La semana pasada informamos del Ataque masivo a miles de sitios web y en ese momento decíamos que el código JavaScript de los sitios web involucrados estaban ofuscados y descargaban malware que ya era detectado por ESET NOD32.

Ahora veamos este código un poco más en detalle y analicemos si se puede des-ofuscar. Para ello descargamos el archivo 0.js mencionado en aquella oportunidad, y vemos su contenido:

Como puede verse, no se puede leer demasiado del mismo y sólo obtenemos como conclusión que el archivo es un JavaScript, el cual el navegador deberá “entender” y traducir de alguna forma.

Un método trivial y básico de des-ofuscar este código es hacer que el navegador trabaje para nosotros. Para ello realizamos un sencillo document.write(), el cual volcará en la pantalla el código en Javascript ya traducido:

Ahora sólo resta ordenar y emprolijar el código para comprenderlo sin problemas.

Como podemos notar al final, el script se encarga de descargar y ejecutar el archivo dañino .exe desde un servidor externo.

Esta sencilla técnica no funciona siempre y dependerá del tipo de ofuscación empleado, pero suele ser un buen comienzo para ver a qué nos enfrentamos.

Cristian

Vota primero

Categorias: Educación, Malware
1 Comentario »

En los últimos días hemos tenido consultas sobre esta noticia que ha sido publicada en varios medios comenzado por su fuente original Gmer, por lo que a continuación comentamos algo al respecto.

Como se sabe, la Master Boot Record (MBR para los amigos) es el primer sector del disco y por ello es utilizado como sector de arranque del mismo. En la conferencia Black Hat de 2005 un par de investigadores presentaron una tecnología que denominaron BootRootKit y que puede ser utilizada para modificar la secuencia de arranque de Windows.

En ese momento, se publicó el código ensamblador de este programa y a fines del 2007 se comenzó a encontrar diversos tipos de malware que hacen uso de esta tecnología para infectar el sector de inicio del disco y así lograr pasar desapercibido para el sistema operativo y algunas herramientas de seguridad, debido a que no realiza ninguna modificación que involucren al sistema operativo (archivos, registro, dato, etc.).

Otra complejidad extra de este tipo de malware radica en que al almacenarse directamente en los sectores del disco, el mismo no puede ser eliminado convencionalmente por lo que deberemos volver al “antiguo” FDISK /MBR (o fixmbr) o instalar ESET NOD32 que detecta este RootKit desde octubre pasado como Sinowal o Mebroot.

¿Quién dijo que vivir la época de los virus para DOS no era de utilidad?

Cristian

Vota primero

Categorias: Educación, Malware
3 Comentarios »

En los últimos días nuestro laboratorio ha capturado diferentes variantes de un troyano que se propaga, por lo general, a través de clientes de mensajería instantánea, simulando estar relacionado con los perfiles de MySpace.

Hoy, a través de perfiles de MySpace manipulados, se ha estado propagando una nueva variante que posee la particularidad de simular ser una actualización de Microsoft, específicamente una actualización para la herramienta antimalware de esta empresa.

Al ser descargada, para no levantar sospechas, redirecciona a una página falsa que también simula ser la de Microsoft.

Jorge

Vota primero

Categorias: Malware
2 Comentarios »

Como es costumbre a comienzo de año, acabamos de publicar las Tendencias 2008: Qué nos depara el malware en el futuro, el informe anual preparado por ESET Latinoamérica con lo que se espera para este año.

En este informe analizamos los siguientes temas:

• Abuso de confianza del usuario
• Abuso de recursos de Internet
• Vulnerabilidades
• Nuevas tecnologías
• Las amenazas de siempre potenciadas
• Las redes organizadas para el crimen

Espero lo disfruten.

Cristian

Vota primero

Categorias: Informes
Dejar un comentario »

La ola de metodologías de Ingeniería Social que apuntan a explotar la temática de los videos online o codec de videos, sigue en pleno crecimiento, sobre todo aquellos códigos maliciosos que se distribuyen en idioma portugués y que aprovechan el correo electrónico y clientes de mensajería instantánea como fuente de diseminación.

En este caso, el laboratorio de ESET Latinoamérica capturó un troyano que, precisamente, simula ser el reproductor de video Flash Player. Se trata de un troyano que ESET NOD32 detecta e identifica como TrojanDownloader.Banload.NWO, una variante más de la familia de troyanos Banload, cuyo principal objetivo es descargar códigos maliciosos una vez que comprometió el equipo.

La técnica consiste en, a través de un correo electrónico no solicitado con el asunto “Presta…Atençao”, intentar que los usuarios hagan clic sobre el enlace incrustado en el cuerpo del mismo.

En este punto, cabe aclarar que jamás se debe hacer clic sobre los enlaces incrustados en el cuerpo de los mensajes, mucho menos si se trata de un spam. Siempre es necesario verificar, con sólo pasar el cursor sobre el enlace, hacia dónde nos redirecciona dicho enlace.

