Archivo para Agosto, 2007
Nueva versión 2.70.9 de ESET Linux/BSD
Agosto 24, 2007 10:40 am¡Como está nuestro equipo de desarrollo!
Acabamos de anunciar el lanzamento de la nueva versión de ESET NOD32 2.70.9 para sistemas Unix, Linux y BSD (Mail Server y File Server).
Esta versión incluye una serie de cambios menores y lo más importantes es que se incluye soporte para sistemas de 64 bits.
Mientras tanto… ya no puedo esperar el lanzamiento de ESET Smart Security.
Cristian
Vota primero
Números preocupantes sobre spam
Agosto 23, 2007 1:22 pmHoy simplemente quiero citar un par de estudios que debo confensar, me dejaron un poco pasmado. Más allá de que trabajo día a día con ello no me imaginaba cifras tan altas… verlas en frío asusta un poco.
En el artículo Profiting from fake pharma, se afirma que sólo el comercio de medicamentos conocidos alcanza un importe aproximado a los U$S 4.000 millones de dólares al año (y algunas empresas aseguran que sería mucho mayor). El estudio realizado por MarkMonitor también asegura que estos sitios tienen una media de 32.000 visitas diarias.
En otro estudio se encuestó a 2.482 usuarios adultos resultando que un 17% había sido víctima de scam, un 81% abría mensajes de correo electrónico no solicitad y un 58% desconocía la existencia de este tipo de amenazas en la red.
Cristian
Vota primero
El malware ¿enamorado?
Agosto 22, 2007 4:56 pmCuando hablamos de malware, lo primero que se nos viene a la mente es ¡¡un virus!! Y seguido a ello, la idea de que algo malo le va a suceder a nuestra PC. Si bien esta situación no escapa para nada a la realidad, trataremos, a través de este tipo de post, mostrarles la cara “divertida” de los códigos maliciosos.
Y en nuestro primer encuentro, tenemos a un gusano de Internet: Win32/AutoRun.C o ZAYLE.
Estas imágenes se encuentran en el código del malware. La primera es clara, se trata de un corazón, ¿y la segunda?
Está bastante claro que el muchacho está (o estaba) enamorado ¿no? Ahora, linda manera de demostrar su “amor”. Es más romántico regalar una rosa o una caja de bombones, que regalar un “malware”.
¿No les parece?
Jorge
Promedio: 2
Nuwar, round 2
Agosto 21, 2007 10:04 amLa tormenta sigue y los autores de Nuwar evidentemente están poniendo su mejor esfuerzo para seguir propagando su creación y seguir construyendo una de las mayores redes de botnets conocidas hasta el momento.
En los últimos días hemos dejado de recibir postales para comenzar a recibir diversos correos no solicitados en donde se informa de ofertas, regalos, información sobre cuentas y otros motivos. Si bien la temática puede cambiar, es importante tener en cuenta que esta amenaza en particular se caracteriza por mostrar una dirección IP en el cuerpo del mensaje:
Nunca, bajo ningún punto de vista debe ingresarse a estas direcciones.
Si se ingresa se podría descargar el gusano que, en el caso de ESET NOD32, detectamos desde hace tiempo como una amenaza genérica debido a las miles de variantes que se lanzan diariamente en busca de confundir a los antivirus.
Mientras tanto, no haga clic en ningún enlace y mucho menos si llegó en un correo no solicitado.
Cristian
Vota primero
Haz recibido un nuevo SPAM!!!
Agosto 17, 2007 3:20 pmMuy bien sabemos que el correo electrónico es el canal preferido por los spammers (personas que se encargan de enviar correos electrónicos no deseados) para la difusión y distribución de SPAM; y, dentro de sus prácticas, una de las tareas más dinámicas que tienen estos personajes es el hecho de pensar constantemente en nuevas metodologías y estrategias para lograr que sus mensajes lleguen a nuestra bandeja de entrada y así captar la atención del usuario.
Evidentemente esta problemática tiene que ver también con una cuestión de oferta y demanda, es decir, alguien lo vende porque alguien lo compra y se utiliza este canal (e-mail) porque la relación costo/tiempo es mínima.
En la búsqueda de estas nuevas formas, los spammers lograron encontrar algunas que escapan de lo convencional, o por lo menos a lo que estábamos acostumbrados a recibir, ahora nos encontramos con SPAM en archivos comprimidos, en archivos .PDF, en archivos .XLS (MS Excel), etc.
Es así que en los últimos días comenzamos a recibir en nuestra casilla de correo una nueva variante de SPAM conteniendo archivos con extensión .FDF (formato de datos de formulario - Form Data Format) utilizado para el manejo de formularios en Archivos .PDF.
