La semana pasada informamos del Ataque masivo a miles de sitios web y en ese momento decíamos que el código JavaScript de los sitios web involucrados estaban ofuscados y descargaban malware que ya era detectado por ESET NOD32.

Ahora veamos este código un poco más en detalle y analicemos si se puede des-ofuscar. Para ello descargamos el archivo 0.js mencionado en aquella oportunidad, y vemos su contenido:

Como puede verse, no se puede leer demasiado del mismo y sólo obtenemos como conclusión que el archivo es un JavaScript, el cual el navegador deberá “entender” y traducir de alguna forma.

Un método trivial y básico de des-ofuscar este código es hacer que el navegador trabaje para nosotros. Para ello realizamos un sencillo document.write(), el cual volcará en la pantalla el código en Javascript ya traducido:

Ahora sólo resta ordenar y emprolijar el código para comprenderlo sin problemas.

Como podemos notar al final, el script se encarga de descargar y ejecutar el archivo dañino .exe desde un servidor externo.

Esta sencilla técnica no funciona siempre y dependerá del tipo de ofuscación empleado, pero suele ser un buen comienzo para ver a qué nos enfrentamos.

Cristian

Categories: Educación, Malware
1 Comment »

En los últimos días hemos tenido consultas sobre esta noticia que ha sido publicada en varios medios comenzado por su fuente original Gmer, por lo que a continuación comentamos algo al respecto.

Como se sabe, la Master Boot Record (MBR para los amigos) es el primer sector del disco y por ello es utilizado como sector de arranque del mismo. En la conferencia Black Hat de 2005 un par de investigadores presentaron una tecnología que denominaron BootRootKit y que puede ser utilizada para modificar la secuencia de arranque de Windows.

En ese momento, se publicó el código ensamblador de este programa y a fines del 2007 se comenzó a encontrar diversos tipos de malware que hacen uso de esta tecnología para infectar el sector de inicio del disco y así lograr pasar desapercibido para el sistema operativo y algunas herramientas de seguridad, debido a que no realiza ninguna modificación que involucren al sistema operativo (archivos, registro, dato, etc.).

Otra complejidad extra de este tipo de malware radica en que al almacenarse directamente en los sectores del disco, el mismo no puede ser eliminado convencionalmente por lo que deberemos volver al “antiguo” FDISK /MBR (o fixmbr) o instalar ESET NOD32 que detecta este RootKit desde octubre pasado como Sinowal o Mebroot.

¿Quién dijo que vivir la época de los virus para DOS no era de utilidad?

Cristian

Categories: Educación, Malware
4 Comments »

En los últimos días nuestro laboratorio ha capturado diferentes variantes de un troyano que se propaga, por lo general, a través de clientes de mensajería instantánea, simulando estar relacionado con los perfiles de MySpace.

Hoy, a través de perfiles de MySpace manipulados, se ha estado propagando una nueva variante que posee la particularidad de simular ser una actualización de Microsoft, específicamente una actualización para la herramienta antimalware de esta empresa.

Al ser descargada, para no levantar sospechas, redirecciona a una página falsa que también simula ser la de Microsoft.

Jorge

Categories: Malware
2 Comments »

Como es costumbre a comienzo de año, acabamos de publicar las Tendencias 2008: Qué nos depara el malware en el futuro, el informe anual preparado por ESET Latinoamérica con lo que se espera para este año.

En este informe analizamos los siguientes temas:

• Abuso de confianza del usuario
• Abuso de recursos de Internet
• Vulnerabilidades
• Nuevas tecnologías
• Las amenazas de siempre potenciadas
• Las redes organizadas para el crimen

Espero lo disfruten.

Cristian

Categories: Informes
No Comments »

La ola de metodologías de Ingeniería Social que apuntan a explotar la temática de los videos online o codec de videos, sigue en pleno crecimiento, sobre todo aquellos códigos maliciosos que se distribuyen en idioma portugués y que aprovechan el correo electrónico y clientes de mensajería instantánea como fuente de diseminación.

En este caso, el laboratorio de ESET Latinoamérica capturó un troyano que, precisamente, simula ser el reproductor de video Flash Player. Se trata de un troyano que ESET NOD32 detecta e identifica como TrojanDownloader.Banload.NWO, una variante más de la familia de troyanos Banload, cuyo principal objetivo es descargar códigos maliciosos una vez que comprometió el equipo.

La técnica consiste en, a través de un correo electrónico no solicitado con el asunto “Presta…Atençao”, intentar que los usuarios hagan clic sobre el enlace incrustado en el cuerpo del mismo.

En este punto, cabe aclarar que jamás se debe hacer clic sobre los enlaces incrustados en el cuerpo de los mensajes, mucho menos si se trata de un spam. Siempre es necesario verificar, con sólo pasar el cursor sobre el enlace, hacia dónde nos redirecciona dicho enlace.

De esta manera, si el diseminador del malware logra que la víctima haga clic sobre el enlace malicioso en cuestión, se ingresa a una página falsa que simula alojar el reproductor Flash Player.

Los usuarios que hagan clic sobre la imagen de Flash Placer para supuestamente descargar el mencionado reproductor, descargarán un archivo llamado “macromidia” con extensión “.pif” que es el código malicioso en cuestión.

En este tipo de casos, es recomendable cerrar y/o eliminar el correo electrónico ya que existe un potencial riesgo de infección. Si, por el contrario, se ingresa al enlace malicioso, no descargar los archivos desde esa página web sin antes verificar la credibilidad de la misma.

Jorge

Categories: Ingeniería Social, Malware
No Comments »