Ayer mencionaba la cantidad de spam y postales de San Valentín que había recibido en mi correo.

Pero, tampoco me quedé ajeno al phishing por el mismo motivo y un ejemplo de ello es esta invitación de recargas de móvil a través de un supuesto correo de CajaMadrid (conocido banco español):

Si cometemos el error de hacer clic en ese enlace, se ingresará a un sitio web idéntico al banco mencionado en donde se nos robará el usuario y contraseña de nuestro home-banking. Como puede verse en la barra de direcciones, el sitio no pertenece al CajaMadrid:

No hagamos clic en cualquier enlace y no creamos en cualquier “regalo”.

Cristian

Vota primero

Categorias: Phishing
Dejar un comentario »

Como no podía ser de otra forma y ya adelantamos en la infección en el día de los enamorados ayer mi casilla de correo fue invadida por correos no deseados, entre los que quiero destacar uno en especial sobre postales virtuales.

Un correo en castellano con un simpático osito cariñoso me invitaba a descargar una postal que un supuesto amigo me había enviando. Al ingresar al sitio web me encontré con la esta tierna imagen:

Si se lee con atención (antes de hacer clic), puede verse que se menciona las “Funciones de la barra de herramientas”. Estos “extras” no son más que aplicaciones Adware y Spyware que se instalarán en el sistema con todos los problemas asociados ya conocidos de estos programas. Para probar lo mencionado, simplemente hice clic y a continuación me encontré con lo siguiente:

En esta página ya se habla de forma más clara de una aplicacion y un ActiveX que se instalará en el sistema y se hace referencia a la forma de instalación de la misma. Las instrucciones dadas no son más que las necesarias para burlar la “seguridad” del navegador.

Más allá de esas instrucciones y sin presionar absolutamente nada, no fue sorpresa para mí cuando ESET Smart Security me informó que se acababa de descargar una aplicación en forma automática con sólo abrir esa página:

Si bien los métodos siguen siendo los mismos de siempre, como podemos ver, sigue siendo sencillo infectar a un usuario con simplemente ofrecerle una tarjeta virtual de un osito cariñoso (que no lo es tanto) .

Nuevamente salta a la vista la importancia de mantenerse informado y educado antes de hacer clic.

Cristian

Vota primero

Categorias: Malware
2 Comentarios »

En seguridad antivirus existen dos comentarios muy trillados que son las delicias de los investigadores. Uno de ellos es que nunca habrá virus/malware en Linux y el otro… lo dejo para post posteriores.

Hablando de virus en Linux no es mi intención discutir la seguridad de un sistema operativo contra la de otros, simplemente quiero poner las cosas en perspectiva y mencionar que el malware, como se sabe, es un mundo de negocios. Por ende, y bajo esta lupa, si un sistema operativo (o aplicación) es de uso muy extendido generará un negocio, que beneficiará directamente al mundo de la creación de códigos dañinos. Es sencillo, no hay que darle más vueltas.

Sé que no me creen y muchos de Uds quizás no vuelvan a leer este blog por ese comentario. Ahora llega el tiempo de un ejemplo.

Durante los últimos días se ha propagado un exploit para el Kernel de Linux (versiones de 2.6.17 hasta 2.6.24.1) y su explotación local permite elevación de privilegios y ejecución de código como Root. ¿Y eso que tiene que ver con el malware? Todo.

La ejecución del exploit podría por ejemplo permitir instalar aplicaciones modificadas en el sistema Linux, con todo el daño y peligro que implica tener un sistema troyanizado.

Luego de las “malas noticias” vienen las buenas. Como siempre desde ESET nos preocupamos por la excelencia de nuestros productos y por esto ESET NOD32 es uno de los pocos que ha dado al tema la relevancia que merece, detectando el exploit desde el primer momento como Linux/Exploit o como probably a variant of Linux/Exploit, este último a través de nuestra Heurística Avanzada.

Por cierto, ya se encuentra disponible la solución para esta vulnerabilidad y la actualización al Kernel de Linux 2.6.24.2 estuvo disponible poco tiempo después de la aparición del bug.

