Ayer jueves 23, Microsoft lanzó, fuera del ciclo que corresponde al segundo martes de cada mes, la actualización MS08-067 (958644) clasificada como crítica ya que una vulnerabilidad en el protocolo RPC permite la ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo.

En palabras sencillas, alguien puede ejecutar el código que desee en nuestro sistema (Windows 2000, XP, 2003, 2008, Vista) sin que nosotros nos enteremos de esa acción.

Esta actualización se lanzó debido a que ya se había publicado una PoC (Proof of concept) para la vulnerabilidad, con lo cual se sabía que no tardaría en aparecer un código dañino que la aproveche para infectar masivamente millones de usuarios (generalmente un gusano).

Esta suposición no tardó en confirmarse ya que en este momento existe al menos un gusano que se está aprovechando de la vulnerabilidad para infectar sistemas. El ejecutable detectado por ESET NOD32 como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll) en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento.

Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado.

El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser:

• Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
• Usuarios y contraseñas de Microsoft Outlook Express
• Contraseñas almacenas en Microsoft Internet Explorer
• Cookies y otros métodos de autenticación
• Archivos deseados por el atacante

La forma de programación del malware es genérica lo cual indica que no ha sido diseñado para un objetivo determinado sino para infectar masivamente a cualquier usuario, por lo que es altamente recomendable actualizar de inmediato y utilizar un sistema antivirus capaz de detectarlo, como ESET NOD32.

Cristian

Categories: Alertas, Malware
6 Comments »

Haciendo un recorrido por Facebook (o cualquier otra red social) y realizando ciertas búsquedas, es relativamente sencillo encontrar perfiles falsos y publicidad de sitios que ofrecen servicios para adultos, generalmente promocionados con fotos de contenido sexual.

Estas acciones demuestran la facilidad con que las personas inescrupulosas se mueven en el mundo virtual y adoptan los nuevos medios de comunicación para llegar masivamente al público ya que las redes sociales también pueden ser utilizadas para propagar malware.

Este tipo de perfiles están expresamente prohibidos en las redes sociales y se deberían denunciar al momento de encontrarlas. En los casos mostrados, luego de denunciarlos, los perfiles fueron eliminados.

Cristian

Categories: Spam
No Comments »

Si Shakespeare leyera este título seguro se enojaría mucho

Pero a pesar de ello, seguramente entendería que es muy alusivo a la ambigüedad que en la actualidad vivimos frente a los códigos maliciosos y la confianza.

Veamos un reciente encuentro que tuve en un sitio web cuyo nombre no se refiere en lo más mínimo a poseer algún componente malicioso y que quizá no levantaría sospechas, por lo menos en un primer momento. La cuestión es que, al ingresar al sitio web www.quick[ELIMINADO].com, se ofrece la descarga de un archivo:

Si bien a simple vista parecería ser una página “confiable”, existen al menos tres características que la hacen sumamente desconfiable y a las cuales, como usuarios, debemos estar atentos para poder identificar el engaño.

En primer lugar, en la barra de estado podemos leer que el nombre de la página, como decía en un principio, no hace alusión a nada malicioso. Sin embargo, el segundo punto es que, lo primero que vemos en la ventana es “setup.exe” más la leyenda “Fresh Free Hardcore Movies“, muy común de encontrar en sitios web con contenido pornográfico. ¿Qué tiene que ver el nombre del sitio con este contenido? Nada.

En tercer lugar, el segundo recuadro marca la supuesta verificación de que el archivo a descargar se encuentra, en teoría, libre de códigos maliciosos ya que, aparentemente ha sido previamente verificado por un programa antivirus según la leyenda “100% checked by Antivirus”.

Con ello se busca ganar la confianza del usuario creando en él una falsa sensación de seguridad ¿usted depositaría toda su confianza en lo que dice la ventana de descarga? Yo creo que no.

Cada vez es más común encontrar este tipo de métodos de engaño donde un porcentaje realmente alto de usuarios caen en la trampa; por lo tanto, es importante adoptar medidas preventivas como la implementación de un programa antivirus, como ESET NOD32, que permita detectar las amenazas. En este caso, se trata de un rogue detectado bajo el nombre de Win32/Adware.Antivirus2008.

Con respecto a este malware en particular, quienes deseen saber más sobre él, pueden leer el artículo Rogue: Falsos antivirus gratis que explica su funcionamiento y/o ver el Video Educativo el cual muestra lo qué deberíamos hacer para evitar su infección.

Jorge

Categories: Ingeniería Social, Malware
1 Comment »

En esta ocasión, nuestro Laboratorio ha encontrado un nuevo caso mediante el cual se aprovecha un sitio web para la propagación de códigos maliciosos. Se trata de una página que ofrece la descarga del conocido cliente de descarga de archivos para redes P2P, eMule. A continuación pueden ver una captura de la falsa web, que simula ser la oficial:

Los usuarios desprevenidos que accedan a la descarga del archivo en cuestión, descargarán en realidad un código malicioso que tanto ESET NOD32 como ESET Smart Security detectan bajo el nombre de Win32/Adware.NaviPromo. Un malware que, además de ejecutar constantemente ventanas emergentes con publicidad, posee propiedades de rootkit mediante el cual oculta su proceso malicioso.

Es importante que los usuarios que habitualmente utilizan las redes P2P para la descarga de archivos, sean conscientes que representan uno de los vectores más aprovechados para la propagación de diferentes códigos maliciosos, por lo que debemos actuar y prevenir en consecuencia. En nuestro artículo el malware en las redes P2P podrán encontrar más información sobre la relación que une a los códigos maliciosos con este tipo de redes.

Pero, miremos este malware con más detalle. Si comparamos los instaladores, es decir, el descargado desde el sitio web oficial del proyecto eMule y el descargado desde el sitio malicioso, notamos algunas leves diferencias como: cambia el nombre y el archivo malicioso es más pesado. Veamos una captura:

Al momento de la instalación, también se observa una leve diferencia:

El tema es que, una vez ejecutado, el malware instala el verdadero programa eMule pero, paralelamente, también instala el malware en cuestión activando un proceso malicioso llamado “ftddkbah.exe“, además se asegurar su ejecución en cada reinicio al agregar una referencia en la clave Run del registro.

Al finalizar la instalación, ejecuta una instancia del navegador abriendo una página web similar a la que se muestra en la próxima captura, desde la cual ofrece la descarga de un archivo llamado “Instant-Access.exe“. Como se podrán imaginar, se trata de otro malware, en este caso llamado Win32/Dialer.InstantAccess.NAE, un tipo de troyano diseñado para acceder a determinados sitios web, por lo general con contenido pornográfico, a cambio de costosas tarifas telefónicas.

Como podrán apreciar, la propagación de malware se puede realizar, y de hecho se realiza, a través de diferentes vectores como se demuestra en este caso, donde la prevención por parte del usuario radica principalmente en la descarga de programas desde los sitios oficiales.

Estar atento, es una buena medida de protección.

Jorge

Categories: Malware
3 Comments »

Tenemos el agrado de informarles que se encuentran disponibles los videos de entrenamiento sobre ESET NOD32 Antivirus. Podrán acceder a los mismos desde la sección de Entrenamiento en Línea.

En estos videos se muestra cómo realizar la instalación, actualización  y configuraciones en cuanto a protección de parámetros y modificación de usuario y contraseña en ESET NOD32.

Esperamos sean de su agrado y de mucha utilidad.

Alejandro

Categories: Educación, Multimedia, Productos
No Comments »