Agradecemos a todos la repercusión de nuestro desafío y premio de ESET Latinoamérica. Lo realmente interesante son las formas que se están utilizando para resolverlo y como siempre digo: todo vale siempre y cuando aprendamos en el proceso.

Las respuestas que han llegado aún no se publicarán para dar más tiempo a otros concursantes que quieran intentarlo y aprender con el desafío.

Entonces, ¿qué están esperando para intentarlo? y recuerden que todos los comentarios se publicarán posteriormente cuando se defina el ganador.

Actualización 21 hs: ya hay respuestas correctas y si bien sólo el primero en responder ganó, pueden seguir enviando sus respuestas y entrenando para el segundo desafío.

Cristian

Categories: Curiosidades, Desafío, Educación
4 Comments »

Es muy común escuchar la frase “Ningún antivirus detecta este virus”. Sin embargo y tal como expliqué en troyanos indetectables, esto es una situación pasajera.

Tomemos por ejemplo el siguiente gusano, no detectado en ese momento por ningún antivirus:

Esto sucede porque es muy común que los desarrolladores de malware prueben sus creaciones una y otra vez contra todos los antivirus (o contra los más comunes) y, cuando logran un nivel importante de no detecciones, deciden propagar su programa dañino.

La ventaja inmediata es obvia, ya que de este modo logran infectar a la mayor cantidad de usuarios posible, sea cual sea la solución de seguridad utilizada por el mismo.

Más allá de eso, como decía anteriormente esta situación es pasajera y los antivirus comenzarán a detectar este archivo ni bien se encuentre infectando a un usuario. En este caso el gusano se propagaba por mensajería electrónica y por supuesto fue detectado inmediatamente por ESET NOD32 como Win32/AutoRun.AAC.

Por eso también es fundamental contar con una solución que provea detección heurística para poder detectar malware desconocido hasta el momento.

Cristian

Categories: Educación, Heurística, Malware
3 Comments »

Hace unos días nos han informado que un sitio, que pretende ser un servicio de Google, está siendo utilizado para propagar malware.

Lo que se realiza es una inclusión de código ofuscado en diversos sitios vulnerables y a través del mismo se redirecciona al usuario al supuesto servicio de Google Analytics, que en realidad es un sitio que ha sido registrado por personas malintencionadas para propagar malware.

El script ofuscado en JavaScript es detectado por ESET NOD32 como JS/TrojanDownloader.Small.NAT y el sitio dañino es bloqueado, negando el acceso al mismo:

Con esta detección y bloqueo realizado por ESET, evitamos que usuarios desprevenidos ingresen al mismo y se infecten, manteniendolo protegido en todo momento.

Cristian

Categories: Malware
No Comments »

Debido la gran cantidad de malware ofuscado y a las diversas formas de ofuscamiento que aparecen cada día, así como las distintas alternativas para hallar el código ejecutado en el explorador, hemos decidido publicar un pequeño desafío con premio para nuestros lectores.

Dado este código (MD5: 15e532f88e8aec3dd28554b4d9a52593 – contraseña “eset-latinoamerica”), se debe averiguar:

1. ¿Qué sucede al ejecutarlo?
2. ¿Qué condiciones deben darse para que suceda lo anterior?
3. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto.
4. Procedimiento detallado utilizado para llegar a las respuestas anteriores.

La primera persona que responda correctamente las preguntas ganará una licencia de por vida del antivirus de ESET y la solución será publicada en este Blog.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario. El usuario es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo.

Suerte y esperamos sus respuestas en los comentarios. Todos los comentarios serán publicados cuando haya un ganador.

Actualización 26-09-2008: hemos publicado la solución al desafío.

Cristian

Categories: Curiosidades, Desafío, Educación
25 Comments »

En las últimas horas hemos descubierto un nuevo vector de ataque a través de sitios web, el cual se basa en la modificación de un archivo importante, llamado .htaccess, en los sistemas que usan Apache como servidor web. El ataque se produce cuando los usuarios ingresan a servidores web que han sido vulnerados y cuyo archivo .htaccess ha sido modificado para que se produzca una redirección automática a un sitio dañino o con contenido malicioso.

Este tipo de ataques es sumamente peligroso porque cualquier persona podría ingresar realmente a cualquier sitio vulnerado y automáticamente y sin previo aviso, será redirigido al sitio dañino. Supongamos que poseemos un sitio llamado “sitio-el-usuario.com” y se encuentra lo siguiente en el archivo .htaccess:

En este caso cada vez que un usuario cualquiera ingrese al “sitio-del-usuario.com” será redirigido automáticamente a “sitio-danino.com”.

En los ejemplos que se pueden encontrar en Internet, el usuario es enviado a un sitio del nefasto WinAntivirus 2008 cuyo accionar puede conocerse a través del artículo Rogue: falsos antivirus gratis y en nuestro Video Educativo.

Como siempre el instalador (antivirus.v.1.0.20586.exe) del mismo es detectado por Heurística por ESET NOD32 como probablemente una variante de Win32/Statik:

En este caso es fundamental que todos los administradores tomen los recaudos necesarios para que sus servidores no se encuentren vulnerables y no se permita la modificación del sistema de archivos por personas inescrupolosas. Imagine la pérdida de imagen de su sitio, si el mismo modificado por este tipo de personas y que todos los visitantes de su sitio web es redirigido a un sitio malicioso.

En malware internacional alojado en sitios latinoamericanos dimos algunas recomendaciones al igual que cuando hablamos de los ataques masivo a miles de sitios webs para evitar este tipo de ataques.

Actualización 23:00 hs: cabe aclarar que el archivo .htaccess puede ser encontrado en sistemas *NIX o Windows con Apache instalado, por lo que lo descripto anteriormente aplica a cualquier configuración.

Cristian

Categories: Alertas, Malware
7 Comments »