Tal y como hicimos el mes pasado, aquí va el resumen de los casos más relevantes de infecciones y técnicas de ataques que fueron destacadas por ESET durante agosto:

• La detección del rogue Antivirus XP 2008 fue el caso más mencionado debido a la cantidad de técnicas utilizadas para propagar su instalador y por la cantidad de variantes detectadas. Por ello, hemos realizado su análisis en el artículo rogue: falsos antivirus gratis y un Video Educativo sobre el tema. ESET NOD32 detecta por heurística (y elimina) cualquier variante de esta amenaza bajo el nombre de Win32/TrojanDownloader.FakeAlert.
• Este mes también se caracterizó por la gran cantidad de correos, simulando ser noticias de CNN y otras cadenas informativas, y con enlaces que llevaban a la descarga de un archivo dañino o a la visualización de supuestos videos de famosas desnudas, pero que terminaban en la descarga de troyanos.
• Otro método utilizado para propagar estas amenazas fueron los correos de Angelina Jolie y otras famosas.
• Además también se utilizó la clásica técnica de las supuestas actualizaciones de Windows que enlazan archivos ejecutables y los supuestos correos de diversas empresas (como UPS y Fedex) para propagar archivos adjuntos dañinos. Además, se comenzó a ver masivamente la aparición de estos correos con enlaces a archivos Flash dañinos.
• Por último, aparecieron perfiles falsos en la red social Twitter para propagar malware, por lo que decidimos crear la denominación SpReSo: SPam en REdes SOciales para estos casos cada vez más comunes.

Para tener una descripción completa de estos casos recomendamos la lectura de nuestro informe de amenazas de agosto de 2008 y consultar nuestro Ranking de agosto de 2008.

Cristian

Categories: Informes, Reportes mensuales
4 Comments »

En Latinoamérica hemos comenzado a ver una nueva tendencia de los creadores de Antivirus XP 2008, que consiste en ofrecer un instalador gratuito y que al intentar instalarlo se pueda leer la licencia del producto, ofreciendo una apariencia de legalidad:

Como puede verse, no es posible cancelar la instalación y la única opción disponible es continuar con la misma. Este instalador es detectado por ESET NOD32 como Win32/TrojanDownloader.FakeAlert.HX.

Si se llegara intentar instalar la aplicación, ESET Smart Security bloquea la URL desde donde se pretende descargar el archivo ejecutable y, de todos modos si se descargara, también detectaría los archivos como una variante de Win32/Adware.GooochiBiz.

Es decir que por cualquier medio, la amenaza es bloqueada por ESET.

Una vez más, debemos estar atento ante esta amenaza y confiar en productos certificados y con amplia historia en el mercado.

Cristian

Categories: Malware, Rogue
No Comments »

Los correos que apuntan a supuestos videos o imágenes y que, a final de cuentas, terminan descargando una amenaza son normales para cualquier usuario.

Por eso, hoy traemos a colación un caso atípico de esos correos porque el archivo malicioso al que apuntan se encuentra alojado en sitios argentinos (.com.ar) aunque por supuesto, existen casos registrados en toda América Latina. Estos sitios de empresa reales y conocidas en el ambiente, por un “simple descuido”, ven su imagen corporativa afectada seriamente:

Evidentemente estos sitios han sido vulnerados y un delincuente ha subido esos archivos al servidor. Este ingreso ilícito a un sitio web puede deberse generalmente a:

• Problemas de programación del sitio en sí
• Problemas de seguridad en el servidor que brinda los servicios de hosting (alojamiento web)
• Permisos mal otorgados a los directorios públicos
• Falta de actualizaciones en el sistema, que permite explotar vulnerabilidades
• Mala administración de contraseñas

En las últimas horas, hemos encontrado una gran cantidad de sitios web latinoamericanos afectados por lo que les recomendamos a los administradores y webmaster que tengan en cuenta las siguientes recomendaciones:

Estar informados acerca de las técnicas utilizadas por los delincuentes y ser muy cuidadosos cuando suceden este tipo de ataques masivamente:

• Actualizar todas las aplicaciones base (sistema operativo, web server, base de datos, etc.); hardening del sistema operativo.
• Mantenerse informado de vulnerabilidades y actualizaciones.
• Verificar el código fuente de sus aplicaciones para evitar ataques; hardening de aplicaciones.
• Verificar su sitio periódicamente para detectar posibles vectores de ataques.
• Si Ud. es una de las víctimas, informar a sus clientes y visitantes, evaluar la posibilidad de bajar el sitio, si es posible y necesario para verificar y solucionar el inconveniente (recuperar la base de datos, limpiar el código fuente, aplicar actualizaciones, etc.).
• Administrar las contraseñas y que las mismas sean robustas
• Contar con un antivirus con capacidades proactivas en los servidores, capaz de bloquear el archivo ejecutable dañino en el momento en que el delincuentes intente copiarlo.

Si se requiere más detalles, Google ha publicado hace un tiempo ¿Qué debes hacer si han hackeado tu sitio web? con información relacionada.

Nota: los sitios encontrados ya han sido notificados por ESET Latinoamérica.

Joaquín

Categories: Educación, Malware, Spam
No Comments »

Y sí, no podía faltar mucho para lo que ya habíamos anunciado en archivos Flash en peligro y II y en spam de ofertas laborales con enlaces a archivos Flash: en las últimas horas nuestro Laboratorio ha detectado una gran cantidad de correos propagados por spam y con enlaces a archivos Flash (extensión .swf):

Si el usuario ingresa al sitio e intenta visualizar el archivo .swf, al ejecutarse el mismo en el navegador, se descarga un archivo http://[eliminado].187.49.18/install.exe. Este archivo es detectado por ESET NOD32 por heurística como una variante de Win32/Kryptik.E, como informamos hace un par de horas en falsas actualizaciones de Windows XP y Vista.

Al igual que los casos anteriores, los archivos Flash son alojados en servidores gratuitos y nuevamente se trata del nefasto Antivirus-XP-2008.

A estar atentos antes esta nueva amenaza y tendencia.

Cristian

Categories: Alertas, Malware, Spam
No Comments »

En las últimas horas, se ha descubierto la propagación de un código malicioso a través de un sitio web falso que pretende ser de una conocida empresa de telefonía móvil.

La estrategia de engaño consiste en simular que el sitio web pertenece a la empresa Claro promocionando como premio un iPhone; donde, para poder participar, es necesario descargar un supuesto formulario de inscripción.

Sin embargo, al intentar obtener el formulario, lo que se descarga es un código malicioso que es detectado por heurística por ESET NOD32 bajo el nombre de Win32/Packer.Themida.

Debemos navegar con mucha cautela y no creer en todo lo que se ve en Internet. También debemos confiar en nuestro antivirus, ESET NOD32 para estar constantemente protegidos de estas amenazas.

Jorge

Categories: Alertas, Malware
3 Comments »