El “rusito”, apodo que “cariñosamente” le hemos puesto a este troyano y que fue motivo de un informe técnico y otros posts, renace de la oscuridad luego de varios meses de inactividad.

Esta vez, vuelve a la carga con una nueva estrategia: ahora está en una etapa sentimental e intenta expresarlo a través de un “Te amo demaisss!” acompañado de una imagen y un enlace para que descarguemos al amoroso código malicioso.

Al parecer los muchachos volvieron a la carga, pero ¡¡¡no se preocupen!!!, ESET NOD32 los protegerá de este insistente código dañino.

Qué importante es tener un buen antivirus instalado y actualizado ¿no?

Jorge.

• Seminarios en Guatemala
• Éxito absoluto de nuestros Seminarios en México

Categorias: Malware
Sin Comentarios »

Luego de escribir Nuwar, ¿que haremos contigo?, sus creadores parecen escucharme y sinceramente debo sacarme el sombrero ante la pericia para hacer de sus creaciones algo insólito que sin dudas es digno de contar.

Desde hace unos dìas se están encontrando cientos de blogs creados en blogger con posts subidos automáticamente por Nuwar (por equipos infectados por él en realidad). Estos posts tienen la característica en común de apuntan a supuestos videos de Youtube que en realidad apuntan a archivos dañinos (direcciones IP de usuarios infectados).

The register informa de esta situación y también da alternativas de búsqueda para encontrar estos blogs dañinos. Mientras tanto ESET, NOD32 sigue detectando esta amenaza gracias a su Heurística Avanzada.

Cristian

• Nuwar vuelve a la carga
• ¡Feliz día laboral!
• Nuevos sitios navideños con Nuwar

Categorias: Malware
Sin Comentarios »

YouTube se ha convertido en una verdadera fuente audiovisual tal que prácticamente ya no queda en la actualidad, usuario alguno que no haya pasado por su web y, como sucede con cada nueva tecnología que surge en forma masiva, es aprovechada como vector para la difusión de nuevas amenazas y nuevos códigos maliciosos.

Hace muy poco tiempo hemos advertido sobre la diseminación de malware a través de Wikipedia.

Y teniendo en cuenta esta situación, la tendencia parecería indicar que el aprovechamiento de los sitios de consulta masiva es uno de los tantos nuevos focos en los que se centran los diseminadores de códigos maliciosos.

En esta oportunidad, se trata de un troyano (Win32/Qhost.MO) que al activarse abre una ventana de Internet Explorer y la redirección hacia un video de YouTube.

Si bien parecería que no sucede nada extraño, que sólo nos invita a ver un “atractivo” video, no es así. En realidad realiza lo que se llama pharming local modificando la información contenida en el archivo “hosts” del sistema. En este post pueden leer un caso similar.

El archivo hosts es utilizado para resolver nombres de dominio a través de direcciones IP en forma local.

Como se ve en la imagen, el contenido del archivo hosts fue cambiado por varias direcciones web que apuntan todas a una misma dirección IP, entonces cuando se acceda a cualquiera de los sitios que figuran en el archivo, se redireccionará hacia la dirección IP establecida por el atacante.

Incluso, si hacemos un ping a cualquiera de las direcciones, nos mostrará esa dirección IP, tal como se puede observar en la siguiente captura:

Ahora bien, muchos se preguntarán para qué realiza esto, bueno, simplemente para dirigir un ataque de phishing a la entidad bancaria Banamex. Veámoslo a través de una imagen:

Como verán, los creadores de códigos maliciosos recurren a infinitas técnicas y metodologías que cada vez se perfeccionan para lograr sus objetivos: estafarnos y robarnos.

Jorge

• Virus con gravedad
• Phishing en San Valentín
• Phishing a Bancomer

Categorias: Malware, Phishing
Sin Comentarios »

¿Debería decir que me asombra? No, ya nada nos asombra de Nuwar
Esta vez se utilizan supuestos correos de Youtube para propagar al gusano:

La técnica sigue siendo la misma de siempre: un correo, propagado por spam, que llama la atención apuntando a una dirección IP. Nada nuevo bajo el sol pero sin embargo la cantidad de infecciones y de equipos formando parte de botnets sigue en aumento.

