Luego de 2 meses hemos finalizado nuestro primer curso a la comunidad brindado por ESET en conjunto con la Universidad Tecnológica Nacional (UTN), una de las más importantes de Argentina.

En esta clase nos centramos en la protección proactiva, la heurística y las certificaciones antivirus explicando cada una de ellas, sus ventajas y sus necesidades a la hora de seleccionar un antivirus personal o corporativo.

Con respecto al curso específico, nos hemos sentido muy cómodos dictándolo y los asistentes han sido perfectos “cómplices” en esto: el interés demostrado, el seguimiento del curso, los trabajos prácticos realizados y sobre todo la buena disposición han demostrado que estamos en el camino correcto: la educación en seguridad.

A continuación dejo una foto de los verdaderos protagonistas (mientras probaban los conocimientos adquiridos):

Como corolario se dió la posibilidad a los asistentes de que nos sugirieran cómo mejorar y seguir creciendo ya sea en las clases presenciales o en nuestra plataforma educativa. Agredecemos las respuestas recibidas y desde ya que todos sus comentarios serán tenidos en cuenta.

Una vez más gracias y esperamos la entrega de su trabajo final, que no dudo que estará a la altura de lo bridando por ustedes en el desarrollo de las clases.

Cristian

Categories: Educación
No Comments »

Hace muy poco tiempo publicamos éste post en donde mostramos un malware cuyo método principal de propagación está dado por las aplicaciones de mensajería instantánea. Se trata del código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.Banload.BJU.

Bautizado por nosotros cariñosamente como “ruso” (por el lugar donde se aloja el código dañino), también fue motivo de un informe técnico “tu amigo falso, el malware mensajero” en donde se lo desglosa en un profundo análisis evidenciando su malicioso accionar.

Recientemente pudimos comprobar que el sitio en donde se aloja se encuentra activo, por lo que este troyano continúa con su maratón de infección de la misma manera que lo venia haciendo, a través de un enlace vía mensajería instantánea mediante el cual, al momento de ingresar al link que nos ofrece, infecta nuestra computadora en forma automática.

El enlace que nos muestra es el siguiente:

http://www.flogao-com-br.[eliminado].ru/virgens.htm

En la siguiente captura podemos apreciar; por un lado, una imagen tomada cuando se realizó el análisis antes mencionado y por el otro, la imagen tomada hace muy pocos días.

Esto nos permite, en principio, destacar dos cosas: por un lado, que los delincuentes que se encargan de diseminarlo están muy activos; por el otro, remarca la importancia de contar con una herramienta que reaccione en forma proactiva, tal como lo hace ESET NOD32, ya que como podrán leer aquellos que accedan al análisis, para infectar el troyano explota una vulnerabilidad del IE 5x corregida en el boletín MS06-014.

Aparentemente estos muchachos siguen confiando en una vulnerabilidad que data del mes de abril del año 2006 ¿porqué será? La respuesta es muy simple y la solución aún más.

Se soluciona manteniendo nuestro sistema operativo y nuestras aplicaciones debidamente actualizadas, y se responde diciendo que todavía existen muchos usuarios que no han tomado conciencia del peligro que implica éste y cualquier otro tipo de malware. Como leí por algún lugar “no basta con sólo tener instalado un antivirus”, además hay que actualizarlo, al igual que al sistema donde se encuentra instalado.

Jorge

Categories: Malware
1 Comment »

En varias oportunidades hemos comentado sobre la ola de amenazas que se propagan aprovechando aplicaciones de mensajería instantánea. Tal es el caso de esta amenaza que simula ser una animación realizada en flash haciendo alusión a Bush.

En los últimos días ha aparecido una nueva variante de este malware, un gusano de Internet que pesa 80 KB y se propaga a través de aplicaciones de mensajería instantánea desplegando un enlace junto al siguiente mensaje “Hey, mira esta animación de bush”. ESET NOD32 lo detecta como Win32/VB.NLY.

Al ser ejecutado, el código malicioso no nos devuelve ningún mensaje e inmediatamente podemos observar que se levanta un proceso con el nombre “bush.exe”. Este proceso se encarga de descargar a la computadora comprometida otros códigos maliciosos. Esta situación cambia al pasar unos segundos ya que este proceso se cierra y levanta otros dos para luego, después de reiniciar la computadora, levantar más procesos maliciosos.

Para ello, el gusano modifica el registro del sistema agregando las claves que se observan en la captura.

