Archivo para agosto, 2008
Análisis de un malware de multimedia
agosto 21, 2008 5:33 pmEn las últimas horas y luego del bloqueo de GMail a los correos falsos de CNN, los creadores de malware han cambiado levemente sus técnicas y ahora envían correos con imágenes de famosas desnudas (Britney Spears, Lindsay Lohan, Angelina Jolie, Paris Hilton, etc.) e incluyen en el mismo, un enlace a un sitio o un archivo dañino que ESET NOD32 detecta desde hace tiempo y genéricamente a través de heurística como variante de Win32/Agent.ETH.
En el caso que se trate de un enlace, si el usuario ingresa al mismo, verá un sitio como los que ya estamos acostumbrados, con un supuesto video de famosas desnudas que en realidad es el troyano mencionado anteriormente:
Al igual que ESET, GMail ha respondido nuevamente bloqueando estos correos y aquí puede verse una tendencia actual y algo que siempre remarcamos desde ESET: lo importante es detectar el malware antes que el mismo infecte al usuario y para ello es fundamental contar con las herramientas adecuadas para dar una solución proactiva al problema y no tener que lamentarse posteriormente.
No importa cuantas veces cambien las tácticas de los delincuentes, siempre estaremos ahí antes que ellos detectando proactivamente todas las amenazas relacionadas.
Cristian
¿Páginas web que conducen a nada?
agosto 20, 2008 12:10 pmHace bastante tiempo que tengo ganas de escribir unas breves líneas sobre una de las técnicas de infección que más se esta utilizando en la actualidad, Drive-by-Download, y de la cual hemos escrito el artículo drive-by-Download: infección a través de sitios web.
Quizá para muchos de nuestros lectores, quede la sensación de que este tema es muy técnico. Por ende, voy a tratar de remediar ese pensamiento (en caso de que alguno lo haya pensado) y tratar de explicar de manera breve, qué es lo que ven los usuarios menos experimentados cuando se encuentran con uno de estos casos.
Básicamente sucede que el usuario, al acceder a determinada página web, sin importar de qué manera llegó a ella, el navegador se queda “pensando” por unos segundos tardando más de lo normal en cargar la página, o directamente no muestra nada. Algo parecido a lo siguiente:
Bajo estas circunstancias, los usuarios tenderían a cerrar la página y listo. Sin embargo, al mirar el código fuente nos encontramos con lo siguiente:
O cosas como lo siguiente donde al ver el código de la página, se visualizan una serie de script ofuscados:
En ambos casos, las páginas web son maliciosas. Contiene una etiqueta iframe que le permite invocar otra página sin que el usuario se percate de ello; pero además, también tienen script maliciosos que verifican la existencia de vulnerabilidades en el equipo cada vez que el usuario ingrese a la página, infectando de esta manera y en pocos segundos a todos aquellos que accedan a la web.
Salvo que hayan hecho caso a nuestros consejos y hayan actualizado su sistema operativo y sus aplicaciones, incluido ESET NOD32.
No obstante, es recomendable la lectura de de los post ejecución transparente de códigos maliciosos I y II para tratar de cerrar un poco más la idea y asimilar mejor los conceptos.
Cada vez que al ingresar a una web, notan que la misma “piensa” demasiado, duden.
Y si termina de cargar pero no muestra absolutamente nada, acuerdense de estas líneas y también duden. Ser precavidos no significa ser paranoicos, la idea es que para navegar seguros, también es necesario ser cautelosos, y eso depende netamente de nosotros ¿no les parece?
Jorge
Falsos correos de FedEx
agosto 19, 2008 1:56 pmEn las últimas horas, se está propagando un nuevo correo electrónico del tipo spam simulando provenir de la empresa aérea de transporte de paquetes FedEx.
El mismo llega a las casillas de correo bajo la siguiente apariencia:
Como método de engaño, en el cuerpo del mensaje se argumenta que no se ha podido entregar un paquete y en consecuencia se solicita imprimir la factura adjunta. El archivo adjunto es un .zip que contiene, en este caso, un archivo ejecutable llamado Invoice_01082008.exe.
Obviamente, no se trata de ninguna factura sino que se trata de un troyano que ESET NOD32 detecta bajo el nombre de Win32/Spy.Agent.PZ. Este es otro caso de los ya conocidos tickets utilizados para propagar malware y de los supuestos correos de UPS.
El correo electrónico no deseado es uno de los canales de propagación de malware más utilizados, por tal motivo se debe estar muy atento y, de ser posible, no abrirlos. Pero sobre todo, debemos actuar con cautela, aún más cuando poseen archivos adjuntos.
Jorge
Publicidad online descarga malware
agosto 18, 2008 5:47 pm¡Todavía no puedo creer el final de esta historia y con lo que me terminé infectando!
Hacía mucho que no daba un repaso por las publicidades online que tantos nos cansan al navegar, y de hecho la última vez terminé escribiendo sobre la publicidad engañosa y el malware.
En el caso que nos ocupa la amenaza llega a través de una “inocente publicidad” debido a que los creadores de malware lograr incluir masivamente sus banners y campañas dentro de empresa legales de promoción en sitios web. A través de esta campaña la publicidad puede ser mostrada en cualquier sitio web en cualquier momento, logrando infectar a miles de usuarios:
Lo normal es tentar al usuario para que haga clic en la publicidad de la derecha ingresando al sitio dañino pero, en este caso, es aún más sencillo ya que a través de un script, se abre un pop-pup y se comienza la supuesta exploración del sistema con… Antivirus-XP-2008 (que ESET NOD32 detecta como Win32/TrojanDownloader.FakeAlert), que fuera objeto del artículo rogue: falsos antivirus gratis y del Video Educativo correspondiente:
Por eso decía al principio que no podía creer hasta donde ha llegado esta amenaza: actualmente puede verse publicidad en cualquier sitio web y la misma, lamentablemente puede terminar conduciendo a este tipo de programas dañinos.
Cristian
