Nuevamente es un placer anunciar que junto a la Universidad Tecnológica Nacional (UTN) de Argentina comenzaremos un nuevo curso presencial de Seguridad Antivirus.

Luego del éxito del primer y segundo curso agradecemos que en este caso UTN Facultad Regional Córdoba y AGUTI nos den la bienvenida en esta tercera oportunidad que tendremos de capacitar a los alumnos sobre la importante problemática del malware.

El objetivo de estos cursos es comenzar a fomentar el interés de los alumnos por la seguridad informática y antivirus en particular para que un futuro cercano seamos muchos más los que podamos formar un frente de batalla contra el malware y los delincuentes informáticos.

Como siempre el curso se encuentra dividido en dos partes: una presencial de 20 hs de duración y que se dictan en 5 días y otra virtual para lo cual es imprescindible contar con una herramienta de apoyo como los es nuestra Plataforma de Educación online de ESET Latinomérica en donde los alumnos pueden acceder a material de estudio único en su tipo.

Para quien pueda asistir, estos cursos presenciales son un complemento perfecto a los nuevos cursos brindados en nuestra plataforma recientemente. Para inscribirse deben ingresar al sitio de AGUTI. Esperamos verlos allí este próximo sábado.

Cristian

Categorias: Educación
3 Comentario »

El día de hoy se ha convertido en uno de los más felices de mi vida ya que me acabo de enterar que puedo acceder a una importante suma de dinero que nadie ha reclamado previamente. Simplemente debo responder el siguiente correo con “YES, quiero ser millonario”.

La alegría me duró poco porque, por supuesto, este correo (que es enviado en forma masiva) se trata de un engaño denominado Scam en donde se intenta convencer al usuario de que una importante suma de dinero se encuentra disponible y lograr entablar una conversación o dialogo electrónico con el afectado. A este primer correo podría seguir el robo de información confidencial o incluso una estafa si el usuario continúa el contacto.

Recuerde que el peor enemigo en Internet es la confianza en las cosas regaladas y el peor error que podemos cometer es creer este tipo de correos y/o responderlos.

Cristian

Categorias: Educación, Hoax, Spam
1 Comentario »

Fuimos los primeros en informar de los ataques a foros como los de Unicef y venimos previniendo sobre estos ataques masivos a sitios web desde hace tiempo.

Desde ayer, hemos estado notando una importante cantidad de nuevos sitios afectados (alrededor de 500.000), de los cuales existe una gran cantidad en habla hispana e incluso algunos de ellos son muy conocidos y ampliamente visitados por cualquier tipo de usuario.

En esta oportunidad se trata nuevamente de un archivo Javacript ofuscado que permite la descarga automática de un troyano en el equipo del usuario que ingresa al sitio.

Los sitios afectados se encuentran alojados en servidores IIS y su código ASP y ASPX permite la inyección de código SQL, debido a que las entradas en los formularios no son correctamente sanitizadas.

A los usuarios le recomendamos extremar las precauciones al navegar, actualizar el sistema operativo y las aplicaciones y utilizar un antivirus con capacidades proactivas.

A los desarrolladores les recomendamos sanitizar todas las aplicaciones para no permitir la inyección de código en sus sitios web.

Cristian

Categorias: Alertas, Educación
2 Comentario »

Como ya viene siendo costumbre cada vez que presentamos nuestros Seminarios de Seguridad Antivirus, en esta ocasión las ciudades de Santiago del Estero y San Miguel de Tucumán también fueron el marco perfecto para brindar educación en Antivirus.

Ambas ciudades recibieron de la mejor manera a ESET Latinoamérica y a este servidor y lograron reunir más de 150 asistentes en cada ocasión. Como siempre, lo más interesante de los seminarios fueron las opiniones de los asistentes que, de esta manera, enriquecen la presentación y nos siguen brindando la fortaleza para seguir adelante.

Por este medio, quiero agradecer a la Universidad Católica de Santiago y a nuestro Partner de esa ciudad por reunir este marco de asistentes:

El mismo agradecimiento va para la Universidad Tecnológica de Argentina, a COPIT y a nuestro Partner de la ciudad de Tucumán por hacernos sentir como en nuestra casa:

Cristian

Categorias: Educación, Eventos
5 Comentario »

Quizás, una buena frase para complementar el slogan de este nuevo malware podría ser:

“Doctor… tengo un adware!!! ¿Qué hago?”
“Llame a… Doctor Adware ¡¡¡La nueva cura para la nueva enfermedad!!!”

Si bien en este caso pretendo darle un pequeño toque de humor al post, la verdad es que no es para nada gracioso ser víctima de este tipo de amenazas que, a pesar de prometer ser un producto infalible contra todo tipo de códigos maliciosos, la realidad es que no es más que otra estrategia de Ingeniería Social, que al ser ejecutada termina comprometiendo la computadora de quien cree en la mentira.

Paradójicamente, esta “nueva cura” termina siendo peor que “la nueva enfermedad” que, de hecho, no es para nada nueva si tenemos en cuenta que el adware convive entre nosotros desde hace mucho tiempo.

A través de una colorida web pretende engañar a los usuarios haciéndoles creer que se trata de un flamante nuevo programa de seguridad antimalware, cuando en realidad se trata de un adware que ESET NOD32 detecta bajo el nombre de Win32/Doctor.AdwarePro.

Jorge

Categorias: Malware
2 Comentario »

Luego de lo descubierto en los blogs de Wordpress y las postales falsas de Yahoo! ahora le llega el turno al servicio de blogs de Yahoo! el cual forma parte, a su vez, de Yahoo! 360°.