Cristian

Vota primero

Categorias: Malware
1 Comentario »

Mucho tiempo pasó desde que el gusano Nuwar comenzó a realizar estragos a través de Internet (poco más de un año); sin embargo, aún en la actualidad es uno de los códigos maliciosos que más se ha prolongado a través del tiempo.

Es muy común que el malware utilice como estrategia de propagación alguna fecha especial, se trate de eventos trágicos o de fechas tradicionales y en este aspecto Nuwar posee un amplio repertorio de recursos explotados y no deja pasar oportunidad. Tormenta de juegos, Nuwar con amor, Internet me ama y me envía postales: Nuwar, etc.

En este caso, el gusano se ha aprovechado de una fecha típica: el día de los enamorados, conocido también como San Valentín.

Siguiendo su característico modo de operación, se disemina a través de correo electrónico mediante el cual intenta convencer al usuario de ingresar a una página web cuya dirección IP se encuentra incrustada en el cuerpo del mensaje.

Al acceder a dicha dirección web nos encontramos con una “amorosa” imagen que contiene la siguiente leyenda: “Valentine’s Day Bingo”, que esconde en realidad una peligrosa amenaza: el código malicioso en cuestión.

Aquí podemos ver una captura del HTML de la página donde se puede observar que la imagen hace referencia al archivo ejecutable valentine.exe que, como siempre, ESET NOD32 detecta genéricamente bajo el nombre de Win32/Nuwar.Gen.

Queda demostrada la importancia de poder contar con la protección de herramientas de seguridad antivirus con capacidades de detección proactivas como las que ofrece ESET donde sus característicos métodos de protección nos brindan un alto nivel de seguridad ante este tipo de amenazas. Hasta el momento ninguna de estos archivos dañinos (continuamente actualizados) han representando un problema para nuestra detección heurística.

Mientras, recuerden que para Nuwar el amor siempre es un buen pretexto para infectar sistemas, sobre todo en estos dias próximos al 14 de febrero.

Jorge

Vota primero

Categorias: Malware
1 Comentario »

Días atrás Adobe lanzó la actualización 8.1.2 de su producto más conocido: el lector de archivos PDF, Adobe Reader. En ese momento, Adobe no dió detalles de las 26 correcciones realizadas e incluso al momento de escribir esto, la actualización en castellano (sí la de inglés) aún no se encuentra disponible para descargar automáticamente y debe actualizarse a la nueva versión 8.1.2 manualmente desde el sitio de Adobe.

Luego de un pequeño análisis de la actualización realizada por Adobe, se puede llegar a la conclusión que estas vulnerabilidades son críticas porque permiten la ejecución de código Javascript en el sistema del usuario, permitiendo que, por ejemplo, se pueda descargar y ejecutar malware en el mismo.

Esto es lo que ha estado sucediendo desde hace unos días y los Adobe Reader no actualizados han estado siendo aprovechados para instalar diversos tipos de malware como KillAV o Zonebac o gusanos de la vieja familia Bagle (profundamente analizado por ESET).

Sin importar el malware descargado y que se sabe que puede cambiar en cualquier momento, lo importante es:

• Para los productos antivirus, detectar la explotación de la vulnerabilidad para cortar la cadena de infección desde el primer momento. Es por ello que ESET NOD32 detecta este exploit como PDF/Exploit.Pidief.A. Gracias a esta detección, no importa el código dañino que se intente descargar debido a que dicha descarga nunca sucederá.
• Para el usuario, es fundamental actualizar su Adobe Reader a la versión mencionada o bien utilizar un producto alternativo para la lectura de archivos PDF.

Actualización 27/02/2008: acabamos de publicar un video educativo sobre el funcionamiento de esta vulnerabilidad y la forma de evitar ser infectado.

Cristian

Promedio: 5

Categorias: Malware, Vulnerabilidades
3 Comentarios »

Luego de mis vacaciones y leyendo el correo y noticias atrasadas me encuentro con una bastante llamativa y porqué no, bastante amarillista: se dice que una empresa antivirus estaba infectando a sus usuarios con un malware.