Ante este escenario y mediante un simple análisis comparativo entre un archivo .pdf y el .fdf, sale a la luz que el archivo con extensión .fdf es en realidad un archivo .pdf. ¿y cómo es esto? Bueno, para nada complicado.
Todos los archivos poseen un encabezado que los identifica, por ejemplo, un archivo .exe posee un encabezado llamado “MZ”; los archivos .pdf poseen un encabezado %PDF-1.5 y los archivos .fdf se identifican con %FDF-1.2.
Al ver el encabezado del archivo .fdf podemos visualizar que es %PDF-1.5 con lo cual nos indica que en realidad se trata de un archivo .pdf renombrado.
Algunos ejemplos más sobre esta situación podemos encontrar en “SPAM en archivos comprimidos”, “Alguem Te Mandou Um cartão Virtual”, “SPAM, ahora en los PDF” y otros tantos que podremos encontrar navegando este blog. Y, obviamente sin contar aquellos que ya son todo un clásico como los de imitaciones de rolex, casinos online y sobre todo el más representativo: la mágica pastillita del placer sexual.
Jorge
Vota primero
Internet me ama y me envía postales: Nuwar
Agosto 16, 2007 5:25 pmEn este último mes ya se ha convertido en algo normal recibir cientos de postales (e-card) de personas desconocidas.
Esas e-card tienen nombre: Nuwar (también conocido como Storm/Tibs/Peacomm/Peed; por otras compañías) y se ha convertido en la pesadilla de los usuarios y de los expertos analistas de malware.
Este gusano polimórfico es actualizado decenas de veces al día y el producto final es enviado por correo electrónico (spam) a millones de usuarios, logrando más usuarios infectados (zombies) que son utilizados como base para nuevos ataques. Con estas modificaciones diarias, los autores de Nuwar se aseguran que pocos antivirus lo detecten.
Al recibir un correo de este tipo, si se ingresa al sitio que contiene la supuesta postal se verá algo parecido a esto (el texto puede variar):
Si bien aquí la amenaza fue detectada por ESET NOD32 antes de la finalización de la descarga, puede ocurrir que su antivirus no detecte el malware y la infección se realice.
Es importante destacar que muchas veces y dependiendo del navegador y las actualizaciones del sistema operativo instaladas, Ud. no verá el mensaje invitando a descargar la supuesta tarjeta virtual. En este caso, la infección se realizará en modo silencioso y sin que Ud. se entere. La única protección será una herramienta proactiva.
En este otro caso, al ser un sistema actualizado, se intenta engañar al usuario para que vea un supuesto video y descargue un programa ejecutable. Si se mira con atención el código fuente, se puede ver el código ofuscado que explota las vulnerabilidades en sistemas no parcheados.
Si el sistema no hubiera estado actualizado, este código dañino se habría ejecutado automáticamente y Ud. nunca se habría enterado (o lo hubiera hecho demasiado tarde).
Como podemos ver, los creadores de malware utilizan todos los medios a su disposición para lograr su objetivo: infectar a millones de usuarios para luego pasar por caja.
Cristian
Vota primero
Antivirus gratis…¿a qué precio?
Agosto 15, 2007 4:14 pmEs común buscar antivirus o programas de seguridad gratis en Internet. Por supuesto que esta situación es conocida por los creadores de malware y muy bien aprovechada por cierto.
Este es el caso de unos cientos de sitios web en donde se promocionan productos de todo tipo en forma gratuita. Esta situación también puede ser realizada por correo electrónico a través de spam.
Al ingresar a cualquiera de estos sitios en busca del programa escogido, el premio no será nada alentador, ya que si nuestro sistema operativo, navegador o antivirus se encuentra desactualizado lo único que se conseguirá será una infección con una variedad interesante de malware instalado a través de distintas vulnerabilidades, que son probadas una a una en el sistema.
Este mismo comportamiento también puede verse en nuestro informe sobre Swizzor.
En este caso se intenta instalar un malware mediante el conocido exploit .ANI, el cual hace tiempo que se mantiene primero en nuestro ranking de detecciones y es uno de los preferidos de los creadores de malware.
Es interesante notar que en este caso el sitio web verifica que el usuario esté utilizando un navegador en particular y que la amenaza no será ejecutada si se utiliza otro. Esta tarea de “selección de blancos” se está volviendo de a poco en clásico que brinda buenos resultados.
Es fundamental aprender a no confiar en sitios que prometen el oro y el moro. En Internet hace tiempo que las cosas dejaron de ser gratis.
Cristian
Promedio: 4
Éxito del Seminario sobre Seguridad AV en Mendoza
Agosto 13, 2007 6:01 pmEl viernes 10 de agosto se llevó a cabo un nuevo aporte de ESET en lo que consideramos una de las mejores herramientas de prevención: la educación.
