Al igual que sucedió con Hi5, FaceBook, Myspace, Orkut, y Unicef, ahora le llego el turno de difundir malware al popular sistema de microblogging, Twitter.

Para hacerlo los creadores de malware se valen de la creación de un perfil falso de una cantante muy conocida y a través del mismo intentan que usuarios desprevenidos descarguen un troyano bancario:

Si bien la metodología es la misma y cualquier usuario bien educado en temas de seguridad (y que lea este Blog) no caería en la trampa, el grupo brasileño que está detrás de este engaño vio la oportunidad de nuevas estafas y las está llevando a cabo.

Si el usuario hace clic en el enlace, terminará descargando, desde un sitio de hosting gratuito, el troyano que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.OAR:

Lo curioso de este caso es que si el usuario ejecuta el archivo, el malware abrirá YouTube con un video erótico de la cantante mencionada anteriormente:

Mientras el usuario visualiza el video se descargan dos troyanos bancarios al equipo del usuario. Uno de ellos se descarga desde http://[eliminado].kit.net/process.jpg y es detectado por ESET NOD32 como Win32/Spy.Banker.PAH. El otro es se descarga desde http://[eliminado].kit.net/orkut.jpg y es detectado como Win32/Spy.Banker.PAG. Una vez descargados los archivos son renombrados a .exe y ejecutados para robar información bancaria del usuario.

Como puede verse el precio a pagar por el video es muy caro. ¡Ud. elige!

Cristian

Categories: Alertas, Malware
3 Comments »

Actualización 31/08/2009: Microsoft ha liberado un parche para realizar esta tarea automáticamente. Ver Eliminar el AutoRun para dispositivos USB.

En gran porcentaje de códigos maliciosos logran infectar equipos explotando una funcionalidad incorporada en plataformas Microsoft Windows que permite la ejecución de cualquier dispositivo que sea insertado en el puerto USB.

Esta funcionalidad se encuentra habilitada por defecto en la mencionada plataforma, y básicamente lo que hace es buscar en la carpeta raíz del disco y/o del dispositivo que se inserta, un archivo de texto plano denominado Autorun.inf. Cuando el sistema operativo lo encuentra, ejecuta las instrucciones especificadas en el mismo.

Infinidad de malware se vale de este tipo de archivos para diseminarse entre los sistemas, explotando la funcionalidad de Windows y propagándose a través de diferentes dispositivos removibles como pendrives, flash memories, DVDs, CDs, etc.

En consecuencia, es importante implementar medidas de seguridad preventivas al respecto. Una buena manera de prevenir infecciones a través de dispositivos removibles, además de contar con un antivirus con capacidades proactivas como ESET NOD32, consiste en deshabilitar la funcionalidad antes mencionada; de esta manera se minimizará el potencial riesgo de infección.

Para realizarlo, es necesario manipular en el registro del sistema la clave asociada a esta funcionalidad.

El registro es un elemento crítico del sistema operativo y la manipulación incorrecta del mismo puede provocar efectos nocivos en el mismo. Esta explicación fue testeada bajo un sistema operativo MS Windows XP SP2 y la práctica del mismo queda bajo la exclusiva responsabilidad de los usuarios, ya que cualquier cambio en el registro puede dañar el sistema.

De todas formas, no es tan grave como parece. Siempre existe la posibilidad de corregir lo que salió mal (que no será vuestro caso).

Los pasos son los siguientes:

1. Ir a Inicio/Ejecutar: En el campo teclear regedit para abrir el registro del sistema (se deben tener permisos de Administrador)
2. Luego, a través del panel izquierda, se debe navegar hasta encontrar la siguiente clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3. Se encontrará una clave llamada NoDriveTypeAutoRun, en la que se debe hacer clic derecho y elegir la opción Modificar. Tal como se muestra en la siguiente imagen:

• Se abrirá una pequeña ventana que permite modificar el valor de la clave. Por defecto, este valor suele estar en 91, se debe modificar a 95, aceptar el cambio y luego reiniciar el sistema.

De esta manera se evitará en gran medida, la ejecución automática de los dispositivos que se insertan en el puerto USB a través del archivo autorun.inf.

Es importante destacar que el archivo autorun.inf no es infeccioso y que simplemente enlaza a un archivo ejecutable que sí lo puede ser y, en ese caso, este último debería ser detectado como dañino.

En el artículo llamado propagación de malware a través de dispositivos USB podrán encontrar más información al respecto.

Actualización 08-09-2008: otro método igualmente efectivo es agregar la siguiente clave en el regisro de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf colocando el valor @SYS:DoesNotExist

Jorge

Categories: Educación, Malware, Tutoriales
16 Comments »