En este caso se trata de la creación masiva de blogs con nombre aleatorio de la forma http://blog.360.yahoo.com/blog-7r2m.[eliminado]–?p=58. Estos blogs alojan spam y publicidad de casinos online y, la cantidad hallados (algunos de ellos ya dados de baja por Yahoo!) hace presumir que el método de creación es automático y que sus autores se basan en algún método de salteo de autenticación y de captchas.

Además, la existencia de estos blogs forma parte de una campaña más amplia de promoción de material y servicios ilegales ya que los enlaces son hallados en otros blogs, en los cuales se inserta comentarios automáticos a través de equipos zombies creados a través del troyano que ESET NOD32 detecta como Win32/Agent.NOZ. A continuación una imagen de un comentario en otro sitio de Wordpress con enlaces a los blogs mencionados de Yahoo! 360°:

Los delincuentes que operan esta red promocionan sus productos a través de spam y blogs, infectando usuarios y creando botnets para continuar con el círculo vicioso de usuarios afectados. Actualmente nuestro Laboratorio se encuentra analizando el trabajo de dicha red.

Cristian

Categorias: Malware
1 Comentario »

En las últimas horas se ha registrado una gran cantidad de correos enviados masivamente (spam) con postales falsas de Yahoo! que terminan descargando un troyano.

Como se ve en la imagen, al ingresar al sitio web que simula ser del servicio Yahoo! Greetings, se intenta engañar al usuario para descargar una actualización de FlashPlayer. En realidad el archivo http://www3.yahoo.americangreetings.[dominio-falso]/ecards/get_new_flashplayer.exe es un troyano que ESET NOD32 detecta como Win32/Agent.NEQ.

[dominio-falso], pueden ser al menos 10 dominios que pueden contener la misma postal falsa y la misma amenaza. Este troyano es un backdoor capaz de conectarse a servidores SMTP para enviar más correo masivo, por lo que puede experimentarse una caída de velocidad en las conexiones de los equipos infectados.

Una vez más se debe estar alerta a este tipo de “servicios” y postales que tienen como objetivo infectar la mayor cantidad de usuarios para utilizarlos como zombies.

Cristian

Categorias: Alertas, Malware
2 Comentario »

Los creadores de malware suelen tener ocurrencias bastantes particulares y esta ha sido muy curiosa. En una reciente nueva invasión de correo basura con enlaces a Nuwar (conocido como Storm Worm), uno de estos enlaces me condujo al siguiente sitio web para descargar un supuesto codec:

Esta autoreferencia a Storm Codec ha sido una guiño de ojo y una provocación para los que luchamos día a día con él y lo detectamos como Nuwar.GG.

Cristian

Categorias: Curiosidades, Malware
Sin Comentarios »

Actualmente es común que cualquier sitio web sea creado en tiempo de ejecución desde los datos almacenados en bases de datos.

Lo interesante de esa apreciación es que los datos almacenado en una tabla pueden modificarse y por ende, modificar la apariencia y comportamiento del sitio web afectado. Esto se logra a través de SQL Injection, modificando los datos almacenados en las tablas de cualquier servidor SQL y alcanzando el objetivo deseado.

Si por ejemplo se inserta una llamada a un Javascript dañino a un sitio externo, es posible que el sitio vulnerado termine infectando a cualquier usuario que ingrese al mismo, logrando un efecto masivo en el ataque.

Por su parte, si un usuario ingresa al sitio modificado con un navegador o aplicación sin actualizar, es posible que sea afectado por la explotación de vulnerabilidades en dicho navegador. Como el atacante desconoce que vulnerabilidad puede tener el navegador o las aplicaciones instaladas, ¿por qué no probar con todas?

Puede verse cómo el atacante logra que el servidor y el cliente “colaboren” sin intención, logrando la infección de un usuario:

Servidor

Sitio web vulnerable o entradas sin validar -> ataque SQL Injection -> Sitio web modificado con script dañino

Cliente

Ingresa al sitio afectado -> explotación de vulnerabilidades -> descarga de archivo dañino -> infección

En esta imagen puede verse como un primer archivo invoca un archivo HTML y este invoca a otros 8 archivos, los cuales cada uno de ellos explota una vulnerabilidad distinta, descargando un archivo dañino test.exe.

En este caso se había realizado una inyección SQL en el sitio afectado, invocando al primer archivo a.htm, el cual se encarga de descargar los otros archivos que terminan con la explotación de alguna vulnerabilidad que permite la descarga y ejecución del archivo dañino, sin intervención del usuario.

Nuevamente no esta de más remarcar que:

• En el servidor del sitio web deben validarse todos los ingresos en el sitio para evitar la inyección de código y debe actualizarse todo el software utilizado.
• En el cliente debe actualizarse todo el software y utilizar protección proactiva que permita detectar las amenazas que puedan descargarse.

Cristian

Categorias: Malware
2 Comentario »

Tal y como nos tiene acostumbrado el cine, las mujeres rubias y hermosas son peligrosas, sobre todo si ellas buscan a su media naranja en Internet, como demuestra el siguiente caso:

Al ingresar a este sitio se intenta inmediatamente descargar un archivo, sin intervención del usuario y aprovechando una vulnerabilidad del navegador web. La amenaza es detectada por ESET NOD32 por heurística como probably a variant of Win32/Genetik.

Una vez más debemos confirmar que las chicas hermosas también pueden ser peligrosas y no debemos fiarnos tanto de ellas.

Cristian

Categorias: Malware
4 Comentario »