Archivo para Enero, 2008
Éxito absoluto de nuestros Seminarios en México
Enero 28, 2008 4:49 pmComo ya habíamos mencionado, la semana pasada nuestros Seminarios de Seguridad Antivirus llegaron a México y, luego de nuestro regreso, el balance no podía ser más positivo.
Las entrevistas realizadas junto al Coordinador Regional para México sirvieron para estrechar los lazos con los medios de prensa locales así como para promover nuestras actividades en el país.
Con respecto a los Seminarios dictados, los mismos fueron recibidos de forma excelente entre los estudiantes, docentes, especialistas y público en general. Los asistentes a la Universidad del Valle de Atemajac (UNIVA), no tardaron en hacernos llegar sus felicitaciones y su interés por estos seminarios en otras universidades en distintos puntos del país.
Por supuesto nuestro compromiso es el de seguir expadiendo la educación en Seguridad Antivirus en todo Latinoamérica, por lo que no faltará oportunidad de volver en el futuro cercano.
No quiero perder la oportunidad de agradecer infinitamente a todos los responsables de hacer nuestra semana en México, una experiencia para no olvidar.
Cristian
Hace unos días, en el post ESET SysInspector, les mostramos de qué se trata esta herramienta y cómo utilizarla para verificar la existencia de anomalías en nuestro sistema operativo.
Ahora, para aquellos que prefieren ejecutar todo bajo línea de comandos, vamos a enseñarles cómo manipular y generar reportes sobre el estado del sistema operativo pero bajo línea de comandos.
1. Visualizar reportes almacenados:
Con ESET SysInspector podemos generar reportes (logs) con información relacionada al estado actual (al momento de ejecutar la utilidad) y guardarlos en archivos .xml, de esta manera podremos acudir a ellos cada vez que los necesitemos.
Para poder visualizar estos archivos .xml bajo línea de comandos debemos escribir lo siguiente:
C:\SysInspector.exe c:\esi-report.xml
De esta manera ESET SysInspector mostrará la información almacenada en el archivo “esi-report.xml”.
La visualización de la información no se produce bajo línea de comando sino que se carga la información en ESET SysInspector.
2. Generar nuevos reportes:
También podemos generar los reportes directamente bajo línea de comandos, para ello debemos ejecutar lo siguiente:
C:\SysInspector.exe c:\new-report.xml
Al terminar de almacenar la información necesaria, ESET SysInspector genera un archivo llamado “new-report.xml” y lo almacena en la ruta especificada, en nuestro ejemplo lo guarda en “C:\”.
3. Generar nuevos reportes comprimidos:
En este caso, ESET SysInspector genera el reporte y lo comprime automáticamente en un archivo con extensión “.zip“. Para crear debemos ejecutar el siguiente comando:
C:\>SysInspector.exe /gen=c:\report.zip /privacy /zip
Realizando esta acción logramos crear un archivo comprimido con el nombre “report.zip” en la ruta que hayamos especificado que puede servir, por ejemplo, para enviar tal reporte por correo electrónico.
En la siguiente imagen podemos apreciar de qué manera se debe ejecutar cada comando:
4. Sobre los parámetros:
Los parámetros que se utilizaron en los ejemplos realizan las siguientes acciones:
- /gen: Genera el informe sin levantar el entono gráfica.
- /privacy: Genera el informe excluyendo información sensible.
- /zip: Genera el informe en un archivo comprimido.
Jorge
Configurando ESET NOD32 Antivirus en MSN
Enero 23, 2008 5:21 pmTeniendo en cuenta que los clientes de mensajería instantánea representan potenciales canales de infección, los riesgos asociados al mismo se tornan extremadamente altos si no adoptamos medidas básicas de seguridad.
En consecuencia, vamos a explicar qué tan sencillo es aumentar el nivel de seguridad con ESET Smart Security o ESET NOD32 Antivirus en los clientes de mensajería instantánea más utilizados en la actualidad, la familia Messenger de Microsoft.
Simplemente se debe configurar en el cliente de mensajería instantánea la ruta hacia el archivo “ecls.exe”. Para clarificarlo un poco más, veamos paso a paso la configuración:
En primer lugar y en cualquiera de los Messenger que utilice, se debe acceder al menú Herramientas, luego a Opciones, y por último a la opción Transferencia de archivos.
