En el último número de la revista Hakin9, editada en 7 idiomas y una de las más importantes a nivel mundial, se hace una mini-encuesta a responsables de seguridad de distintas empresas sobre la elección de su antivirus.

De los 10 expertos que responden, 4 eligen ESET NOD32 por sus capacidades heurísticas, velocidad y bajo consumo de recursos. La empresa que le sigue es elegida por sólo 2 expertos y dicen hacerlo por ser un producto gratuito. El resto de la grilla es compartido por otros antivirus elegidos una vez cada uno.

Si bien la muestra no es representativa, habla a las claras de las ventajas de nuestro producto, sobre todo al ser elegido por expertos y publicado por una revista de la altura de hakin9. Gracias por la confianza.

Cristian

• ESET te lleva a Canadá con todo pago
• Lanzamiento ESET Smart Security Bussiness Edition
• Lanzamiento de ESET Smart Security

Categorias: Curiosidades, Productos
2 Comentario »

Los hoax son mensajes de correo electrónico engañosos que se distribuyen en cadena.

Incluyen textos alarmantes sobre virus informáticos, promociones especiales, ayuda a personas, etc. El principal propósito que persiguen es engañar a los usuarios y/o jugarles una broma.

Otro de los objetivo principales es recolectar las casillas de correo a las que se reenvía el mensaje con copia. Si bien no son realmente problemáticos, “colaboran” con otros males de Internet como el spam.

Para identificar un hoax es útil leer el correo y verificar si poseen el siguiente elemento de distribución: en algún lugar del correo dice “envia este mail a X personas o cosas terribles pueden pasarte”.

A continuación vemos uno que me acaba de llegar:

Como podemos ver no faltan las amenazas de cosas terribles que pueden suceder si no enviamos esta tonteria a nuestros contactos. De todos, modos si en algún momento duda de la veracidad de un correo dado, la mejor práctica es enviar el correo sensatamente y utilizando Copia Oculta siempre.

La mejor forma de combatir esta basura es ignorando el correo y enseñando a quien lo envio que estas cadenas son falsas.

Cristian

• Urgente, reenvialo
• Necesitamos sus datos de facturación
• Phishing de Cajamadrid

Categorias: Educación, Malware
Sin Comentarios »

Nuevamente el gusano Nuwar (más conocido como el gusano de la tormenta) está haciendo de las suyas.

Esta vez, su “piel” ha tomado forma de juego gratuito y los mismos son publicitados a través de spam. Como siempre, una forma casi segura de identificarlo es viendo los enlaces en forma de dirección IP como en la siguiente imagen:

Si se comete el error de caer en el engaño y se ingresa a la IP mostrada, se verá una pantalla como la siguiente, en donde puede observarse la descarga de un ejecutable (Nuwar) en la parte inferior:

Como desde el primer momento, ESET NOD32 mantiene protegido al usuario gracias a la detección genérica de esta amenaza:

Cristian

• Nuwar vuelve a la carga
• Infección en el día de los enamorados
• ¡Feliz día laboral!

Categorias: Malware
Sin Comentarios »

En alguna otra oportunidad ya hemos hablado sobre las “bondades” que ofrece Internet y de qué manera es aprovechada como vector para la diseminación y ejecución de códigos maliciosos a través de páginas web.

Asimismo, la gran red de redes es aprovechada para “publicitar” y “culturizar” sobre la descarga y la creación de códigos maliciosos.

Servicios como AdSense, que de forma aleatoria nos muestra publicidad (anuncio de Google) sobre temas relacionados a la temática que ofrezca la página que estemos visitando, encuadra perfectamente en lo comentado.

Jorge

• Antivirus gratis…¿a qué precio?
• Piratería vs Protección
• Nido de troyanos

Categorias: Curiosidades
Sin Comentarios »

Hoy, nuestro laboratorio ha tenido acceso a “un nido” con decenas de sitios falsos listos para lanzar un ataque de phishing sobre distintos bancos españoles, norteamericanos y australianos.

Sin duda, el sitio mencionado ha sido vulnerado permitiendo subir estos archivos de los bancos. Es interesante encontrar estos sitios debido a que se pueden descargar las páginas falsas y los scripts que le permiten a los atacantes recolectar los datos robados de los usuarios engañados.

Por ejemplo, a continuación pueden verse dos de los bancos simulados:

Si se comienza a analizar los scripts utilizados para robar los datos, puede verse el siguiente código PHP con el envió de correo a los delincuentes:

Como podemos ver, no hay nada oculto detrás de estos ataques, simplemente hace falta disponer de los medios para rastrear a los delincuentes que llenan sus bolsillos con estas maniobras.