De esta manera, si el diseminador del malware logra que la víctima haga clic sobre el enlace malicioso en cuestión, se ingresa a una página falsa que simula alojar el reproductor Flash Player.

Los usuarios que hagan clic sobre la imagen de Flash Placer para supuestamente descargar el mencionado reproductor, descargarán un archivo llamado “macromidia” con extensión “.pif” que es el código malicioso en cuestión.

En este tipo de casos, es recomendable cerrar y/o eliminar el correo electrónico ya que existe un potencial riesgo de infección. Si, por el contrario, se ingresa al enlace malicioso, no descargar los archivos desde esa página web sin antes verificar la credibilidad de la misma.

Jorge

Vota primero

Categorias: Ingeniería Social, Malware
Dejar un comentario »

En las últimas horas hemos recibido casos de correos que simulan provenir del banco Cajamadrid de España. Como de costumbre, el mismo habla de una renovación de cuenta que debe realizarse, invitando al usuario a ingresar al sitio web, que por supuesto es falso y utilizado para robar datos de la cuenta.

Nunca debe hacerse clic en este tipo de correos.
Si se comete el error de intentar ingresar al sitio web, en realidad se estará ingresando al sitio falso, como muestra la imagen en la parte inferior.

En la siguiente imagen puede apreciarse que el sitio al que se ingresa es exactamente igual al original pero si se presta atención a la barra de direcciones en la parte superior, puede apreciarse que la misma no pertenece al banco.

Nunca deben ingresarse datos privados en este tipo de sitios. Si se los ingresa, los mismos serán obtenidos por delincuentes y su cuenta bancaria estará en manos de ellos.

Cristian

Vota primero

Categorias: Phishing
Dejar un comentario »

Como ya sabemos, el correo electrónico no deseado (spam) es uno de los canales más utilizados por los distribuidores de códigos maliciosos para propagar malware.

Si bien los métodos de infección utilizados por el malware en general no son novedosos, evitar ser víctimas de ellos implica conocer las metodologías utilizadas y en este sentido, la única opción es estar informados.

Veamos el ejemplo sobre un malware que nuestro laboratorio capturó en los últimos días y que es detectado por ESET NOD32 Antivirus como TrojanDownloader.Banload.GAD, un troyano que se encarga de descargar otros códigos maliciosos toda vez que encuentra una víctima.

Básicamente, a través de un enlace incrustado en el cuerpo del mensaje, el spam incita a ingresar en él para poder visualizar un supuesto video.

Esta metodología de propagación utilizada por los distribuidores de malware posee como objetivo evadir las herramientas antivirus que exploran cada mail que ingresa a nuestra bandeja de entrada. Es decir, el código malicioso, en primera instancia, no se encuentra en el spam.

Al hacer clic sobre el enlace, nos redirecciona hacia una página web que difiere completamente de la que figura en el cuerpo del mensaje.

Esta página web es maliciosa ya que, como se observa, el engaño consiste en simular la descarga del video que se desea visualizar pero en realidad lo que descargamos al hacer clic es, ahora sí, el código malicioso.

El argumento de ver un supuesto video para propagar malware está siendo muy explotado en los últimos días por intermedio de diferentes canales de comunicación. Ya vimos la metodología utilizada por la familia del malware Zlob que simula ser algún códec necesario para poder visualizar determinados videos.

Como corolario podemos decir que las contramedidas más efectivas contra los códigos maliciosos son, sin duda, la educación sobre las metodologías de Ingeniería Social que día a día explotan los usuarios maliciosos y la implementación de herramientas de protección proactiva como ESET NOD32 Antivirus.

Jorge

Vota primero

Categorias: Ingeniería Social, Malware
Dejar un comentario »

Tal y como comentábamos ayer se ha encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañinos.

En este momento, se registran alrededor de 120.000 sitios afectados, de los cuales un porcentaje importante son sitios en español:

Aparentemente, a través de un ataque de SQL Injection, decenas de miles de sitios que utilizan Microsoft SQL Server han sido modificados agregando enlaces a sitios dañinos en sus tablas de la base de datos.

A través de estas modificaciones se ha logrado que cada vez que se ingresa al sitio atacado, se carga en el navegador del usuario un Javascript que invoca a otros scripts que explotan diversas vulnerabiliades en el sistema operativo, navegador y aplicaciones del usuario:

• Vulnerabilidad MDAC (Microsoft Data Access Components), ya corregida por Microsoft en abril de 2006 con la actualización MS06-014.
• Vulnerabilidad en Yahoo! Messenger ya corregida.
• Una vulnerabilidad en Real Player solucionada en octubre de 2007 y otra vulnerabilidad en RealPlayer reportada este 3 de enero y aún no corregida. Si Ud. dispone de Real Player instalado, extreme la precauciones.