Mientras tanto ESET NOD32 sigue detectando esta amenaza gracias a su Heurística Avanzada.

Cristian

• Nuwar en Blogger
• Tormenta de juegos
• Nuwar, round 2

Categorias: Malware, Spam
Sin Comentarios »

Una vez más tenemos el placer de anunciar otro producto. Se encuentra disponible para descargar la BETA pública de ESET Remote Administrator (RA) 2.0.

Esta versión conserva las funcionalidades de la anterior e incorpora compatibilidad con la nueva suite de productos de ESET.

En el nuevo ESET RA 2.0, se incorporan los siguiente features:

• Soporta ESET NOD32 Antivirus 3.0 (EA) y ESET Smart Security (ESS)
• Mejoras en seguridad
• Mejoras en el rendimiento
• Cambios y mejoras en su interface gráfica

ESET Remote Administrator 2.0 Beta y su manual ya están disponibles para descarga y como siempre no se recomienda la instalación de esta versión BETA en equipos productivos o sistemas críticos.

Este anuncio se suma al de productos de ESET para Linux/Unix/BSD, al de ESET Smart Security y ESET Online Scanner de días pasados. ¡Y lo que falta!

Cristian

• Workshop de ESET Latinoamérica
• Lanzamiento ESET Smart Security Bussiness Edition
• Lanzamiento de ESET Mobile Antivirus Beta

Categorias: Productos
Sin Comentarios »

Dicen que una imagen vale más que mil palabras, así que conozcamos, a través de una imagen, algunas de las formas con las que se presenta el malware ante nosotros.

Aunque parezca algo amplio, esta miscelánea de códigos maliciosos que vemos en la imagen es insignificante ante la gran variedad de malware que existe en el mundo informático y que día a día fluye a través de Internet.

El objetivo es pasar de forma absolutamente transparente ante nuestros ojos y, a través de la Ingeniería Social, simular ser un archivo completamente inofensivo.

Y si no me creen, sólo analicen unos cinco minutos la apariencia de cada uno de estos archivos ¿Cuál consideran que es más peligroso?

Jorge

• Amor, postales y troyanos bancarios
• ¡Feliz día laboral!
• Conocer para educar y educar para prevenir (II): Troyanos

Categorias: Educación, Malware, Malware en imágenes
Sin Comentarios »

Debido a la cantidad de consultas que estamos recibiendo en AskESET sobre a la forma de identificar un programa y darnos cuenta si el mismo se trata de un malware o de algo benigno, recomiendo la lectura de nuestros artículos estoy infectado y ¿Qué hago si estoy infectado?

Obviamente, si se desea una protección adecuada y no estar todo el tiempo preocupado sobre esta situación, es recomendable la instalación de un producto antivirus con capacidades proactivas (como ESET NOD32) para controlar cualquier tipo de amenaza de reciente aparición no detectada por firmas.

Cristian

• Virus con gravedad
• 29A, parte de la historia de los virus
• Los primeros 50 premios de Virus Bulletin para ESET

Categorias: Educación
Sin Comentarios »

Como ya habíamos comentado en mensajería instantánea y malware, los mensajeros instantáneos (cualquiera de ellos) están siendo utilizados masivamente para propagar diferentes clases de malware.

Si bien hace tiempo era raro ver este tipo de propagaciones en castellano, esto ya es común y evidentemente los creadores de malware ya están aprovechando el idioma para hacer de las suyas en cualquier país de hispanoamérica.

Aún así, los casos vistos hasta ahora no eran demasiado graves y generalmente se hacía referencia a bankers o clickers propagados por este medio… hasta hoy.