Cristian

• Phishing de Hi5
• Spam + Troyano = Robo
• Más Phishing en Latinoamérica

Categorias: Phishing
Sin Comentarios »

Los productos antivirus son aplicaciones. Los productos antivirus son software. Los productos antivirus son programas. Los productos antivirus son código fuente escrito por seres humanos compilado por seres humanos y utilizados por seres humanos y por ende pueden “cometer” errores.

Cuando un producto antivirus detecta una aplicación no dañina como tal, está ocurriendo lo que recibe el nombre de Falso Positivo (FP). Los FP no son exclusivos de los productos antivirus y pueden ocurrir en cualquier otro tipo de software o hardware de seguridad como los dispositovos biométricos o los IDS, por nombrar algunos.

Por supuesto, es una situación no deseada, pero es mejor que dejar pasar algo dañino sin detectarlo siempre y cuando los FP sean escasos y un producto no se vuelva paranóico detectando todo como dañino. Cuando esto sucede, el usuario o quien corresponda debe informar a la brevedad al fabricante para que el mismo solucione el problema (algo que suele ocurrir dentro de las primeras 24 hs luego de informado).

A modo de ejemplo podemos ver como un producto de seguridad detecta el instalador de ESET NOD32 de Hungría como un posible malware. El fabricante fue informado y el FP solucionado inmediatamente.

Si alguien le dice “mi producto es 100% seguro”, le está mintiendo. Si alguien le dice “mi producto detecta todo el malware existente”, le está mintiendo. Si alguien le dice “mi producto no tiene Falsos Positivos”, le está mintiendo.

Téngalo en cuenta: como cualquier software, los productos de seguridad pueden detectar falsos positivos considerando que los mismos deben ser escasos y se deben solucionar a la brevedad.

Cristian

• Se veía como un pato. Caminaba como un pato. Graznaba como un pato…
• Entrevista al Jefe de Laboratorio de ESET (II)
• Cuando quedan rastros del malware

Categorias: Educación, Productos
Sin Comentarios »

Ayer, luego de terminar de escribir este post, me quedé con la sensación de que algo me faltó contarles como para terminar de ejemplificar el tipo de técnica que estaba comentando.

Entonces, para reforzar el concepto, veamos otro ejemplo de cómo se conjugan Ingeniería Social, troyanos, script maliciosos, exploit y demás amenazas bajo una misma infección.

En el post anterior comentaba que es latente la posibilidad de infección con el sólo hecho de ingresar a un sitio web a través de script ofuscados y embebidos en el código HTML de la página, lo que se conoce con el nombre de drive-for-download.

Ahora, en este ejemplo, se muestra otra metodología utilizada para obtener el mismo resultado sin levantar sospechas, me refiero, a lograr la infección sin que el usuario se dé cuenta que ha sido infectado. Veámoslo de forma comentada.

El escenario podría ser el siguiente: nos llega por correo electrónico una invitación para participar, en forma online, de un evento sobre el lanzamiento de la nueva versión del famoso juego de Microsoft Halo. En el cuerpo del mensaje tenemos un enlace donde debemos hacer clic para poder registrarnos y así participar del mismo.

Ingenioso el cuento ¿no?

Ok, al hacer clic sobre el enlace, nos aparece la página “500 Internal Server error” que nos indica un supuesto error interno del servidor. En este punto, un usuario sin demasiados conocimientos procedería a cerrar directamente la página, ya que “evidentemente” no esta disponible.

Pero si miramos el código fuente de la página web nos encontramos con bastante código escrito, la leyenda de supuesto error del servidor y un condimento “especial”, una etiqueta <iframe>.

Este condimento “especial” es un tag (etiqueta) que permite crear un frame (marco) interno en el código HTML. Esto quiere decir que dentro de una página web, podemos encontrar, gracias a la etiqueta <iframe>, otra página web (code injection).

Esta característica del lenguaje HTML aplicada con malas intenciones, permite la ejecución subrepticia de códigos maliciosos, ya que, continuando con el ejemplo, el iframe abre internamente otra página. Veamos a dónde nos lleva.

Concluimos con un script ofuscado. Es decir, en el momento que nos presentó el supuesto error del servidor, en forma paralela se estaban ejecutando las instrucciones contenidas en el script.

Y si no tenemos nuestro sistema y aplicaciones con las últimas actualizaciones, estamos obligados a presenciar el nacimiento de un nuevo usuario infectado.

