero para este sitio ya es incalculable. Por eso siempre debemos administrar de manera inteligente y responsable nuestro sitio web, porque el mismo es la forma de llegar a nuestro público y por supuesto repercute en la forma en que ellos nos ven.

Cristian

Categories: Malware
No Comments »

Lo que en un principio, los usuarios desinformados, pensarían que se trata de una verdadera, creativa, colorida y linda tarjeta virtual enviada por alguna amiga “o amigo”, puede traer consecuencias desagradables para nuestro equipo y fastidio para nosotros.

Muy sabio es aquel dicho que dice: “la curiosidad mató al gato”, como también lo es aquello que naturalmente poseemos como seres humanos: nos mata la intriga y la curiosidad; y más aún como usuarios informáticos, donde, como diría un experto profesional de la materia, nos convertimos en “pistoleros del doble clic”.

Así quedó comrpobado en ”Las tarjetas virtuales de Nuwar”, donde se demostró de qué manera este malware se disemina a través del correo electrónico incrustando un enlace que supuestamente nos invita a descargar una tarjeta virtual pero que en realidad se trata del código del gusano informático.

Inmediatamente después de ser ejecutada la supuesta tarjeta virtual, levanta un proceso bajo el nombre “ecard.exe” (el mismo nombre del archivo ejecutado) a su vez, éste ejecuta la herramienta “netsh.exe”.

Netsh.exe es una herramienta que trae incorporado el sistema operativo y sirve para configurar y supervisar en forma remota o local los equipos conectados a una red.

Si tenemos activo un firewall, situación deseable y recomendada para cualquier usuario, nos alertará cuando el malware intente establecer una conexión.

En la siguiente captura podemos ver las acciones realizadas por el Nuwar hasta aquí descriptas.

Paralelamente a lo mencionado, genera un archivo llamado “spooldr.ini” en la misma carpeta desde donde se copió el código malicioso (ecard.exe) mediante el cual establece el puerto donde se quedará “escuchando”.

Por otro lado, el malware realiza una copia de sí mismo en la carpeta Windows bajo el nombre de “spooldr.exe” y genera en la carpeta Windows/System32 el archivo “spooldr.sys” (denominado por ESET NOD32 como Win32/Nuwar.AE) que contiene instrucciones para matar los procesos de varias herramientas de seguridad.

Hasta esta instancia, los archivos creados por el Nuwar son fácilmente visibles y eliminados, esto puede llevar a suponer, por ejemplo, que el malware se encuentra en proceso de desarrollo y todavía adolece de ciertas características que el desarrollador intenta lograr con su creación.

Pero los que lidiamos con los códigos maliciosos, logramos dotarnos de algo en lo que la mayoría de los profesionales de Seguridad caen, la paranoia; dicho de otra manera, no creemos nada que un malware nos muestre, entonces probamos cada cosa que podemos para intentar saber el recorrido que los códigos maliciosos realizan por la computadora.

Y fue así que luego de reiniciar la PC donde nuestro amigo Nuwar se aloja cómodamente, pudimos descubrir que en realidad incorpora en su código propiedades de rootkit, ya que esconde sus archivos y procesos.

Si bien es verdad que este tipo de técnicas, el engaño por intermedio de tarjetas virtuales, no es novedosa y que data desde hace mucho tiempo atrás, la realidad es que sigue siendo utilizada porque hay muchísimos usuarios que desconocen éste y la mayoría de las metodologías de los delincuentes informáticos.

Jorge

Categories: Malware
No Comments »

Vale la pena leer la entrevista realizada por Security Focus a Dream Coders Team, los desarrolladores del problemático MPack.

Cristian

Categories: Declaraciones
No Comments »

Cuando se trata de visitar páginas webs las personas que trabajamos en seguridad solemos recomendar “sólo visitar sitios confiables”, y solemos darle las algunas de las siguiente connotaciones a esa palabrita “confiable”:

• Sitio muy visitado y por ende bastante conocido por el público
• Empresas u organizaciones de seguridad
• Sitios respetados en el ambiente de TI
• Medios de comunicación masivos
• Webs 2.0 con contenido actualizado permanentemente
• Sitios de comunidades virtuales
• Webmails
• Entidades financieras
• Sitios de descarga de software gratuito/shareware

Obviamente cuando ingresamos a estos sitios raramente nos detenemos a pensar que el mismo puede ser dañino y de hecho es probable que ninguno de ellos jamás intente instalarnos programas dañinos porque basan su reputación en ello.

Ahora, ¿qué sucede si uno de esos sitios es vulnerado y en el código HTML del mismo se inserta código dañino? El usuario es dañado por el código y automáticamente el sitio puede perder su reputación e imagen.

Este es el caso que nos ocupa: un conocido sitio de noticias ha sido vulnerado (su servidor) y se ha modificado todas las páginas del sitio web insertando la llamada al código dañino (un iframe):

Como puede verse, al intentar ingresar al sitio ESET NOD32 advierte de la amenaza del exploit. Si lograra descargarse, este script intentaría explotar un viejo fallo del navegador Internet Explorer para descargar un archivo ejecutable dañino.

Dado el supuesto caso, este archivo sería detectado por nuestro producto mediante su heurística.

Más alla de eso, esto pone en evidencia que un sitio confiable puede dejar de serlo tán rapido como le cuesta a un delincuente ingresar al servidor y modificar el sitio web.

Una vez más queda en evidencia que la seguridad debe pensarse desde:

• el servidor: los administradores deben actualizar y controlar las aplicaciones que brindan al público
• desde el cliente: los usuarios también deben actualizar sus aplicaciones y protegerse mediante productos con capacidades proactivas que puedan detectar las amenazas nuevas que aparecen a cada instante.

De otro modo seguiremos siendo carne de cañon de los delincuentes actuales.

Cristian

Categories: Heurística, Malware
No Comments »

Nuwar (también conocido como Storm/Tibs/Peacomm/Peed) es un sofisticado gusano de Internet que se propaga por correo electrónico bajo diferentes formas, cada una más compleja que la anterior.

Actualmente, el principal medio que está utilizando para engañar al usuario es simular ser una tarjeta virtual que llega por correo electrónico. En el cuerpo del mensaje se invita a descargar dicha “e-card” desde una dirección IP (variable y perteneciente a equipos ya infectados) como puede verse a continuación:

Si bien las técnicas utilizadas por Nuwar varían constantemente para evitar la detección antivirus, si recibimos este tipo de correo seguramente se trate de una variante del mismo. Elimine el correo sin más.

Si cometemos el error de descargar y ejecutar el archivo desde esa ubicación (generalmente llamado “ecard.exe”) habremos sometido a nuestro equipo y comenzaremos a formar parte de una extensa red de infecciones utilizada para diversos fines maliciosos.

A continuación dejo una captura de lo que sucede al ejecutarse ecard.exe:

Este es sólo el comienzo. Luego iremos mostrando más tareas de este curioso y avanzado gusano que nos hace la vida imposible.

Cristian

Categories: Malware
No Comments »