En las últimas horas hemos comenzado a recibir correos con actualizaciones falsas de Microsoft Windows XP y Windows Vista. El correo ofrece las actualizaciones en forma gratuita y el enlace permite la descarga de un archivo install.exe.

Por supuesto, este archivo es un malware que ESET NOD32 reconoce como Win32/TrojanDownloader.FakeAlert.HJ, una de las tantas variantes de Antivirus-XP-2008.

Vale recordar que las actualizaciones de Microsoft son gratuitas siempre y la empresa no envía correo a los usuarios con archivos ejecutables.

Cristian

Categories: Malware, Spam
6 Comments »

Acabo de regresar de V Congreso sobre Técnicas de Investigación de Delitos Informáticos organizado, como cada año, por la Policía Federal Argentina (PFA) y en el marco de la capacitación y concientización a sus efectivos en todo el país.

En esta oportunidad me explaye sobre ataques de phishing y troyanos bancarios, explicando las metodologías utilizadas y mostrando estadísticas de este tipo de ataques en todo Latinoamérica.

Además, también conté la experiencia de nuestro Laboratorio en la investigación de malware y la importancia de disponer de este tipo de investigación en Latinoamérica para los casos, cada vez más frecuentes, de programas dañinos creado en español.

Quiero agradecer por este medio a la PFA por la invitación a ESET y por hacerme sentir como en casa.

Cristian

Categories: Eventos
No Comments »

En los últimos días se está volviendo normal recibir spam con propuestas laborales y con enlaces a archivos de Adobe Flash (extensiones .swf). De esta manera, al no ser una extensión demasiado conocida, el usuario no sospecha y puede verse tentado a hacer clic en el enlace:

Este correo podría contener cualquier tipo de engaño y ese archivo .swf es manipulado para redirigir al usuario a un sitio que podría contener cualquier tipo de amenaza, si bien en este caso contiene una publicidad. Si se visualiza el archivo puede verse que en realidad no contiene más que basura:

Y, si se analiza el mismo puede verse la redirección al sitio mencionado:

La evolución del spam es permanente, por lo que debemos estar atentos a este tipo de movimientos para prevenir cualquier tipo de engaño o infección.

Cristian

Categories: Spam
2 Comments »

En nuestro recorrido diario por la web es inevitable encontrarnos con este tipo de falacias:

• Sitios con trucos para “hackear Hotmail, Yahoo!, Gmail, etc.”
• Sitios para descargar (y/o comprar) un troyano indetectable

No me detendré por la primera porque queda claro que no existe sobre la faz de Internet, tontería más grande pero sí haré algunas preguntas sobre la segunda oferta.

• ¿Qué se supone que es un troyano indetectable? supongamos que es un programa que no detecta ninguna herramienta de seguridad (por supuesto tampoco los antivirus)
• ¿Indetectable para quién? supongamos que por todos los antivirus
• ¿Indectable por cuánto tiempo? supongamos que por siempre o por el tiempo que dure una supuesta licencia o por el tiempo que paguemos o hasta que aparezca una nueva versión.

Entonces, realmente ¿ese programa es indetectable? La respuesta es no. No existe (al menos hasta hoy) un software que no pueda ser detectado y quien decida afirmar lo contrario debería leer las conclusiones de Fred Cohen en su tesis doctoral.

Así como no existe un programa que pueda asegurar detectar el 100% de los códigos dañinos, para cualquier programa se puede encontrar un algoritmo que diga si el mismo es dañino o no.

Dejando la teoría de lado y yendo a la práctica, para una compañía antivirus es tan sencillo como ingresar al sitio web que promociona el supuesto troyano indetectable, descargar el mismo, analizarlo y obtener una firma para su detección (o un algoritmo heurístico para las versiones siguientes). Por ende, un programa de este tipo será “indectectable” sólo por cierto tiempo.

Por último, existe una gran diferencia entre esos troyanos y aquellos que aseguran un código indetectable para sus clientes y cada vez que el mismo es detectado, le envían al usuario una nueva versión modificada, reempaquetada y no detectable (nuevamente por X tiempo). Es común que algunos troyanos comerciales utilicen esta técnica:

Ahora ya lo saben: Hotmail no es hackeable al menos para cualquiera y los troyanos indetectables son un engaño.

Cristian

Categories: Educación, Malware
1 Comment »

En una movida esperada, luego de la masividad adquirida por Antivirus-XP-2008, en las últimas horas hemos notado que sus creadores ya han comenzado a propagar una nueva amenaza denominada MS Antivirus, por supuesto tratando de engañar a los usuarios utilizando la sigla MS (generalmente empleada para referirse a Microsoft).

Si se intenta instalar el supuesto antivirus, se descargará un archivo llamado MSASetup.exe que luego el usuario deberá ejecutar en su sistema manualmente.

Además, ya hemos comenzado a recibir spam con el asunto “Best Antivirus 2008 !” y con publicidad de este “nuevo antivirus gratuito”, en donde se ofrece descargar el archivo setup.exe desde una dirección IP, que cambia en cada correo:

Por supuesto, los dos archivos son detectados por ESET NOD32 como Win32/Adware.Antivirus2008 y Win32/TrojanDownloader.FakeAlert.DR respectivamente.

Recordemos que este es un conocido rogue del cual hemos realizado un análisis días atras en el artículo rogue: falsos antivirus gratis y un Video Educativo sobre el tema.

Cristian

Categories: Alertas, Malware, Rogue
1 Comment »