Ante todo quiero agradecer a las respuestas brindadas y el tiempo dedicado por cada uno de los que intentó solucionar nuestro Primer Desafío.

Ahora vamos a brindar la solución del mismo y a responder las preguntas planteadas:

1. Lo primero que se debe hacer es, por supuesto, descargar el archivo .ZIP y descomprimirlo mediante la contraseña brindada.
2. Una vez descomprimido, nos encontramos con un archivo .TXT que al abrirlo con el block de notas se llega a la conclusión que en realidad es un código Javascript ofuscado de alguna manera.
3. Sabiendo que es un código Javascript, se debe agregar <script> al comienzo del mismo y </script> al final.
4. Luego se debe renombrar este archivo, cambiando la extensión del mismo a .htm (o .html) o bien a .js e insertarlo dentro de un archivo HTML. Cualquiera de las opciones hará que el archivo pueda ser visualizado en un navegador web. Supongamos que lo renombramos a .html para hacer más rápido el procedimiento.
5. Una vez renombrado, lo abrimos con un navegador web. Si decidimos abrirlo con cualquier navegador web distinto de Internet Explorer o con un Internet Explorer actualizado, no se apreciará resultado alguno y aquí empieza a aparecer la respuesta a la primera pregunta: el archivo debe abrirse con Internet Explorer 6 (o inferior) no actualizado y con Javascript habilitado. Posteriomente se verá qué actualización no debía tenerse instalada en el navegador para que el código sea ejecutado.
6. Dadas las condiciones previas y abierto el archivo HTML, se pide autorización al usuario para ejecutarlo, motivo por el cual se debía permitir la ejecución de scripts. En esta instancia, el código abre una ventana de comandos (shell) y en la barra de títulos se puede apreciar “/..//hola.exe“. Luego se cierra dicha ventana y se muestra un mensaje “…chau” en pantalla:



7. Apreciando dicha ventana, se puede llegar a la conclusión que se ha abierto un archivo ejecutable y sólo debemos encontrarlo. El lugar donde se aloja el archivo mencionado es el directorio X:/documents and setting/nombre-de-usuario donde X: es la unidad donde se encuentra instalado el sistema operativo. Con esto hemos terminado de responder la primera pregunta. Si abrimos el archivo ejecutable con el block de notas se puede apreciar que el archivo descargado es el mismo archivo TXT anterior. Esto fue realizado de esta manera para evitar ejecutar un código ejecutable real en el equipo del usuario, preservando de esta forma su seguridad y que el sistema no corra peligro en ningún momento.



8. A partir de ahora se pueden responder las demás preguntas visualizando el código ofuscado. Este código podría ser desofuscado siguiendo el procedimiento explicado en desofuscando un Trojan-Clicker o en desofuscando códigos Javascript.
9. También se puede “limpiar” el código, separarlo en más de una línea, identarlo para facilitar su lectura y eliminar los caracteres repetidos (“/\!|@|#|\$|%|\^|&|\*|\(|\)/”), que fueron utilizados para dificultar la interpretación del Javascript original.
10. Ahora, las condiciones que debían darse para ejecutar el código es la necesidad de Internet Explorer porque se debía permitir la ejecucuón de los ActiveX visualizados en el código desofuscado.
11. Los comandos Try y Catch se utililizan para capturar excepciones y evitar dar mensajes de error al usuario.
12. Se utilizan diversos objetos ActiveX creados a través de la función CreateObject:
    • Objeto msxml.XMLHTTP utilizado para realizar peticiones HTTP y descargar el código que posteriomente se ejecuta, en forma transparente al usuario.
    • Objeto Adodb.Stream (identificado en el código como clsid:BD96C556-65A3-11D0-983A-00C04FC29E36) utilizado para escribir el archivo descargado a disco. Sobre este objeto existía una vulnerabilidad que fue solucionada en el boletin MS06-014 en mayo de 2006 por Microsoft. Dicha vulnerabidad permitía la ejecución de código en el equipo del usuario con los mismos privilegios de este. Es decir que para que este código funcionara, el Internet Explorer utilizado debía carecer de la actualización de seguridad KB911562.
    • Objeto Shell.Application utilizado para ejecutar el código descargado.

Con esto hemos finalizado de responder las preguntas planteadas.

Notas:

• Tener o no antivirus instalado no influía en la solución.
• La detección del archivo TXT como malware por parte de algunos antivirus corresponde a un Falso Positivo.

