Archivo para 3 Enero, 2008
Falsos perfiles de MySpace explotados por sitios chinos
Enero 3, 2008 5:50 pmNuestro Laboratorio ha tenido un día agitado debido a que MySpace está siendo masivamente explotado como recurso y pretexto para infectar usuarios.
El primero y más de los casos se debe a la propagación de malware vía MSN como técnica para propagar un troyano. En este caso se trata de una invitación a descargar un archivo comprimido denominado myspace.zip que contiene el archivo Image-006.JPEG_www.myspace.com detectado como IRCBot por ESET NOD32.
Pero, el caso más peculiar que nos ocupa es la creación de sitios web falsos y procedentes de China en donde se simula ser el sitio web del de un usuario de MySpace para lograr que otro usuario inocente ingrese al mismo y descargue en forma automática y sin su intervención un troyano downloader que luego descargará otros malware en el equipo ya infectado.
El funcionamiento es el siguiente:
- A través de la posibilidad de ver los perfiles de ciertos usuarios de MySpace se simula ser uno de estos usuarios.
- La URL creada por el atacante es similar a las verdaderas de Myspace pero generalmente el dominio apunta a sitios chinos creados para alojar malware.
- El usuario engañado creyendo que verá el perfil de otro usuario, ingresa (haciendo clic) a la dirección falsa.
- Este sitio contiene un script ofuscado que se ejecuta en el equipo del usuario y descarga un archivo dañino que se ejecuta automáticamente infectando el sistema. Esta descarga y ejecución automática se logran a través de la explotación de fallos en el navegador o aplicaciones que el usuario no ha parcheado.
En este caso los troyanos descargados son detectados por la heurística avanzada de ESET NOD32, logrando la protección del usuario desde incluso antes que este vector de ataque sea conocido por nuestro laboratorio.
Como puede verse la falta de prevención por parte del usuario tiene diferentes facetas como:
- No verificar una dirección web puede hacer que ingrese a un sitio falso.
- No actualizar las aplicaciones puede ser que se descarguen archivos dañinos automáticamente a su sistema sin su intervención.
- No utilizar un antivirus con capacidades proactivas puede hacer que se infecte.
Cristian
Promedio: 5
Zlob y los códec falsos
3:57 pmSin cansarnos de repetirlo, mantener el software antivirus debidamente actualizado es una de las prioridades más altas si pretendemos conservar nuestra computadora lo más alejada posible de códigos maliciosos.
En la actualidad, casi ningún usuario omite la posibilidad de disponer de una conexión que permita navegar por Internet y, evidentemente, el sólo hecho de disponerla aumenta mucho más los riesgos de ser víctimas potenciales de infección.
Bajo esta escenografía, la explotación de los recursos que ofrece la Web ha ido en aumento en los últimos tiempos al punto tal que una gran cantidad de malware infecta las computadoras con el sólo hecho de ingresar a determinadas páginas Web, como lo demostramos en Ejecución transparente de códigos maliciosos I y II.
Otro ejemplo de ello lo constituyen los Códecs de la familia de troyanos identificados por ESET NOD32 Antivirus bajo el nombre de Win32/TrojanDownloader.Zlob; donde el modo típico de operación se basa en simular la descarga de un supuesto códec que es necesario para visualizar un video embebido en una página Web.
Otro detalle a tener en cuenta, también mencionado infinidad de veces, es verificar a qué dirección Web nos lleva determinado enlace. En este caso, la “buena” noticia es que al momento de intentar descargar el archivo, ESET NOD32 Antivirus nos alerta que estamos en presencia de un troyano, precisamente, la variante BND del troyano Zlob, cortando, de esta manera, la potencial posibilidad de infección.
Sin lugar a dudas, no nos cansaremos de mencionar la importancia que posee interactuar entre buenos hábitos de navegación, educación y contar con herramientas de seguridad como ESET NOD32 Antivirus.
Jorge
Vota primero