Con muchos asistentes y en un marco de mucha expectativa, se dictó el Seminario de Seguridad Antivirus en Internet que solemos realizar a lo largo de Argentina y otras regiones de Latinoamérica.
En esta oportunidad, fue el turno de la Facultad Regional de Mendoza, una de las facultades regionales de la Universidad Tecnológica Nacional de Argentina (UTN).
En lo personal, debo confesar que fue una experiencia maravillosa, no sólo por la calidez del lugar sino también por el entusiasmo mostrado por los asistentes, lo que resulta muy gratificante para los que hacemos esto, ya que demuestra que cada vez son más los profesionales y futuros profesionales que se interesan por la temática que planteamos.
Lamentablemente no pude sacar alguna foto como para plasmar lo que les cuento, pero esperamos volver por esa hermosa provincia en cualquier momento con más seminarios y más novedades.
Jorge
Vota primero
Troyanos haciendo Pharming local a bancos
Agosto 10, 2007 4:53 pmEl pharming es un tipo de ataque que permite redireccionar un nombre de dominio a una IP distinta de la original. Esto se puede realizar a través de un servidor DNS o a través de un archivo en el equipo del usuario (hosts), lo que se conoce como pharming local. Para más información sobre pharming puede consultar la Plataforma Educativa de ESET.
¿Y de qué sirve todo esto? Si un usuario malintencionado logra modificar los DNS (algo un poco complejo para principiantes) o el archivo host local del usuario (algo sencillo con los permisos adecuados), el atacante logrará redireccionar cualquier sitio web a una página falsa para robar información del usuario.
ESET ha encontrado nuevas variantes de estos troyanos que utilizando la misma técnica de Ingeniería Social se aprovechan del usuario para modificar el archivo mencionado con la siguiente información:
Lo que se logra con esto es redireccionar el sitio del banco mencionado a la IP que allí figura, la cual pertenece a un sitio falso montado para realizar ataques de phishing. Esta IP (ubicada en Perú) seguramente corresponde a un usuario que mantiene su equipo desprotegido o formando parte de una botnet. Para verificar esto simplemente podemos realizar una comparación entre los resultados antes y después de la infección del troyano:
Con esta sencilla modificación se logra un peligroso efecto: que cuando el usuario ingrese al sitio (supuestamente verdadero) incluso tipeando la URL (sin hacer clic en ningún enlace), el sitio web que se mostrará será el falso (el de la segunda IP). Además, esta técnica tiene la ventaja de funcionar en cualquier navegador.
A continuacicón se observa lo que sucede al ingresar al supuesto sitio del banco:
Como puede verse, el sitio al que se ingresa es igual al del banco y nada haría sospechar del engaño. ¿Por qué habría de sospechar si el sitio luce igual y además yo mismo tipee la URL? Lo “único” sospechoso que podemos ver en este sitio es una dirección extraña en la parte superior (indicada con la flecha).
Esto se debe a que el creador del sitio web falso descargó el sitio web verdadero y no finalizó dicha descarga generando ese error. Sin dudas, no le interesaba demasiado hacerlo bajo la premisa de que son pocos los usuarios que pueden notar este sutil error. Por lo demás, el engaño es perfecto.
Nuevamente notamos la necesidad de no infectarse… Luego que lo haces, tu computadora ya no se tuya.
Cristian
Vota primero
Troyanos comprimidos
Agosto 9, 2007 1:21 pmEn los últimos días hemos detectado en Latinoamérica una propagación importante de casos de malware utilizando las mismas técnicas que el Phishing tal y como ya adelantamos hace un tiempo.
En este caso se trata de un supuesto estudio realizado por el Tecnológico de Monterrey (México) y en donde se intenta engañar al usuario para que descargue el archivo comprimido adjunto (Anomalias.zip o Gasolineras.zip).
Al descomprimirlo nos encontramos con un ejecutable que es un troyano orientado a realizar clics automáticos para sumar visitas u obtener réditos económicos.
Este troyano se encuentra desarrollado en Visual Basic (como la gran mayoría) y para completar el engaño se abre una ventana al usuario apuntando a la URL http://usuarios.lycos.es/[eliminado]/aki.php desde donde será redireccionado a:
http://[eliminado].gob.mx/verificacion/gasolina/home_11.asp (mostrada a continuación).
Como puede verse, el troyano mientras tanto se encuentra ejecuntándose y realizando sus tareas.
Es fundamental no descargar nada que no se haya solicitado, pero de todos modos aquellos usuarios que utilizan ESET NOD32 han estado protegidos desde un comienzo ya que este troyano es detectado como “Win32/TrojanClicker.VB.NDA”.
Cristian
Vota primero
