No es sorpresa recibir una supuesta postal que nos redireccione a una descarga de un archivo malicioso, por lo que los desarrolladores de malware intentan engañar al usuario simulando ser un amigo/a (amiga en este caso) que desea compartir algún archivo.

El ingenio radica en que en el cuerpo del mensaje, “Carla” explica que nos envía la foto desde la cuenta de otra persona porque no se encuentra en su hogar. La supuesta imagen adjunta no es más que un link oculto a un archivo de extensión .exe el cual ESET NOD32 detecta como Win32/TrojanDownloader.VB.EOC

Joaquín

Categories: Ingeniería Social, Malware, Spam
3 Comments »

En los últimos días se han estado detectando correos con falsos anuncios sobre la muerte del presidente mexicano Felipe Calderón.

El correo luce de la siguiente manera:

Por supuesto, se trata de un engaño y al intentar ver el video mencionado, en realidad se termina descargando un troyano del tipo Agent que ESET NOD32 detecta como TrojanDownloader.Agent.NYZ y cuya función es descargar otros malware.

Recuerde que este tipo de mensajes de Ingeniería Social son muy comunes y están orientados a engañarlo. No le sigamos el juego a estos personajes.

Cristian

Categories: Alertas, Malware
2 Comments »

Luego del robo de direcciones de correo, lamentablemente en nuestro Laboratorio nos seguimos encontrando con este tipo de aplicaciones. Las mismas son creadas para facilitar la tarea del robo de información a personas que no tienen el conocimiento necesario para hacer sus propias herramientas.

En este caso se trata de un troyano con un cliente y un servidor que permite el robo de contraseñas de usuarios de Windows Live Messenger. El programa permite la generación de un servidor que se crea como sigue:

Una vez creado este archivo server.exe, el mismo es enviado a la víctima, generalmente utilizando alguna técnica de Ingeniería Social, para lograr que lo ejecute en su sistema.

Cuando la víctima ejecuta el archivo, el atacante verá una pantalla como la siguiente, indicando la conexión desde el sistema afectado:

Cuando la víctima ingresa el nombre de usuario y contraseña de su cuenta de Windows Live Messenger, la información será enviada y el atacante dispondrá de ella:

Este caso demuestra tres puntos muy importantes:

• utilizar un Antivirus que detecte la amenaza
• utilizar un Firewall que detecte las posibles conexiones no autorizadas de este tipo de aplicaciones
• la educación necesaria para no aceptar archivos que, mediante un engaño, alguien puede ofrecernos con malas intenciones.

Este troyano es detectado por ESET NOD32 como un Password Stealer llamado PSW.Delf.NLJ. Además las conexiones desde el sistema afectado serán detectadas por el Firewall de ESET Smart Security.

Cristian

Categories: Ingeniería Social, Malware
5 Comments »

Tal y como lo veníamos anunciando, los buscadores pueden ser utilizados para promocionar productos o descargar malware a través de vínculos con redirecciones como las de Google.

En el siguiente correo, que llega por spam, puede verse un ejemplo de este caso, en donde se invoca a un archivo PHP y no al clásico ejecutable al que solemos estar acostumbrados. Esta redirección tiene como objetivo engañar al usuario para que haga clic en un supuesto “mensaje parcial disponible para descarga”.

Por supuesto, el script PHP termina descargando un archivo ejecutable que ESET NOD32 detecta por heurística como probablemente una variante de Win32/Statik.

El consejo en este caso es no confiar en correos y enlaces provistos en los mismos.

Actualización 04/06/2008: Google ha corregido el problema pero ahora el mismo se encuentra en DoubleClick.

Cristian

Categories: Alertas, Malware, Spam
2 Comments »

Al igual que con el bloqueo de sitios peligrosos, ESET Smart Security ofrece, a través de su Firewall, la posibilidad de informar sobre los cambios de cualquier aplicación modificada en el sistema.

Esta funcionalidad es sumamente efectiva en caso de que un malware haya modificado, sin nuestra intervención, una aplicación, con los daños que ello podría ocasionar.

Cuando se detecta la modificación de una aplicación, ESET Smart Security informa del suceso al usuario y el mismo puede optar por autorizar la ejecución de la aplicación o bloquear la misma en caso de sospechar algún daño en el sistema.

La utilización de esta función no requiere ninguna configuración en el producto y es una opción de protección por defecto que ESET Smart Security ofrece a sus usuarios.

Cristian

Categories: Productos, Tutoriales
4 Comments »