En el campo Examinar los archivos en busca de virus usando: (se lo debe seleccionar mediante un tilde en caso de que no se encontrase activado) debe elegirse la siguiente ruta:
“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe”
Suponiendo que ESET Smart Security o ESET NOD32 Antivirus se encontrase instalado en el disco “C:\” y luego hacer clic sobre el botón Aceptar.
Adicionalmente, si se desea obtener un registro de los archivos explorados por ESET Smart Security o ESET NOD32 Antivirus, se puede agregar al final de la línea el parámetro “–log-file=log.txt“, quedando de la siguiente manera:
“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe” –log-file=log.txt
De esta forma, en la ruta “C:\Archivos de programa\ESET\ESET NOD32 Antivirus\” se creará un archivo llamado “log.txt” que contendrá toda la información de cada archivo explorado por ESET Smart Security o ESET NOD32 Antivirus en busca de amenazas que intenten comprometer la seguridad de nuestro equipo a través de códigos maliciosos.
Jorge
En alguna oportunidad puede suceder que por algún motivo, nuestro ESET NOD32 Antivirus nos muestre mensajes que deriven en confusión y que den la sensación de que todo funciona mal.
Sin embargo, que se den situaciones de este tipo no significa que el antivirus funcione mal. Esto es algo común que sucede con cualquier tipo de programas. El tema radica en que si ese error es causado por una falla del programa o si, a pesar de ello, el programa continúa funcionando correctamente.
Veamos puntualmente un caso y cómo solucionarlo. A continuación pueden observar una captura que refleja un supuesto problema en ESET NOD32 Antivirus. Aparentemente, el programa no se encuentra brindando la Máxima protección debido a que no se puede actualizar la base de firmas.
No obstante lo anterior, la base de firmas se encuentra debidamente actualizada. Este tipo de errores se pueden dar por varios factores, pero principalmente, se podría deberse a intentos fallidos de actualización como consecuencia de entradas negativas en el caché.
Lo que debemos hacer en estos casos, es ejecutar bajo línea de comandos lo siguiente:
C:\>ipconfig /flushdns
Este comando limpia y luego restablece el contenido almacenado en el caché de la resolución de nombres de dominio (DNS).
Luego, nuestro antivirus comenzará a reportarse de manera correcta.
Jorge
Usted está aquí: México
Enero 21, 2008 11:21 amComo ya anunciara Andrés, acaba de comenzar nuestra gira de seminarios de seguridad en México.
A principio de esta semana, junto al Coordinador Regional para México, llevaremos a cabo una serie de entrevistas en el Distrito Federal, con el objetivo de hacer conocer las amenazas actuales, las tendencias para este año que comienza y cómo enfrentarlas con productos de última generación como ESET Smart Security.
Luego, durante el jueves y viernes, nos trasladaremos a Guadalajara, llevando a cabo seminarios en la Universidad del Valle de Atemajac (UNIVA).
¡Allí nos vemos!
Cristian
Nuwar con amor
Enero 16, 2008 2:53 pmComo ya había comentado en alguna oportunidad Nuwar me ama. Prueba de ello es este regalo que puede encontrarse en miles de sitios web, a los cuales con solo ingresar o descargar el archivo sugerido nos infectaremos.
Como siempre, se trata de correos que sugieren que ingresemos a direcciones IP, en las cuales se podrán ver imágenes como la siguiente:
Como no podía ser de otra forma, el archivo ejecutable que se descarga se llama withlove.exe y como siempre ESET NOD32 lo detecta sin problemas.
Cristian
ESET SysInspector
2:23 pmEn post anteriores como “Cuando quedan rastros del malware”, “Conociendo lo que hay en nuestro sistema”, “Identificando procesos maliciosos en sistemas Windows”, etc., hemos mencionado algunas maneras sencillas de comprobar la integridad de nuestro sistema de archivos y de verificar la existencia de malware a través de herramientas nativas de los sistemas operativos Windows.
Ahora bien, existe una nueva herramienta de análisis gratuita desarrollada por ESET llamada ESET SysInspector. Esta herramienta se encuentra en su fase beta y nos permite recolectar información sobre cada uno de esos procesos investigativos sobre nuestro sistema operativo, también de manera sencilla y ordenada.
Veamos algunos ejemplos sobre cómo utilizar esta herramienta de manera tal que nos permita saber qué esta sucediendo en el sistema operativo y obtener información sobre cada uno de los procesos críticos.
Partamos del hipotético caso de que hemos sido víctimas de dos códigos maliciosos; por un lado, simulando ser el icono del navegador Internet Explorer, el troyano Spy Banker orientado al robo de información bancaria; y por otro, el troyano Qhost que modifica la información del archivo Hosts para realizar Pharming Local.