A modo de ejemplo analicemos un caso de un conocido (y muy visitado) sitio de musica latinoamericano que se ha visto afectado. Al momento de escribir el presente, este sitio ya ha solucionado y solventado el ataque.

Al ingresar al sitio lo único que se notará es una carga “más lenta” del mismo. Esto sucede debido a que múltiples sitios y archivos están siendo invocados y descargados en este momento de otros servidores. En el sitio puede verse lo siguiente:

Al descargar el código fuente pueden verse los enlaces al script dañino en el sitio uc8010[dot]com (o ucmal[dot]com en otros casos) y ejecutando el archivo Javascript 0.js múltiples veces. Si Ud. es administrador de red le recomendamos bloquear estos sitios de inmediato.

Esto es debido a que la inyección SQL ha impactado en diversas tablas y esto permite la modificación masiva de las cabeceras del archivo HTML involucrado. Los dominios mencionados han sido registrados el 28 de diciembre pasado y evidentemente el único fin ha sido el de crear este ataque masivo.

A continuación, si el usuario dispone de algunas de las vulnerabilidades mencionadas, y no cuenta con una protección antivirus adecuada, se procederá a ejecutar 4 scripts ofuscados que descargan al menos 3 archivos ejecutables dañinos. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32.

Parte del código fuente del archivo 0.js es el siguiente, donde se invoca a un nuevo script llamado w.js:

Este script a su vez invoca a nuevos scripts y también ya puede verse el primer código ofuscado que comienza a realizar pruebas de vulnerabilidades en el sistema del usuario:

Este proceso de descarga de archivos Javascripts ofuscados (e incluso un Vbscript) continúa y luego de seguir todo el proceso completo se contará con los siguientes archivos descargados:

Como puede intuirse con los nombres de los mismos, cada uno de ellos explota una de las vulnerabilidades ya mencionadas. Si estos exploits tienen éxito, el sistema resultará infectado con algún tipo de malware. Los 3 archivos ejecutables que pueden verse en la imagen son troyanos ladrones de contraseñas de juegos en línea. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32 cuando intentan ser descargados:

Si Ud. es administrador de un sitio web recomendamos:

• Ser muy cuidadosos cuando suceden este tipo de ataques
• Verificar el código fuente de sus aplicaciones para evitar ataques de SQL Injection (hardening de aplicaciones)
• Verificar su sitio continuamente para detectar posibles vectores de ataques
• Bloquear los sitios mencionados en el presente
• Si Ud. es una de las víctimas, informar a sus clientes y visitantes, bajar el sitio si es necesario y solucionar el inconveniente (recuperar la base de datos, sanitizar el código fuente, etc.)

Si Ud. es usuario recomendamos:

• Aplicar las actualizaciones del sistema operativo y las aplicaciones que utiliza
• Bloquear los sitios mencionados en el presente
• Instalar un antivirus con capacidades de detección heurística que evite la descarga de archivos dañinos

Cristian

Promedio: 5

Categorias: Educación, Informes, Malware
8 Comentarios »

Diversos medios están haciendo eco de la noticia: miles de sitios están siendo víctimas de la modificación de sus bases de datos (aparentemente MS SQL Server) agregando una inyección a un script dañino (descargado de múltiples sitios) el cual será ejecutado al ingresar al sitio.

Actualmente, son cientos los sitios accesibles vía cualquier buscador desde el cual, al ingresar, se descargará el script dañino (0.js) que procederá a descargar otros malware e infectar al usuario. Esta descarga y ejecución es permitida a través del aprovechamiento de diversas vulnerabilidades en el sistema operativo y aplicaciones.

Recomendamos actualizar cualquier aplicación utilizada e instalar un antivirus con capacidades proactivas que ayude a detectar cualquier tipo de malware que se intente descargar.

Además, si Ud. es administrador de un sitio web, se recomienda extremar las precauciones para no ser uno de los atacados a quien modifiquen su sitio web.

Cristian

Vota primero

Categorias: Malware
1 Comentario »

En Zlob y los codecs falsos informábamos sobre la peligrosidad de descargar supuestos codecs que en realidad son archivos dañinos.

Para reforzar esta idea a continuación mostramos una nueva versión del mismo engaño. Esta vez se ofrece descargar el codec mediante un cuadro de diálogo muy llamativo.

Si se presiona en Continue se descargará un archivo ejecutable llamado VideoAccessCodecInstall.exe que ESET NOD32 detecta como variante del ya conocido Zlob. Lo “gracioso” es que si se presiona en Cancel, también se ofrecerá la misma descarga.

Así que ya lo sabe: la próxima vez que vea un mensaje parecido al anterior es altamente probable que se trate de un malware.

Cristian

Vota primero

Categorias: Malware
Dejar un comentario »