Hace unos días prometimos contar sobre los diferentes códigos maliciosos que en la actualidad circulan por Internet y a los cuales estamos expuestos por el simple hecho de poseer una conexión.

Así que, cumpliendo con lo prometido, vamos a ver de qué manera “trabaja” uno de los malware más conocidos: el troyano.

Dentro de la vasta gama de códigos maliciosos, los troyanos constituyen el malware que más propagación y tasa de infección posee en la actualidad, y así lo demuestra la siguiente imagen.

Los troyanos se caracterizan por intentar mimetizarse en otros programas o aparentar ser aplicaciones benignas, útiles e inofensivas pero que en realidad, al activarse, despliegan toda una artillería de acciones maliciosas en la computadora donde se alojan.

Una característica muy particular de los troyanos radica en que no poseen la capacidad, por sí mismos, de replicarse y es por ello que recurren a metodologías de Ingeniería Social, tales como aparentar ser lo que no son o “inyectarse” en programas legítimos.

Y de hecho, es justamente este tipo de labor la causante de su nombre en analogía a la estrategia que utilizaron los griegos para conquistar Troya a través de un caballo de madera dentro del cual se escondían sus soldados.

Por otro lado, suelen diseminarse junto con otros códigos maliciosos como si se tratase de un mismo elemento, es decir, un troyano puede contener, como parte de su módulo de ataque, componentes del tipo backdoors o rootkits que le permiten ser más eficaces al momento de la infección.

En este sentido, cabe aclarar que los backdoors o rootkits (por sí mismos) no son troyanos; un backdoor permite acceder a un equipo de una manera no convencional saltando los métodos de autenticación mientras que los rootkits ocultan ciertas actividades del malware, como por ejemplo sus procesos.

Sin embargo, pueden ser troyanizados; es decir, si para realizar sus objetivos recurren al engaño simulando ser, por ejemplo, un programa totalmente inofensivo.

Y además, dependiendo de qué tipo de acciones lleve a cabo el troyano en la computadora comprometida se puede desprender una subclasificación.

Así, nos podemos encontrar con troyanos tipo backdoors, cuando posibilitan un acceso alternativo; troyanos bancarios, cuando están orientados al robo de información confidencial para realizar fraudes; troyanos downloader, cuando descargan otros códigos maliciosos; troyanos drooper, cuando son adheridos a programas legítimos, etc.

En sucesivos post continuaremos aclarando de qué se tratan otros tipos de códigos maliciosos.

Jorge

Categorias: Educación
Sin Comentarios »

A última hora de ayer nuestro laboratorio ha detectado gran cantidad de correos electrónicos con archivos PDF adjuntos.

Al descargarse el mismo e intentar ver su contenido, se explota una vulnerabilidad en Windows que permite ejecutar código en el sistema del usuario. Valiendose de esta vulnerabilidad (parcheada por algunos fabricantes pero aún no por Microsoft, que ha anunciado que lo hará), los atacantes ejecutan una consola de DOS y mediante un comando FTP descargan un archivo dañino (no activo al momento de escribir esto) y ejecutan el mismo.

La peligrosidad de esta amenaza es alta debido a:

• la creencia popular que los archivos PDF no pueden albergar código ejecutable dañino
• la gran cantidad de software vulnerables debido a un problema que en realidad radica en el sistema operativo
• la gran cantidad de software que no es actualizado por el usuario y que permitirá infecciones masivas
• la utilización de equipos sin la configuración adecuada para evitar estos ataques

Las recomendaciones son:

• actualizar inmediatamente Adobe Reader 8.1.1 (que soluciona la vulnerabilidad)
• no descargar (y mucho menos abrir) archivos no solicitados que llegan por correo electrónico
• utilizar el sistema operativo sin permisos administrativos
• utilizar un firewall que proteja de las comunicaciones salientes (el de Windows no es suficiente)
• utilizar un antivirus actualizado y con capacidades proactivas que detecte el exploit y prevenga de todos los malware que explotaran esta vulnerabilidad.

Como no podía ser de otra manera, ESET NOD32 detecta la amenaza desde el primer momento como Exploit.PDF.Shell.A.

