Como ya es habitual, les traemos el nuevo resumen mensual sobre las actividades más destacadas durante este mes en lo que a códigos maliciosos se refiere, donde podemos apreciar actividades interesantes a destacar:

• Lo más destacable durante este mes lo conocimos casi finalizando el mismo a través del ingenioso modo de infección llevado a cabo por un gusano detectado por ESET NOD32 bajo el nombre de Win32/AutoRun.FakeAlert.AD. El mismo se propaga por correo electrónico ofreciendo información a través de un archivo adjunto comprimido, que aloja un gusano junto a un acceso directo con instrucciones que ejecutan el malware a través de línea de comandos. Una nueva metodología de engaño que obliga a estar prevenidos en todo momento.
• Además, y como última novedad del mes, hemos detectado una alta tasa de propagación del gusano Conficker, propagándose a través de una vulnerabilidad corregida por Microsoft en octubre pasado.
• Continuando con las técnicas de engaño, a lo largo del mes vimos que la combinación de spam e Ingeniería social se masificaron con casos como los del recién electo presidente de los Estados Unidos, Barak Obama, o su supuesto video con contenido pornográfico; el caso de las famosas peruanas Magaly Medina y Luciana León, entre tantos otros donde las metodologías de engaño son características innatas del malware actual que cotidianamente inundan las casillas de correo de los usuarios.
• Asimismo, la relación entre aplicaciones masivamente utilizadas y malware sigue aumentando, además que cada vez son más los formatos de archivos empleados para la propagación. Un ejemplo concreto son los troyanos en archivos PDF propagando la amenaza PDF/Exploit.Pidief y también por spam infectando a través de este formato.
• Por otro lado, cada vez son más las herramientas que de manera automatizada permiten la creación de programas y contenidos dañinos y, durante este mes se conoció al Win32/FakeYoutube.A Constructor, una aplicación que permite crear falsas páginas de YouTube para propagar malware.
• Las aplicaciones maliciosas tipo rogue se tornan cada vez más peligrosas por lo que hemos publicado una pequeña lista con los nombres utilizados por estos programas, que complementa la que ya habíamos publicado el mes anterior.
• Del mismo modo, las técnicas de Drive-by-Download utilizadas para infectar usuarios a través de páginas web siguen siendo utilizadas como pudimos apreciar con Halloween, calabazas y malware.

Como siempre, a través de nuestro Informe de amenazas de Noviembre de 2008 podrán obtener mayor información, y más detalles con la lectura del Ranking de Noviembre de 2008. En ambos, conocerán cuales fueron los códigos maliciosos con mayor tasa de propagación durante este mes.

Jorge

Categories: Informes, Reportes mensuales
2 Comments »

En las últimas horas hemos recibido una gran cantidad de consultas de usuarios latinoamericanos sobre el mensaje de error Generic host process for win32 service error” que aparece al iniciar la computadora.

Esto posiblemente se debe a una infección con el gusano detectado por ESET NOD32 como Win32/Conficker.A/B/C que ha registrado una alta tasa de propagación en los últimos días a través del puerto 445 y explotando una vulnerabilidad solucionada por Microsoft el pasado 23 de octubre, oportunidad en la que apareció el Gusano Gimmiv. A continuación se puede ver el aumento de tráfico en el puerto mencionado, a través informes de ISC SANS.

En ese momento recomendamos instalar inmediatamente la actualización crítica MS08-067 desde el sitio de Microsoft. Hoy, volvemos a sugerir lo mismo en forma urgente. Tal y como indica Microsoft, la actualización se debe instalar en cualquiera de estos sistemas vulnerables.

