A partir de este mes podrán acceder desde un sólo lugar al reporte de las amenazas que obtuvieron mayor repercusión y fueron destacadas por ESET durante el mes en curso:

• Este mes nuestro Laboratorio ha estado ocupado con la detección de miles de variantes del troyano OnlineGames, que ha sido el más propagado en Latinoamérica, tal y como nos informa Paula en el Ranking de julio de 2008. Por este motivo hemos decidido escribir jugando sucio, un análisis pormenorizado de esta amenaza, y lo hemos acompañado con un Video Educativo sobre el mismo.
• A mediados de mes fuimos los primeros en reportar gran cantidad de correos legítimos utilizados para propagar malware y por los cuales miles de usuarios perdieron sus cuentas de correo o su libreta de contactos.
• Este mes y el anterior fueron particularmente llamativos porque como siempre decimos, los creadores de malware no tienen límites y actualmente cualquier tipo de archivos puede ser utilizado para propagar malware tales como los PDF, SWF, XPI, MP3. En este caso también pueden disfrutar de un Video Educativo de infección de través de archivos MP3.
• Y, como no podía ser de otra forma, Nuwar ha vuelto a ser la estrella del baile con múltiples e ingeniosas formas de explotar la Ingeniería Social y los casos de este mes han sido la supuesta captura de Bin Laden, los video de Angelina Jolie desnuda, el anuncio de la tercera guerra mundial y se disfrazó de antispyware para pasar desapercibido.
• Para finalizar el mes falsos tickes de diversas empresas (entre ellas UPS), invadieron el correo con diversos engaños y archivos adjuntos con malware.

Para tener una descripción completa de estos casos recomendamos la lectura de nuestro informe de amenazas de julio de 2008.

Cristian

Vota primero

• Reporte de amenazas de Septiembre
• ESET NOD32, mejor antivirus del 2007
• Informe de IBM confirma datos de ESET

Categorias: Informes
2 Comentarios »

En el día de la fecha hemos recibido diversas denuncias de un caso de Phishing a Banamex, el cual se encuentra alojado en un servidor al cual se accede a través de una dirección IP y a través de un correo con el asunto “Perdoname bebe luego te marko =/”.

Por supuesto el sitio web falso luce como el original pero su URL no coincide:

En el caso que Ud. encuentre algún tipo de sitios del cual sospecha, le sugerimos denunciarlos como Phishing.

Cristian

Vota primero

• Phishing en México
• Nuevo ataque de phishing a Banamex
• Phishing sin respiro

Categorias: Alertas, Phishing
Dejar un comentario »

Como hemos comentado en otros post, los sitios web que alojan material orientado al público adulto constituyen canales aprovechados para diseminar malware y, dentro de este rubro, no todo el material es fotográfico y/o fílmico.

Existe también una buena cantidad de público fanático de lo que se conoce como animé (dibujos de origen japonés) donde una variante son los dibujos tipo hentai (dibujos animados sobre actividades sexuales) que, como no podía ser de otra manera, tampoco escapan al ámbito de actuación de los diseminadores y creadores de códigos maliciosos.

Un claro ejemplo es el siguiente: a través de un sitio que presenta pequeñas imágenes (thumbnails) sobre hentai, el usuario, al hacer clic sobre cualquiera de las imágenes, es redireccionado a una página que presenta lo que vemos en la captura:

En consecuencia, al pretender visualizar cualquiera de las dos imágenes hentai, se abre la ya tan explotada animación .gif que simula una ventana de reproducción de video pero que, lejos de la posibilidad de ver el hentai, se intenta descargar un archivo ejecutable, un malware.

Este código malicioso es detectado por ESET NOD32 bajo el nombre de Win32/TrojanDownloader.Zlob.CES y es inmediatamente bloqueado al intentar descargarse.

Jorge

Vota primero

• Carla y sus fotos
• Stop…badware!
• Radio online infecta usuarios a través de script dañino

Categorias: Malware
1 Comentario »

Desde hace unos días, desde la aparición de los supuestos correos de UPS han aparecido una gran cantidad de variantes de correos con supuestos tickets de diferentes tipo de servicios, en los cuales se menciona que hemos obtenido algún beneficio o descuento.