Cristian

Categorias: Malware
Sin Comentarios »

Tal y como nos dice Andrés, finalmente llegó el día de la presentación oficial de ESET Smart Security

Como Uds saben las versiones de evaluación siguen estando vigente para probar nuestros flamantes nuevos productos ESET Smart Security Release Candidate.

Yo solo puedo agregar que estamos muy contentos por este lanzamiento tan esperado.

Cristian

Categorias: Productos
Sin Comentarios »

Una de las filosofías que mantiene ESET es la educación de los usuarios, y de hecho es lo que en todo momento intentamos ofrecer desde cada uno de los seminarios, cursos, white papers e incluso a través de este blog.

Las tres principales palabras del título de este post , conocer, educar y prevenir conforman el trípode resistente en la lucha que cotidianamente mantenemos contra el malware y sus creadores.

Teniendo en cuenta esto, y con el fin de clarificar conceptualmente de qué estamos hablando cada vez que nos referimos a malware, vamos a ver a través de una serie de post de qué se trata realmente el malware y cuáles son las amenazas informáticas que se encuentran implícitas dentro de ésta tan mencionada palabra.

Si bien la expresión virus es utilizada en forma genérica para referirse a los distintos códigos maliciosos que a diario solemos cruzarnos por la web, la verdad es que esta mal empleada, siendo justamente malware la palabra genérica apropiada ya que, como veremos a lo largo de estos post, los virus informáticos conforman sólo una categoría más dentro de la vasta cantidad de códigos maliciosos.

Es por ello que el término malware (conjunción de malicious software – códigos maliciosos) fue adoptado para englobar no sólo a los virus informáticos sino que también a otras amenazas tales como troyanos, gusanos, keyloggers, backdoors, phishing, spyware, y muchos más, que a través de acciones dañinas y/o malintencionadas intentan constantemente engañarnos.

Entonces, una de las primeras cosas que deberíamos saber es que, conceptualmente hablando, cualquier tipo de programa que cause algún daño es nuestra computadora, es considerado malware. Desde el uso indiscriminado y no autorizado de recursos como ancho de banda; hasta el robo de información sensible y confidencial como lo son los nombres de usuario y contraseñas.

Evidentemente, la natural evolución de los virus informáticos radica fundamentalmente en el avance producido en todas las facetas tecnológicas, siendo Internet el resorte propulsor de infecciones a gran escala y la base fundamental de coexistencia para todo tipo de códigos maliciosos, tornándose indudablemente, en un ambiente muchas veces hostil.

Algunos de los objetivos que en general persigue el malware actual, están constituidos por las siguientes acciones:

• Obtener información de los usuarios, la mayoría de las veces sin consentimiento.
• Engaño a los usuarios, a través de una técnica característica del malware actual. Ingeniería Social.
• Daño intencional, eliminación de archivos, etc.
• Robo de información, a través de diferentes metodologías de engaño como lo es el phishing.
• Instalación de otros códigos maliciosos.
• Consumo de recursos del sistema, lo más común es el consumo de memoria, CPU y ancho de banda.
• Envío masivo de correo basura, a través de motores SMTP que incorpora el mismo malware.
• Ataques de Negación de Servicio Distribuido, uno de los objetivos buscados por las botnets.
• Pharming Local, también utilizado para realizar phishing.

A partir del segundo post, iremos aclarando de qué se tratan y los objetivos que persiguen los diferentes códigos maliciosos que forman la clasificación de malware, como así también los ataques que se realizan a través de ellos.

Jorge

Categorias: Educación
3 Comentario »

Cuando una computadora ha sido comprometida por algún malware, es muy común notar que no responde de la misma manera que solía hacerlo cotidianamente, o nos encontramos con algún proceso que no conocemos y por ende nos parece sospechoso.

Para despejar de nuestra mente la duda que provoca este tipo de episodios, vamos a mostrarles que en los distintos sistemas operativos Windows existen diferentes herramientas que son nativas de cada sistema y que, a priori, nos pueden ayudar a comprobar si estamos en presencia de un archivo o proceso malicioso.

No es para nada divertido descubrir que procesos misteriosos o desconocidos se están ejecutando en nuestra computadora, sin embargo es necesario chequearlos cada tanto para verificar que los procesos que se están ejecutando no sean la causa del dolor de cabeza que genera el mal comportamiento de una computadora infectada.