Por otro lado, copia los archivos descargados en la carpeta X:\WINDOWS y X:\System32 (donde X es la letra de unidad en la que se encuentra instalado el sistema operativo), e intenta conectarse a diferentes páginas web. En la siguiente captura podemos observar los nombres con los cuales el malware se copia en la computadora y una de las direcciones web a las que se conecta, en este caso almacena direcciones IP de las computadoras infectadas.

Recuerden que para mantener su computadora protegida se debe evitar hacer clic sobre cualquier enlace que nos llegue, ya sea por correo electrónico o por mensajería instantánea, además de mantener actualizadas las aplicaciones que cotidianamente utilizamos.

Jorge

Categories: Malware
No Comments »

Hemos detectado en Latinoamérica una alta tasa de correos electrónicos propagados por spam y simulando provenir de entidades bancarias.

En los correos mencionados se intenta hacer creer al usuario que puede descargar una herramienta en forma gratuita para preservar su seguridad.

Más allá de la “extraña” característica de las palabras que comienzan con mayúsculas, puede observarse que los enlaces apuntan a un archivo comprimido en formato .RAR. El mismo contiene un archivo ejecutable llamado “SeguridadXXX.exe” (donde XXX es el nombre del banco), el cual es un troyano bancario que se instala en el sistema del usuario para robar sus contraseñas.

Al momento de escribir este post, ESET NOD32 es uno de los pocos productos que detecta dicha amenaza.

Este tipo de correo no puede ser considerado Phishing porque no es utilizado para redirigir al usuario a sitios falsos, pero sí es una variante del Phishing tradicional. La difrencia fundamental radica en que este tipo de correos está siendo utilizado para instalar malware en el equipo del usuario.

Cristian

Categories: Malware, Spam
No Comments »

RapidShare Premium Accounts Generator es el nombre del programa que promete generar cuentas Premium de Rapidshare de forma gratuita. ESET NOD32 detecta y bloquea esta amenaza bajo el nombre de Win32/TrojanDropper.Agent.NFH.

Rapidshare es un sitio web que nos brinda un disco virtual con una determinada capacidad de almacenamiento que nos permite guardar cualquier tipo de archivos.

Los usuarios que hagan doble clic sobre este archivo, cuyo peso es de 2.626 KB, en realidad estarán ejecutando un troyano del tipo drooper que ni bien es ejecutado comenzará a correr en el sistema como un proceso bajo el nombre “7390057″ e intentará descargar a nuestra computadora todo tipo de malware.

Recuerden que los troyanos de este tipo tienen la capacidad de descargar en nuestro sistema otros códigos maliciosos.

Cuando se ejecuta, despliega una aplicación que, tras una serie de pasos, nos permite generar las cuentas falsas de Rapidshare, copiando y ejecutando en forma paralela y completamente silenciosa los siguientes archivos: “7390057.exe” que pesa 176 KB y está compilado con Microsoft Visual Basic en su versión 6.0, y el archivo “9963952.exe” de 1.169 KB de peso. Ambos archivos se guardan en la carpeta temporal de Windows.

El troyano que descarga y ejecuta en forma totalmente transparente para el usuario es detectado por ESET NOD32 bajo el nombre de Win32/Spy.Elife.F. Este troyano posee características de rootkit por lo que su proceso es difícil de detectar, ya que lo oculta en el sistema inyectando su código malicioso en el navegador web Internet Explorer.

En la siguiente imagen se observa que a pesar de no haber ejecutado el IE ni tenerlo abierto, obtenemos un proceso correspondiente con él.

El rootkit se esconde en la dirección “C.\WINDOWS” generando los siguientes archivos:
system32XXX.exe detectado como una variante del Keylogger Win32/KeyLogger.Ardamax, (donde XXX son caracteres aleatorios).

Aunque sus acciones son totalmente transparentes para el usuario, ESET NOD32 lo detecta y bloquea su accionar. La siguiente captura nos muestra el rootkit y su condición de “hidden” (oculto) en la computadora comprometida.

Por otro lado, a simple vista no se observa ninguna modificación en el registro del sistema. En cambio si arrancamos la computadora en modo a prueba de fallos, podremos observar que en la clave “run” del registro del sistema aparece el archivo “system32PNVS.exe”.

Las acciones llevadas a cabo por los rootkits suelen ser de este tipo, es decir, ocultar sus acciones bajo procesos válidos del sistema. De esta manera, el usuario no sospecha de su existencia.

Jorge

Categories: Malware
7 Comments »