• Microsoft Windows 2000 Service Pack 4
• Windows XP Service Pack 2
• Windows XP Service Pack 3
• Windows XP Professional x64 Edition
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 1
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP1 for Itanium-based Systems
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista and Windows Vista Service Pack 1
• Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
• Windows Server 2008 for 32-bit Systems
• Windows Server 2008 for x64-based Systems
• Windows Server 2008 for Itanium-based Systems

Debido a que la actualización no ha reportado problemas, por favor instálela en sus sistemas y filtre adecuadamente el puerto 445 en su Firewall. Mientras tanto, los usuarios de ESET NOD32 siempre estuvieron protegidos, debido a que detectamos el gusano desde el primer momento.

Actualización: más información sobre Conficker en nuestro Blog.

Actualización II: más información sobre Conficker en el artículo Conficker en números.

Cristian

Categories: Alertas, Curiosidades, Eventos, Informes, Ingeniería Social, Malware, Productos, Spam
183 Comments »

Nuestro laboratorio ha detectado una nueva maniobra de engaño destinada a captar la atención de los usuarios a través del correo electrónico.

Se trata de un mensaje en idioma alemán donde se aclara que se ha realizado una transacción de un determinado monto de dinero y que para obtener mayor información, se debe recurrir al archivo adjunto. El correo electrónico es un spam como el siguiente:

El archivo adjunto contiene una carpeta llamada “scann”, que en su interior aloja un archivo llamado “scann.a”, un malware que ESET NOD32 detecta bajo el nombre de Win32/AutoRun.FakeAlert.AD, y un acceso directo con el mismo nombre que el archivo adjunto.

Y, precisamente en este acceso directo se encuentra lo llamativo, ya que el mismo se encuentra asociado al archivo “scann.a” a través de la siguiente instrucción: %windir%\system32\cmd.exe /c scann\scann.a

Es decir, el usuario que haga doble clic sobre el acceso directo, estará ejecutando bajo línea de comandos el código malicioso. Por lo tanto, es importante adoptar buenas prácticas de no descargar ni ejecutar archivos adjuntos e instalar un antivirus con capacidades de detección proactiva capaz de detectar estas nuevas amenazas.

Jorge

Categories: Alertas, Malware, Spam
1 Comment »

En las últimas horas de hoy se ha encontrado una nueva campaña de malware propagado a través de sitios que simulan ser YouTube.

Se han creado cientos de dominios (.com, .cn,. ru, .net., .biz, etc.) en donde se alojan estos sitios falsos y se simula que el usuario necesita instalar un plugin o codec para visualizar los videos, generalmente del tipo pornográfico.

Si el usuario descarga el archivo, podría instalar un troyano que ESET NOD32 detecta a través de su Heurística Avanzada como Win32/Kryptik.CG.

Cristian

Categories: Malware
No Comments »

El rogue ya no debería ser sorpresa para nadie pero por supuesto las técnicas utilizadas se perfeccionan para seguir engañando más usuarios.

Al caso ya mencionado en Keygen, cracks y warez con malware de ESET NOD32 falso, sumamos algunos otros, que simulan ser conocidas empresas o productos antivirus.

El siguiente caso corresponde a un malware que juega con las siglas de otra conocida empresa del ámbito antivirus.

Por supuesto ninguna de estas empresas tiene nada que ver con el accionar de los delincuentes y, en ambos casos, el malware descargado corresponde a variantes distintas de Adware/Spyware que ESET NOD32 detecta como Win32/Adware.Antivirus2008.

Según lo que hemos estado observando en nuestro Laboratorio, aparecen nuevas variantes de este malware continuamente (varias veces al día) y son propagados por diversos medios. Esta imagen muestra la cantidad del mismo y cada uno de ellos corresponde a un archivo distinto, con nombres parecidos, de la misma amenaza:

Como puede verse, los creadores de malware no tienen problemas en crear nuevos engaños por lo que hay que estar permanentemente atentos, utilizando productos que han sido adquiridos o descargados desde fuentes confiables y con las capacidades proactivas necesarias para detectar cada nueva variante aparecida.

Cristian

Categories: Malware, Rogue
No Comments »