Jorge.

• En septiembre siguen los códigos ofuscados
• Descarga un troyano gratis
• Zlob y los códec falsos

Categorias: Malware
Sin Comentarios »

Es muy estimulante para nosotros anunciar el lanzamiento de ESS y ESET NOD32 v3.0 Release Candidates, lo que significa que todas las etapas de prueba para ambos productos ya han sido sorteadas y estamos cerca del lanzamiento de la versión definitiva del producto.

Andrés también nos informa de este lanzamiento de ESS y ESET NOD32 Release Candidate.

Cristian

• Lanzamiento de ESET Smart Security
• ESET SysInspector Release Candidate
• ESET NOD32 Antivirus 3.0, como pan caliente

Categorias: Productos
Sin Comentarios »

Snif snif…

Las charlas de ayer y hoy giraron sobre los siguientes tópicos:

• Educación (cómo no mencionarla).
• Botnets… me deja contento saber que estamos trabajando en la misma línea que los principales especialistas del mundo.
• Spam, formas de detección y control, sobre todo en lo que respecta a imágenes y para tener spam toda la vida
• Las nuevas técnicas de infección como drive-for-download a través de sitios legales.
• El peligro del malware en juegos online y universos virtuales.
• Las altas ganancias de los delincuentes informáticos.

Pronto, espero contar con un resumen de esto tres apasionantes días de conferencias… Ahora sólo me queda el consuelo de pasear por Viena y disfrutar de los lugares y tomar fotos como la anterior o como esta:

Cristian

• Redes Fast-Flux
• Comenzó Virus Bulletin 2007
• Seminarios en la República de El Salvador

Categorias: Eventos
1 Comentario »

Numerosos tipos de códigos maliciosos poseen la capacidad de infectar un equipo informático con el solo hecho de visitar una página web. Si señor, con la simple acción de visitar un sitio en Internet, es posible que creadores de malware comprometan nuestra computadora con alguna de sus creaciones.

Pero… ¿cómo puede ser posible? Bueno, los programadores malintencionados buscan constantemente desarrollar técnicas que permitan evadir las aplicaciones de seguridad o por lo menos, dificultar su análisis y detección.

Tal vez, muchos lectores hayan notado en más de una oportunidad que cuando ingresan a determinadas páginas web, estas tardan en cargarse y vemos que la barra de progreso se “estanca” en la mitad de la carga. Esto puede ser un indicio de que, en ese preciso momento, nuestra computadora estaría siendo víctima de un intento de infección.

Este tipo de páginas contienen dentro del código HTML un script malicioso que se encarga de descargar (e incluso ejecutar), por lo general, un troyano. Este script generalmente se encuentra “protegido” con una técnica que recibe el nombre de ofuscación.

Con esta técnica, se busca dificultar al máximo la lectura y/o análisis del código haciendo que sea lo más ilegible posible. En la siguiente captura podemos observar un ejemplo de cómo se ve un código ofuscado dentro de una página web.

En la imagen podemos apreciar que se utilizaron dos lenguajes para crear el script: JavaScript y VBScript. Además, también se observan los archivos ejecutables (el malware) que se copia y ejecuta respectivamente al momento de ingresar a una página que contiene inyectado este código ofuscado.

Se pueden encontrar codificados con diferentes metodologías pero básicamente se lo ve más o menos de la misma manera. Aquí tienen otro ejemplo:

La idea de dificultar el análisis de debe a que a través del ofuscamiento se esconde generalmente un exploit que aprovecha alguna vulnerabilidad de nuestro sistema operativo o aplicación instalada. De aquí la importancia de mantener al día las actualizaciones de nuestro equipo y antivirus.

Estos casos conforman buenos ejemplos para que dejemos de hacer clic, por ejemplo, sobre los enlaces que nos llegan a través de programas de mensajería instantánea o a través del correo electrónico no deseado.

Después de esta lectura ¿quedará algún lector sin actualizar su sistema operativo?

El éxito de este tipo de técnicas, depende en gran medida de nosotros, los usuarios. Somos nosotros mismos una especie de gran antivirus que, al igual que este tipo de programas, en la medida en que no nos mantengamos actualizados e informados, estaremos facilitando la entrada de estas amenazas a nuestro sistema.

Jorge

• Descarga un troyano gratis
• En septiembre siguen los códigos ofuscados
• Zlob y los códec falsos

Categorias: Educación, Malware, Vulnerabilidades
1 Comentario »