Ejecutamos entonces ESET SysInspector y, como un buen detective, nos revela una gran cantidad de información detallada relacionada con los procesos activos, claves puntuales del registro que generalmente son manipuladas por el malware, servicios, conexiones de red, archivos críticos, etcétera.
Procesos maliciosos
Podemos verificar la existencia de procesos maliciosos recolectando información de dónde se encuentra alojado, qué librerías dinámicas utiliza y un resumen de Hash en SHA1 que nos puede servir, por ejemplo, para comparar archivos. Similar a lo explicado en “Identificando procesos maliciosos en sistemas Windows”.
Conexiones de red
La mayoría del malware actual suele, una vez activado, intentar descargar otros códigos maliciosos, o en algunos casos incorporan un servidor SMTP utilizado, por ejemplo, para enviar spam aprovechando la conexión DSL. Este comportamiento es digno de sospecha.
Manipulación del registro
Otra de las actividades típicas del malware actual es manipular determinadas claves del registro que permitan levantar el proceso malicioso cada vez que el sistema operativo es iniciado. ESET SysInspector también nos advierte de esta actividad. En “Cuando quedan rastros del malware” pueden encontrar información más detallada sobre las claves que habitualmente suele manipular el malware actual.
Archivos críticos
El pharming local es una técnica orientada al robo de información confidencial que consiste en desviar el direccionamiento a nivel local, esto se logra a través del archivo Host; ESET SysInspector nos brinda información particular sobre este archivo. De esta manera podemos verificar a simple vista si fue modificado o no.
Esta utilidad es muy importante ya que muchos códigos maliciosos orientados a realizar ataques de phishing suelen modificar la información que contiene este archivo.
Poder explorar cada sector de nuestro sistema en busca de información crítica es muy importante a la hora de chequear lo que realmente está sucediendo en nuestra computadora, y ESET Sysinspector nos ayuda a solventarlo desde una única pantalla, sin necesidad de instalar el software en el equipo y manteniendo la eficacia que caracteriza a los productos de ESET.
Jorge
La semana entrante tendremos el placer de visitar México, comenzando una nueva etapa Nueva etapa de la Gira Antivirus.
Dentro de las tareas programadas para la semana se encuentran tres seminarios gratuitos de Seguridad Antivirus, los días 24 y 25 de enero. Como siempre, nuestros seminarios están orientados a estudiantes, profesionales y público en general y en esta oportunidad serán dictados en la Universidad del Valle de Atemajac (UNIVA).
Allí nos vemos!
Cristian
Nuevos sitios infectados masivamente
Enero 15, 2008 5:44 pmEl ataque masivo a miles de sitios web se ha renovado pero con nuevas características e ISC ha informado de un tráfico excesivo debido a ello.
Al ingresar a uno de los sitios modificados, se descarga un archivo JavaScript con nombre aleatorio, por lo que muy dificil encontrar la cantidad de sitios involucrados en este caso.
Si se intenta descargar este archivo desde el navegador para visualizar su contenido, el mismo se ejecutará, produciendo una infección en el equipo. Para evitar esto, descargamos archivo manualmente con una utilidad que no lo ejecute posteriormente:
Al abrir el archivo, y como ya es costumbre, nos encontramos con un script ofuscado:
Procedemos a des-ofuscarlo y encontramos los exploit explotados en el sistema del usuario para infectarlo:
Este Script es detectado por ESET NOD32 como HTML/Exploit.IESlice.AJ Trojan y lo más curioso de este ataque es que una vez descargado, el archivo será eliminado del servidor, lo que dificulta al análisis posterior. La próxima vez que se ingrese al sitio dañino, el archivo se llamará distinto.
En este código puede verse las funciones que explotan vulnerabilidades en las aplicaciones o componentes de MDAC, Internet Explorer, VML, QuickTime, WMF.
Cualquiera de estos aplicaciones que el usuario no tenga actualizadas, permitirán descargar un archivo dañino que ESET NOD32 detecta como Probably a variant of Win32/TrojanDropper.Agent Trojan.
Cristian
Spam: Desagote su pozo negro
2:23 pmEl spam es cansino y a todos nos hace renegar y trabajar de más. Pero hay veces que recibirlo vale la pena. Si no me creen, pueden leer este que me acaba de llegar.
Por más que hago el esfuerzo, no puedo agregar nada más.
Cristian