En tal sentido, una de las primeras cosas que podemos verificar es justamente el comportamiento de los procesos activos, es decir, que consumo de memoria utiliza cada proceso que está corriendo en la PC.

Para ello basta con teclear al mismo tiempo las teclas Ctrl + Alt +Supr, se abre el TaskManager, es decir, el Administrador de Tareas, a través de él podremos obtener información que, en primera instancia, nos permitirá saber si en nuestra computadora se está ejecutando algún proceso malicioso.

Otra alternativa, pero bajo línea de comandos, es ejecutar el comando tasklist, este simple comando también nos mostrará información sobre los procesos activos (sólo para Windows XP).

Información sobre los procesos activos

En caso de utilizar el Administrador de Tareas, al detectar uno o varios procesos maliciosos lo primero que debemos hacer es “matarlos”. Para ello, simplemente seleccionamos el proceso y hacemos clic en el botón “Terminar proceso”.

Ahora bien, para obtener el mismo efecto pero bajo línea de comandos, luego de ejecutar tasklist y detectar el proceso desconocido, tendremos que ejecutar otro comando para poder terminarlo, en este caso el comando taskkill seguido de su PID (Identificador de proceso), la sintaxis es la siguienete:

C: \>taskkill /PID 2520

“Matando” procesos activos

De esta manera habremos terminado el proceso y, por ende, lograremos eliminar el archivo que levantaba el proceso en cuestión (en este caso el notepad.exe).

Jorge

Categorias: Educación, Tutoriales
1 Comentario »

Recientemente el laboratorio de ESET se ha encontrado con diferentes casos de troyanos bancarios que llegan al usuario en forma de postales en castellano y que invitan a descargar un archivo comprimido(.zip).

El caso que nos ocupa se trata de una postal falsa que simula provenir del sitio tuparada.com (sitio legal) e invita a descargar la supuesta postal en formato .zip y que contiene un archivo .exe con un ícono que no se corresponde con la aplicación, tal y como contamos en algunas “formas” que adopta el malware.

A forma de engaño final, una vez ejecutado el archivo, se muestra al usuario una página web para que el mismo crea que todo es correcto y no sospeche.

El creador de este malware (detectado por ESET NOD32 como Win32/TrojanDownloader.Banload.NVGA) depende absolutamente del usuario para que el mismo descargue el archivo comprimido, lo descomprima y ejecute el archivo .exe mencionado.

Si nos dejamos engañar y si nuestra protección antivirus no detecta a tiempo la amenaza, estaremos expuestos a un troyano bancario de amplia repercusión, cuyo objetivo es la recolección de datos para la realización de fraudes.

¡No se deje engañar por delincuentes! Desconfíe de estas tarjetas virtuales, utilice el sentido común y una protección proactiva en todo momento.

Cristian

Categorias: Malware
2 Comentario »

Entre los profesionales que se encargan de seguridad antivirus existe una larga discusión en torno a si los packers deben ser detectados por los productos AV o no.

La realidad de este asunto es que las empresas AV pueden llegar a tener problemas de diferentes índoles (como legales por ejemplo) por detectar como maliciosos algunos programas de este estilo, Themida por ejemplo.

Cabe aclarar, para aquellos que no sepan que son los empaquetadores (packers), que este tipo de programas básicamente poseen como objetivo “comprimir” los archivos ejecutables.

Si alguna vez, algún lector, intentó comprimir un programa con aplicaciones como WinZip o WinRAR, se habrá dado cuenta que la compresión es mínima y en algunos casos hasta aumenta el tamaño del archivo “comprimido”.

Entonces, los packers son utilizados por los desarrolladores para disminuir el peso de sus aplicaciones, por ende son programas útiles (y no dañinos) en muchos entornos y situaciones; sin embargo, es aquí donde la línea entre la intencionalidad maliciosa y la no maliciosa se torna demasiado finita, ya que la gran variedad y mayoría del malware actual utilizan algún programa empaquetador.

Y hasta en algunos casos, los empaquetadores poseen capacidad de configuración que permite a los creadores de malware lograr que sus códigos maliciosos detecten cuando están siendo ejecutados en entornos controlados, es decir, en máquinas virtuales, dificultando así su análisis.