Para obtener dicho beneficio, “sólo” debemos abrir el archivo adjunto ofrecido:

Como puede verse, para hacer más creíble el engaño, se nos ofrece un supuesto usuario (que coincide con la cuenta de correo), una contraseña y el dinero que supuestamente se nos acreditaría siguiendo las instrucciones del archivo adjunto.

Dicho archivo por supuesto es un malware que ESET NOD32 detecta como Win32/Spy.Agent.PZ.

Cristian

Vota primero

• Falsos correos de FedEx
• Reporte de amenazas de Julio
• Tickets para obtener servicios gratis

Categorias: Alertas, Malware
Dejar un comentario »

Cuando informamos de los correos falsos de famosas desnudas no nos imaginamos que, 10 días después, esta técnica tan arcaica fuera el motivo de un importante porcentaje del malware propagado diariamente.

Según informa Websense, actualmente los correos que mencionan a Angelina Jolie alcanzan los millones diarios (alrededor de 150 mil por hora) y se calcula que el 4% del total del emails entrantes pertenecen a este tipo de correos, con enlaces maliciosos (archivo video-nude-anjelia.avi.exe) a más de 100 nuevos sitios comprometidos diariamente .

Más allá que ESET NOD32 nos proteja de esta amenaza, en estos casos el sentido común es el mejor de nuestros aliados.

Cristian

Promedio: 5

• Muchas famosas y mucho malware
• Como envía spam Angelina
• Top 10 de videos (falsos) de CNN

Categorias: Ingeniería Social, Malware
Dejar un comentario »

Los creadores de malware son delincuentes y sin duda ganan mucho dinero realizando su trabajo. Además, deben buscar nuevas formas de burlar a las herramientas de seguridad para así, mantener sus ingresos tan altos como siempre.

En el día de hoy he visto un script desarrollado en Javascript que utiliza criptografía “fuerte” para ocultar su código dañino. En este caso se utiliza el método Rijndael (estándar AES de cifrado desde 2001) para que todo lo que llegue al cliente lo haga en forma cifrada y el antivirus no sea capaz de identificar el código dañino. Es importante remarcar que el código fue escrito por otra persona, publicado en Internet y modificado por los creadores de malware (técnica muy común hoy en día):

Actualmente este código Javascript es detectado por algunos pocos antivirus (entre ellos ESET NOD32) como JS/TrojanDownloader.Psyme.NDI.

Este código de aproximadamente 8.000 caracteres, no es tan sencillo como el analizado al desofuscar un TrojanClicker, y si bien el método puede parecer novedoso y sumamente inteligente la verdad es que sirve de poco, ya que el mismo se puede descifrar y como resultado siempre se tendrá un script (de pocos bytes) que explota una vulnerabilidad conocida que descarga y ejecuta un malware en el equipo del usuario:

El cerebro de estas personas está ocupado todo el día en encontrar nuevas alternativas y en este caso la misma fue descargar un código desarrollado por otra persona y aplicarla a la descarga de un malware.

Estas personas ahora son delincuentes que han desperdiciando su vida intelectual a cambio de dinero y por eso se ven en la necesidad de copiar las creaciones de otros para aprovecharlas en beneficio propio, en vez de utilizarlos en buena ley.

Cristian

Vota primero

• Blogs de descarga de programas maliciosos
• Virus de macro (sí, otra vez)
• Mensajeros instantáneos utilizados para crear botnets

Categorias: Malware
4 Comentarios »

Luego de informar sobre malware a través de archivos MP3, que mejor forma de mostrarles cómo funcionan este tipo de amenazas que con un nuevo Video Educativo.

En el mismo se muestran cómo, con el sólo hecho de abrir un archivo MP3 con el Reproductor de Windows, podemos resultar infectados con diferentes tipos de troyanos.

Espero disfruten de esta nueva creación de ESET Latinoamérica.

Cristian

Promedio: 5

• Análisis de un malware de multimedia
• Vulnerabilidad (otra vez) de Adobe Reader
• Los codecs y la pornografía

Categorias: Multimedia
Dejar un comentario »

En las últimas horas nuestro Laboratorio ha encontrado archivos MP3 (sí, no leyó mal) que se están utilizando para descargar malware desde distintos servidores.

Los archivo MP3 son modificados especialmente para permitir que cuando el archivo es reproducido con el reproductor Windows Media Player, descargue un troyano Downloader que ESET NOD32 detecta como Win32/TrojanDownloader.Small.OCY. Para realizar esta acción se vale de distintas funciones propias del reproductor de Windows, por lo que este mecanismo no funciona en otros reproductores de sonido.