Escrito de esa forma, por supuesto la noticia es alarmante pero también bastante imprecisa. Lo que sucedió en realidad es que un sitio web de la empresa antivirus en cuestión fue modificado y se le agregó un script dañino de la manera típica que ya hemos descripto aquí muchas veces. Esa modificación seguramente forma parte de un ataque masivo utilizando MPack que ni siquiera tenía a esta empresa como objetivo.

Curiosa y lamentablemente el antivirus en cuestión no detectaba el malware que se descargaba desde el sitio de la empresa, lo que ayudó a agravar la situación y que esto adquiriera más prensa de la que correspondía.

Por supuesto que la noticia alarma en un principio pero es importante tener en cuenta que esto no tiene que ver con la seriedad de la empresa ni la calidad de su antivirus sino con la administración del sitio web y de sus servidores que, indirectamente, sí ha afectado la reputación de la empresa ya que cualquier usuario que haya ingresado a su sitio web pudo haber sido infectado.

Cristian

Vota primero

Categorias: Curiosidades, Malware
Dejar un comentario »

Hace un tiempo nuestro laboratorio viene notando una clara confusión en torno a lo que realmente constituyen los archivos Autorun.inf, donde la confusión radica básicamente en si este archivo es o no un código malicioso.

La realidad es que existen muchas aplicaciones que si bien no son desarrolladas precisamente con ánimo malicioso son aprovechadas a tal efecto debido a las características y funcionalidades que ofrece.

Un claro ejemplo de ello son las herramientas de Administración remota donde muchas de ellas fueron creadas para facilitar los trabajos de mantenimiento de diferentes plataformas sin la necesidad de tener acceso físico a los equipos, pero que pueden ser utilizadas por usuarios maliciosos para violar la seguridad de los sistemas.

El mismo criterio puede ser utilizado para los archivos Autorun.inf, pero con la diferencia de que por sí solos no constituyen una amenaza, ya que simplemente son archivos de texto plano sin formato utilizados para realizar una acción en forma automática en sistemas Windows.

Sin embargo, es justamente esta característica la que hace que dichos archivos sean utilizados con fines maliciosos por los creadores de malware, ya que de esta manera pueden infectar un sistema informático con el sólo hecho de insertar una unidad extraíble en el equipo.

ESET NOD32 Antivirus y ESET Smart Security detectan de forma genérica a los códigos maliciosos que aprovechan esta funcionalidad bajo el nombre de INF/Autorun, siendo la vía de propagación más explotada por esta metodología de infección los dispositivos de almacenamiento USB.

En tal sentido, se debe tener claro que las acciones llevadas a cabo por las diferentes soluciones de ESET de detectar y eliminar esta amenaza se fundamenta, como con cualquier malware, en bloquear la actividad del código malicioso; es decir, del archivo ejecutable (malware) que se encuentra asociado al archivo Autorun.inf.

Veamos un ejemplo concreto que despejará aún más las dudas:

Por lo general, estos códigos maliciosos se diseminan con atributos de oculto, es por ello que la mayoría de las veces pasan totalmente desapercibidos ante los ojos de los usuarios que al conectar el dispositivo activan las acciones de ejecución maliciosas que se encuentran especificadas en el archivo Autorun.inf (que también suele tener atributos de oculto).

Miremos más de cerca el contenido de un archivo Autorun.inf utilizado por un malware:

En la imagen, observamos el contenido del archivo Autorun.inf, en cuyo caso, la amenaza está dada por el archivo ejecutable “RunDll32.exe”, por lo que el software de seguridad eliminará este archivo. Al quedar solamente el archivo Autorun.inf no constituye ninguna amenaza, ya que su archivo asociado “RunDll32.exe” ya no existe.

Durante los últimos meses este tipo de código malicioso ha alcanzado altísimas tasas de infección y, como lo adelantamos en las tendencias para este año, aparentemente continuará bajo este camino. De hecho, nuestro servicio de Alerta Temprana ThreatSense.Net nos viene indicando hace varios meses que INF/Autorun forma parte del top ten del total de las amenazas más detectadas mensualmente, lo cual demuestra y deja en evidencia que muchas veces no se toman en serio las medidas básicas de seguridad tendientes a prevenir las infecciones.