Pero dejemos por ahora esta discusión al libre albedrío y veamos una simple estadística generada por nuestro laboratorio a través de la colección de muestras que poseemos, donde podemos observar aquellos programas empaquetadores más utilizados por malware actual.

Como se puede apreciar, uno de los packers más utilizados es UPX (Ultimate Packer for eXecutables) que dentro de esta “torta” se lleva el 28%, tal vez, el hecho de ser un programa gratuito sea el motivo por el cual es uno de los más elegidos por los creadores de malware.

Y seguido por debajo de la mitad (con el 12%) comparten el podio Themida y PECompact (ambos pagos).

Jorge

Categorias: Estadísticas, Malware
Sin Comentarios »

Algunas personas están hablando acerca de una técnica llamada “whitelisting” como si fuese el caballero montando al caballo blanco a punto de salvar al mundo. Esto es así… en las novelas de fantasía.

Creo tener algo de experiencia cuando se habla de whitelisting. Fue mi trabajo en Microsoft por más de siete años. Mi trabajo era asegurarme que Microsoft no lanzara ni firmara digitalmente ningún código malicioso. ¿Como hacía eso? Usaba mucho, como sabrán, software antivirus. Utilicé ESET NOD32 Antivirus para contar con la mejor detección de amenazas desconocidas que nadie había visto antes y de las cuales no había firmas actualizadas.

Esta es la historia del club de fans de Whitelistening. Los antivirus no pueden protegernos de nuevas amenazas para las que no hay firmas. Whitelistening sólo permite ejecutar programas conocidos, para prevenir ataques de los cuales no se tiene conocimiento.

Para empezar, ESET NOD32 Antivirus detecta y bloquea amenazas desconocidas desde hace ya varios años. Utilizamos, como muchas empresas de AV, una técnica llamada “Heurística” que nos permite identificar amenazas desconocidas, a pesar de no estar en las firmas. El fans club de whitelist no ha mirado a ninguna tecnología antivirus desde que Windows 95 era un sistema totalmente nuevo.

Whitelistening no sólo nos permite ejecutar únicamente programas “benignos”, sino que también nos permite ejecutar cualquier programa que nosotros definamos como “benigno”. Si definimos un programa malicioso en una whitelist, el mismo se va a ejecutar y realizar acciones malignas, sin importar si el producto puede detectarlo ya sea por heurística o por base de firmas.

Hay varios tipos y formas de whitelistening, realicemos un vistazo:

Las firmas digitales están desarrolladas para hacer whitelist en programas y sitios web. La idea es que, si un programa o sitio web está firmado digitalmente por una fuente confiable y tiene un “certificado de autoridad”, entonces se puede usar tranquilamente el programa o sitio web. Microsoft usa firmas digitales para sus archivos ejecutables. Si el archivo cambia, el certificado digital se rompe, por lo tanto, usted no lo va a ejecutar. Si se confía en certificados equívocos, puede ser un problema. Este es uno de los ataques contra este tipo de white list.

Incluir sitios web en la lista puede ser otra solución para la seguridad. La idea es que usted solamente navegue en sitios conocidos y definidos como “benignos”. Esto no tiene nada que ver cuando un sitio “benigno” y conocido es hackeado, como ocurrió con el sitio de Miami Dolphins, en el último Super Bowl. Los hackers colocaron un exploit en el sitio, del cual se descargaba un troyano que comprometía el equipo de los usuarios.

Hay miles de sitios web conocidos y supuestamente benéficos que han sido comprometidos. MSN, Tomshardware.com, y recientemente Monster.com, todos sitios de alto tráfico, y de buen perfil, sitios “benignos” que probablemente se encuentren en este tipo de white list.

Incluir programas ejecutables en la lista, es otro tipo de whitelist. Algunos piensan que es la salvación. Incluso si no se agregan sitios web a la whitelist, el programa que intenta descargarse no se ejecutará porque no se encuentra en la misma.

La forma obvia de sobrepasar esto, es usando un exploit que modifique un proceso en memoria. No hay necesidad de utilizar ningún archivo y la técnica es utilizada por rootkits y otras amenazas que son capaces de deshabilitar cualquier software de seguridad, como pueden ser antivirus, firewalls, programas de white listing, y probablemente cualquier otro software similar.