El objetivo de este primer desafío fue luchar con un pequeño código ofuscado pero también hacer consciente al usuario de la necesidad de solventar las vulnerabilidades en las aplicaciones utilizadas. La vulnerabilidad de la cual se aprovecha esté código fue solucionada hace tiempo pero, sin embargo, miles de usuarios son infectados actualmente a través de ella.

Las respuestas pueden ser consultadas en los comentarios del Desafío y felicitamos a Emiliano por haber sido el primero en responderlo, obteniendo así la licencia de productos de ESET.

Espero hayan disfrutado el desafío y nos vemos en el próximo.

Cristian

Categories: Curiosidades, Desafío, Educación
No Comments »

Cuando hablamos de rootkit en el sector de arranque mencionamos una técnica por la cual es posible modificar la MBR del disco desde Windows y hablamos de un rootkit que ESET NOD32 detecta como Win32/Mebroot.

En los últimos días hemos detectado una creciente cantidad de sitios que propagan este código dañino a través de códigos ofuscados y permiten que el rootkit tome el control del sistema, luego del reinicio del mismo.

Por eso, hemos desarrollado una aplicación gratuita que permite remover este rootkit desde la tabla de partición sin esfuerzo alguno. Si tiene sospecha de que este código haya podido afectar su sistema, sólo debe descargar ESET Mebroot Remover y ejecutarlo. A continuación se le informará si el rootkit fue encontrando o no en el sistema y, en caso afirmativo, la herramienta lo eliminará:

Si desea confirmar que ha sido infectado con este rootkit, recomiendo utilizar (gratuitamente) ESET Sysinspector que en segundos le informará si su tabla de partición ha sido modificada por este código, de la siguiente manera:

Como último consejo siempre recuerde descargar las herramientas que utilice desde sitios confiables.

Cristian

Categories: Alertas, Productos
16 Comments »

Fueron varias las oportunidades en que hemos advertido sobre determinados códigos maliciosos que simulan, como parte de su estrategia de Ingeniería Social, ser alguna aplicación benigna y de utilidad para los usuarios.

Sin embargo, no siempre se puede confiar en las cosas que encontramos en Internet, sobre todo, las que se encuentran en sitios web de dudosa reputación, ya que de lo contrario, nos podemos confundir (caer en la trampa) y descargar algo como lo siguiente:

Este es un nuevo caso en donde el programa malicioso, intenta simular ser un conocido programa de compresión de archivos: WinRAR.

Pero contrariamente a lo que el usuario espera, al acceder a la descarga ofrecida, no se encontrará con el programa en cuestión sino que o hará con un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.FakeAlert.JI.

Siempre debemos verificar la fuente desde la cual realizamos las descargas, incorporando como un buen hábito, descargar lo que necesitemos desde los sitios web oficiales.

Mientras tanto, también los invito a ver los videos educativos preparados por nuestro laboratorio sobre casos de infección y sobre cómo prevenirlos.

Jorge

Categories: Ingeniería Social, Malware
2 Comments »

Es grato contarles que en el día de mañana, miércoles 24 de Septiembre, estaremos brindando un nuevo seminario sobre Seguridad Antivirus en Internet en la Ciudad de Buenos Aires, Argentina.

En esta oportunidad, el encuentro se llevará a cabo en el Auditorio Noel Werthein del Instituto Tecnológico ORT. De esta manera, continuamos con la iniciativa que iniciáramos hace cuatro años en ESET, de llevar educación accesible para todos los usuarios que deseen aprender más sobre códigos maliciosos y las maneras de mitigarlo.

Los temas que presentaremos estarán centrados en:

• Evolución de los virus informáticos
• Introducción al concepto de malware
• Descripción y funcionamiento
• Ingeniería Social aplicada al malware
• Demostración práctica de infecciones

Todos aquellos que deseen participar del mismo son bienvenidos, sólo deberán, previamente, completar la información de registro.

Esperamos contar con su presencia.

Jorge

Categories: Educación, Eventos
No Comments »

Nuevamente nos encontramos de viaje y esta vez volvemos al hermoso país Azteca centrando nuestras actividades en el desarrollo de Seminarios gratuitos de Seguridad Antivirus.

El programa completo puede consultarse en nuestro Centro de Prensa y adelanto que estaremos el martes 23 en la Universidad ETAC,  el miércoles 24 la Universidad Tecnológica de Tulancingo y el jueves 25 en la Universidad Autónoma de Ciudad Juárez.

Espero poder verlos por aquí y para aquellos que no pueden hacerlo siempre pueden consultar nuestra Plataforma Educativa para recibir capacitación gratuita en estos temas.

Cristian

Categories: Educación, Eventos
1 Comment »