Archivo para enero, 2008
Nuwar con amor
enero 16, 2008 2:53 pmComo ya había comentado en alguna oportunidad Nuwar me ama. Prueba de ello es este regalo que puede encontrarse en miles de sitios web, a los cuales con solo ingresar o descargar el archivo sugerido nos infectaremos.
Como siempre, se trata de correos que sugieren que ingresemos a direcciones IP, en las cuales se podrán ver imágenes como la siguiente:
Como no podía ser de otra forma, el archivo ejecutable que se descarga se llama withlove.exe y como siempre ESET NOD32 lo detecta sin problemas.
Cristian
ESET SysInspector
2:23 pmEn post anteriores como “Cuando quedan rastros del malware”, “Conociendo lo que hay en nuestro sistema”, “Identificando procesos maliciosos en sistemas Windows”, etc., hemos mencionado algunas maneras sencillas de comprobar la integridad de nuestro sistema de archivos y de verificar la existencia de malware a través de herramientas nativas de los sistemas operativos Windows.
Ahora bien, existe una nueva herramienta de análisis gratuita desarrollada por ESET llamada ESET SysInspector. Esta herramienta se encuentra en su fase beta y nos permite recolectar información sobre cada uno de esos procesos investigativos sobre nuestro sistema operativo, también de manera sencilla y ordenada.
Veamos algunos ejemplos sobre cómo utilizar esta herramienta de manera tal que nos permita saber qué esta sucediendo en el sistema operativo y obtener información sobre cada uno de los procesos críticos.
Partamos del hipotético caso de que hemos sido víctimas de dos códigos maliciosos; por un lado, simulando ser el icono del navegador Internet Explorer, el troyano Spy Banker orientado al robo de información bancaria; y por otro, el troyano Qhost que modifica la información del archivo Hosts para realizar Pharming Local.
Ejecutamos entonces ESET SysInspector y, como un buen detective, nos revela una gran cantidad de información detallada relacionada con los procesos activos, claves puntuales del registro que generalmente son manipuladas por el malware, servicios, conexiones de red, archivos críticos, etcétera.
Procesos maliciosos
Podemos verificar la existencia de procesos maliciosos recolectando información de dónde se encuentra alojado, qué librerías dinámicas utiliza y un resumen de Hash en SHA1 que nos puede servir, por ejemplo, para comparar archivos. Similar a lo explicado en “Identificando procesos maliciosos en sistemas Windows”.
Conexiones de red
La mayoría del malware actual suele, una vez activado, intentar descargar otros códigos maliciosos, o en algunos casos incorporan un servidor SMTP utilizado, por ejemplo, para enviar spam aprovechando la conexión DSL. Este comportamiento es digno de sospecha.
Manipulación del registro
Otra de las actividades típicas del malware actual es manipular determinadas claves del registro que permitan levantar el proceso malicioso cada vez que el sistema operativo es iniciado. ESET SysInspector también nos advierte de esta actividad. En “Cuando quedan rastros del malware” pueden encontrar información más detallada sobre las claves que habitualmente suele manipular el malware actual.
Archivos críticos
El pharming local es una técnica orientada al robo de información confidencial que consiste en desviar el direccionamiento a nivel local, esto se logra a través del archivo Host; ESET SysInspector nos brinda información particular sobre este archivo. De esta manera podemos verificar a simple vista si fue modificado o no.
Esta utilidad es muy importante ya que muchos códigos maliciosos orientados a realizar ataques de phishing suelen modificar la información que contiene este archivo.
Poder explorar cada sector de nuestro sistema en busca de información crítica es muy importante a la hora de chequear lo que realmente está sucediendo en nuestra computadora, y ESET Sysinspector nos ayuda a solventarlo desde una única pantalla, sin necesidad de instalar el software en el equipo y manteniendo la eficacia que caracteriza a los productos de ESET.
Jorge
Nuevos sitios infectados masivamente
enero 15, 2008 5:44 pmEl ataque masivo a miles de sitios web se ha renovado pero con nuevas características e ISC ha informado de un tráfico excesivo debido a ello.
Al ingresar a uno de los sitios modificados, se descarga un archivo JavaScript con nombre aleatorio, por lo que muy dificil encontrar la cantidad de sitios involucrados en este caso.
Si se intenta descargar este archivo desde el navegador para visualizar su contenido, el mismo se ejecutará, produciendo una infección en el equipo. Para evitar esto, descargamos archivo manualmente con una utilidad que no lo ejecute posteriormente:
Al abrir el archivo, y como ya es costumbre, nos encontramos con un script ofuscado:
Procedemos a des-ofuscarlo y encontramos los exploit explotados en el sistema del usuario para infectarlo:
Este Script es detectado por ESET NOD32 como HTML/Exploit.IESlice.AJ Trojan y lo más curioso de este ataque es que una vez descargado, el archivo será eliminado del servidor, lo que dificulta al análisis posterior. La próxima vez que se ingrese al sitio dañino, el archivo se llamará distinto.
En este código puede verse las funciones que explotan vulnerabilidades en las aplicaciones o componentes de MDAC, Internet Explorer, VML, QuickTime, WMF.
Cualquiera de estos aplicaciones que el usuario no tenga actualizadas, permitirán descargar un archivo dañino que ESET NOD32 detecta como Probably a variant of Win32/TrojanDropper.Agent Trojan.
Cristian