¿Cómo hacen las compañías para agregar programas a la white list? Utilizan mucho software antivirus. Las aproximaciones usadas para el whitelisting son imperfectas, basándonos en que no verifican si un programa es benigno, verifican que están confiando en la fuente que les dice que ninguna amenaza ha sido encontrada en el programa. La única forma de saber que un programa es realmente benigno es accediendo al código de fuente del mismo y observarlo, o descompilarlo e ir verificando por el archivo entero para ver qué es lo que está realizando realmente. Esto no es realizado por las compañías de whitelisting y no puede ser realizado por ellos. Es por ello que estas empresas recaen en confiar en la fuente y terminan utilizando software antivirus.

En la práctica, los programas malignos están en la whitelist todo el tiempo. ¿No llamaríamos nosotros “maligno” a un programa con una seria o critica vulnerabilidad? Por supuesto que si, pero todos los programas, como Acrobat, Quicktime, y los sistemas operativos de Microsoft, Apple, Linux y otros, estarían listados. El problema es que no podemos parchear estos programas hasta que el parche esté listado. ¿Nos quedamos con el archivo inseguro listado o lo eliminamos? En algunos casos, las compañías podrían querer seguir usando el archivo imperfecto por una razón legítima de negocios, pero si no se encuentran en la whitelist, entonces necesitarían crear exclusiones y quitar las mismas.

La enorme cantidad de nuevos programas desarrollados día a día, que son genuinos y benignos, hacen que mantener una whitelist sea una tarea que requiera mucha atención y por sobre todo, tiempo y dinero.

Whitelisting puede ser una valiosa adición en una estrategia de defensa profunda, pero no es una completa defensa.

¿Podría imaginarse diciéndole a alguien, que como los airbag le agregan seguridad a los autos, no se necesita más el cinturón de seguridad? Bueno, la persona que le dice que el whitelisting reemplaza a los antivirus, es como un airbag llamando obsoleto a un cinturón de seguridad.

Randy Abrams
Director of Technical Education

Categorias: Educación, Informes, Productos
Sin Comentarios »

Durante estos días se ha estado desarrollando en Buenos Aires, Argentina el Workshop de ESET Latinoamérica con los Distribuidores de todos los países en los que tenemos presencia.

El objetivo del mismo es dar a conocer los próximos pasos en materia de Seguridad Antivirus en lo que a ESET corresponde. Desde nuestro area técnica se realizaron distintas presentaciones de los nuevos productos ESET Smart Security RC, ESET Linux Security Beta y ESET Remote Administrator 2.0 Beta

Además se realizó un compendio de lo realizado por el Laboratorio de ESET Latinoamérica así como los resultados obtenidos en área de Educación, artículos desarrollados, investigación y tendencias.

No nos queda más que agradecer el trabajo realizado por todo el grupo de ESET Latinoamérica y a todos los Distribuidores por el arduo trabajo realizado durante el año y en estos días en especial.

Cristian

Categorias: Eventos
1 Comentario »

Muchas veces nos suelen consultar si lo que contamos sobre la heurística puede “verse” en forma práctica. Debo reconocer que el concepto es bastante abstracto por lo es necesario recurrir a un par de capturas para demostrar que “esto” es real.

En esta primera captura se aprecia como un archivo dañino es detectado por heurística:

Y en esta otra, como no se necesito actualizar la base de firmas, evitando tener que darle un nombre al malware.

Como puede verse ESET NOD32 detecta la amenaza como “Probablemente desconocida”. Esto se traduce en que:

• no se necesita conectar con un servidor de la empresa para descargar actualizaciones innecesarias
• son utilizados menos recursos porque la bases de firmas es menor
• menos consumo de ancho de banda
• el laboratorio no tienen necesidad de analizar el malware específicamente, sin la consecuente pérdida de tiempo que esto puede acarrear
• lo más importante: no se necesitó una firma del malware para que el mismo fuera detectado, por lo que el usuario estuvo siempre protegido desde antes que apareciera la amenaza.

La heurística siempre ha estado presente en ESET NOD32, sólo hacía falta verla. Espero haber ayudado.

Cristian

Categorias: Heurística
Sin Comentarios »