Al abrir el archivo MP3, se comienza a reproducir normalmente, pero luego de unos segundos, se nos informa de la descarga automática de un archivo ejecutable que en este caso es un troyano:

Si se observa el tráfico de red podrá verse la conexión a servidores relacionados históricamente con adware y spyware muy populares, además de la descarga del troyano que se ve en esta imagen:

Si se descarga y ejecuta este supuesto codec, resultaremos infectados con el troyano downloader mencionado que procederá, a su vez, a descargar otros archivos dañinos al equipo.

En nuestro caso, ESET NOD32 también detecta los archivos MP3 modificados como WMA/TrojanDownloader.GetCodec.D. Esto evita la propagación de cualquier tipo de amenaza futura que aproveche esta técnica para propagar otros malware similares.

Archivos PDF, SWF, XPI, MP3… ¿Qué más necesitamos para darnos cuenta de que el malware está en todas partes?

Cristian

Promedio: 3

• Spam en archivos comprimidos
• Video sobre infección de archivos MP3
• Archivos Flash descargan malware

Categorias: Alertas, Malware
8 Comentarios »

En las últimas horas, nuestro Laboratorio ha descubierto la diseminación de un código malicioso que como argumento simula provenir de la prestigiosa cadena de noticias BBC News, pero en realidad sus enlaces conducen a sitios web vulnerados de Latinoamérica.

En esta oportunidad, y como es costumbre en el malware actual, la amenaza intenta llegar hasta los usuarios a través de un correo spam cuyo argumento engañoso se basa en que el mismo permite, supuestamente, visualizar videos gratuitos de diferentes celebridades.

Además de simular provenir desde la BBC News, en el cuerpo del mensaje también podemos leer que involucra a la empresa Microsoft. Como de costumbre esta amenaza es detectada y bloqueada por ESET NOD32 a través de su motor de Heurística Avanzada.

Jorge

Vota primero

• Top 10 de videos (falsos) de CNN
• Falso correo con la captura de Bin Laden
• Entrevista a los creadores de MPack

Categorias: Alertas, Malware, Spam
1 Comentario »

En el día de ayer, haciendo mi recorrida diaria por el correo basura de mi bandeja de entrada, me encontré con alrededor de 50 correos con distintas promesas de famosas desnudas. No fue ninguna sorpresa que cada uno de ellos contenga un enlace a sitios de falsos videos pornográficos que terminan descargando el gusano Nuwar.

Luego de revisar la mayoría de ellos, terminé encontrando un caso interesante: se ingresa a un sitio conteniendo el acostumbrado reproductor de video falso y se comienza a descargar un archivo ejecutable (que ESET NOD32 detecta por heurística como variante de Nuwar). Pensando que era un caso como cualquier otro visualizo el código fuente de la página comprometida y encuentro lo siguiente:

Se intenta descargar tres veces desde el mismo servidor un archivo ejecutable y un archivo PHP. Esto es lo extraño del caso: si se intenta ingresar a esa página PHP, el servidor ha sido configurado para no devolver ningún resultado e informar que la página no se encuentra:

Con esto los creadores del malware logran pasar desapercibido más tiempo y que su amenaza no sea detectada por las empresa antivirus.

En cambio, al ingresar al sitio normalmente, como cualquier usuario, el script PHP se ejecuta y comienza a aprovecharse de distintas vulnerabilidades en el sistema para intentar descargar el archivo ejecutable a como dé lugar, con la correspondiente infección por parte de quien visita la página.

A continuación se pueden ver las detecciones de cada una de las amenazas por parte de ESET NOD32:

Es decir, se intentó con cada vulnerabilidad del sistema operativo y de las aplicaciones instaladas. En este caso, como el sistema era vulnerable, se descargaron 5 variantes de Nuwar y un Win32/TrojanDownloader.

Todas ellas fueron detectadas sin problemas por ESET NOD32 pero si  me hubiera encontrado desprotegido, ahora estaría infectado.

Cristian

Vota primero

• De MPack y otras yerbas
• Drive-by-Download
• Servidor y cliente “colaboran” para infectar al usuario

Categorias: Educación, Malware
Dejar un comentario »