Por lo tanto, es muy importante tener en cuenta medidas básicas como actualizar cotidianamente nuestra solución de seguridad, ya sea en forma manual o en forma programada. Pueden aprender cómo configurar soluciones de ESET para que realice tareas programadas en “Exploración desatendida con ESET Smart Security”. Tanto ESET NOD32 como ESET Smart Security comparten la misma modalidad de configuración para este fin.

Algunas otras contramedidas son: configurar las opciones de carpeta para poder visualizar archivos con atributos de oculto, extensiones de archivos, etc. En el artículo “Ingeniería Social aplicada al malware” pueden encontrar más información relacionada a las acciones más comunes que en este sentido realiza el malware actual y las medidas de protección que nos ayudarán a prevenir potenciales infecciones.

Jorge

Vota primero

Categorias: Educación, Malware
Dejar un comentario »

Ya sea por prevención o por sospechar que nuestro equipo ha sido víctima de algún código malicioso, una buena práctica para mantener el equipo libre de amenazas es explorarlo de manera profunda y completa cada determinado lapso de tiempo.

Esta situación conlleva a que para realizar dicha exploración el usuario deba ejecutarla en forma manual,  lo que implica estar frente a la PC para realizar el procedimiento en cuestión.

Una eficaz manera de solventar esta situación es programar ESET Smart Security o ESET NOD32 Antivirus para que realice esta tarea en forma automática y de esta manera el usuario se asegura que no sea necesario que se encuentre frente a la PC para ejecutarla y que la tarea se activará cuando no se encuentre trabajando en el equipo.

Veamos entonces de qué manera podemos programar exploraciones desatendidas en nuestro equipo con ESET Smart Security:

En principio tenemos que abrir nuestro ESET Smart Security o ESET NOD32 Antivirus y en las opciones que se encuentran en el sector izquierdo seleccionar “Tools”.

Si no se visualiza esta opción es por que el producto se encuentra configurado en el modo de visualización estándar. Para modificarlo, se debe hacer clic sobre la opción “Display: Standard mode” que se encuentra en el ángulo inferior izquierdo. Se desplegará un menú en el cual seleccionaremos la opción “Toggle Advanced mode”.

Una vez que hayamos accedido a esta pantalla, tenemos que hacer clic sobre el botón “Add…”. Se abrirá una nueva ventana en la que debemos elegir la opción “On-Demand computer scan”.

En la siguiente pantalla, escribimos el nombre que tendrá la tarea y luego seleccionamos cuándo queremos que se realice la exploración desatendida. En el ejemplo se visualiza que se configuró para que la exploración se realice semanalmente.

En el siguiente paso configuramos a qué hora ESET Smart Security o ESET NOD32 Antivirus comenzará a explorar las unidades de nuestro equipo. Del mismo modo, elegimos el día.

En caso de que por algún motivo ESET Smart Security o ESET NOD32 Antivirus no puedan ejecutar la tarea prevista (la PC se encuentra apagada) se debe configurar que la exploración se realice en un momento alternativo.

A tal efecto las opciones disponibles son:

• Esperar hasta la próxima tarea.
• Ejecutar la tarea lo antes posible.
• Ejecutar la tarea inmediatamente después de exceder el intervalo de tiempo especificado.

En nuestro ejemplo, lo configuramos para que realice la tarea luego de 24 hs.

Inmediatamente después, nos mostrará información sobre la configuración que acabamos de realizar; si estamos de acuerdo hacemos clic sobre el botón finalizar para poder avanzar al siguiente paso donde debemos seleccionar las unidades que ESET Smart Security o ESET NOD32 Antivirus analizarán.

De esta manera, habremos configurado nuestro ESET Smart Security o ESET NOD32 Antivirus para que analice el equipo de manera automática sin la necesidad de tener que hacerlo en forma manual cada vez que lo necesitemos.

Jorge

Vota primero

Categorias: Educación, Productos, Tutoriales
1 Comentario »