En estos días hemos presenciado la aparición de una variante del conocido troyano SDBot que es propagado por este medio. Seguramente los creadores de malware se aprovecharon de que el código de este creador de redes de botnets es open source para agregar su código a un programa que es propagado por MSN en un archivo comprimido.

Dejo una captura del mismo:

Si desea conocer más sobre estos gusanos y su propagación, le recomiendo la lectura de Botnets, redes organizadas para el crimen y tu amigo falso, el malware mensajero.

Cristian

• Cuidado, imágenes en el MSN
• ¿Mis fotos privadas online?
• Botnets en la prensa

Categorias: Malware
1 Comentario »

Decía hace un rato cuando se lanzó la nueva versión de ESET para Linux que no podía esperar el lanzamiento de la nueva versión de nuestra suite de seguridad y efectivamente parece que nuestros desarrolladores no descansan.

Se acaba de anunciar la nueva Beta Pública de ESET Smart Security, la completa suite de seguridad que incluye un antispam, un firewall y por supuesto toda la protección ya acostumbrada de nuestro premiado ESET NOD32 Antivirus.

Dejo una captura para los ansiosos:

Cristian

• Lanzamiento ESET Remote Administrator 2.0 Beta
• Lanzamiento de ESET Smart Security
• Workshop de ESET Latinoamérica

Categorias: Productos
3 Comentario »

En la actualidad existe una gran variedad de códigos maliciosos a los que cotidianamente estamos expuestos, pero aunque esta variedad sea realmente amplia, la gran mayoría del malware concluye en lo mismo y comparte las mismas metodologías para llevar a cabo su objetivo: realizar una acción maliciosa sobre nuestro sistema a través de alguna técnica de Ingeniería Social.

Veamos un ejemplo concreto y bastante común con el cual muchos lectores se sentirán identificados. “Juguemos” un rato y luego: ¡dame tu computadora!

Es muy común navegar por algún sitio de juegos realizados con tecnología Flash o que algún amigo nos pase alguno de ellos o incluso un CD repleto de estos juegos. En la siguiente captura podemos apreciar uno de estos juegos:

Si no consideramos que hay que atropellar personas con un camión, parece un juego “simpático”, pero el punto concretamente no está en el juego sino en lo que sucede ni bien hacemos doble clic sobre su ejecutable.

Cabe aclarar que para acceder a este tipo de “entretenimientos”, debemos descargarlo y luego ejecutar el archivo .exe descargado en nuestra PC. Analicemos un poco más en profundidad.

En caso de tener activo algún firewall, en nuestro caso, el firewall de nuestro Windows XP, veremos que el mismo nos advierte sobre que “algo” está queriendo comunicarse con el “exterior” de nuestra PC.

Se trata de un supuesto servicio llamado “Proxy Config Tool for http Services” y vemos que se levanta su proceso asociado denominado “proxycfg”. En la siguiente captura podemos apreciar esta situación:

Esto comienza a suceder mientras nos aventuramos en nuestro divertido juego. Si no tuviésemos activado el firewall, este supuesto servicio pasaría totalmente desapercibido.

Esta aplicación es un clásico ejemplo de troyano. Es decir, simular ser una aplicación inofensiva, benigna y divertida, pero que en realidad se trata de un programa que de benigno no tiene nada, ya que su código malicioso se mimetiza tras un programa, supuestamente inofensivo con el fin de engañarnos y pasar en forma totalmente subrepticia y transparente ante nuestros ojos.

Por otro lado se copia en diferentes sectores del sistema, manipula el registro agregando una clave y abre los puertos 5800 y 5900. Estos puertos son dos de los utilizados por la aplicación VNC (Virtual Network Computing - Computación en Red Virtual) con lo cual es evidente que una vez comprometido el sistema, alguien, desde algún lugar, intentará conectarse a nuestra PC.

Hay que tener mucha precaución, incluso a la hora de divertirnos con algún “jueguito”, el costo de nuestro entretenimiento puede ser alto.

Jorge

Categorias: Malware
Sin Comentarios »