El Cuarto Desafío fue uno de los que más se ha resistido a ser resuelto hasta el momento. El problema real consistía en darse cuenta que el programa navidad.exe ofrecido funcionaba de forma distinta en un entorno real que en uno virtualizado.

Las máquinas virtuales son sistemas que simulan un entorno real y sobre el cual se puede configurar distintas opciones de procesador, memoria, unidades de almacenamiento, etc. Sobre este equipo virtual se puede instalar cualquier sistema operativo deseado y cualquier aplicación, como si se tratara de equipos físicos reales pero todo lo que se hace sobre este sistema no impacta (no debería) sobre el sistema real.

Por eso, las máquinas virtuales son el entorno ideal para probar malware (o jugar como en este caso) ya que no se afecta el sistema real y además ofrecen la posibilidad de recuperar el sistema original en cuestión de segundos, por lo que si algo sale mal, se puede seguir probando sin problemas. Los creadores de malware saben que sus creaciones pueden ser analizadas sobre entornos virtuales y días atrás mencionamos  malware con detección de máquinas virtuales.

Volviendo a nuestro desafío:

• El programa está realizado en Visual Basic y empaquetado con el packer gratuito MEW SE pero este dato no es relevante. Los antivirus que detectan incorrectamente esta aplicación lo hacen por este empaquetamiento y es un falso positivo de esos antivirus.
• Si el programa no detecta que se está ejecutando en entornos virtuales como Qemu, VirtualPC, VMware, VirtualPC, Anubis, JoeBox y VirtualBox, sólo muestra la conocida imagen del señor Burns y no sucede nada más. Esto fue realizado de esta manera para comprobar que efectivamente quien juega a nuestros desafío ejecute el programa en ambientes virtualizados. Si bien nuestras creaciones no son dañinas, nunca se deben probar programas descargados de Internet en entornos reales.
• Si el programa detecta algunos de los entorno virtuales mencionados, muestra la imagen y luego de 5 segundos aparece un pequeño botón en la parte inferior izquierda. Haciendo clic sobre la imagen y presionando este botón, se informa que se debe insertar un disco en la unidad A:. Al tercer intento se muestra el mensaje “envía el codigo #d4XXX#” donde “d4″ indica el número del desafío y “XXX” corresponden a números aleatorios.
• Si se presta atención, el icono de la aplicación también es un disquete.

La solución al desafío es que se intentaba robar información al gerente a través de disquetes y además la descripción del procedimiento mencionado sobre el entorno virtual.

El ganador es Federico, quien describió dicho proceso y con quien nos estaremos poniendo en contacto a la brevedad. Una mención especial para Emiliano, quien al día siguiente también respondió correctamente.

¡Felicitaciones y nos vemos en el siguiente desafío!

Cristian

Categories: Desafío, Educación
No Comments »

Una de las cuestiones más preocupantes en materia de seguridad, y de las cuales se valen los creadores y propagadores de malware, es la falta de información que, por lo general, poseen los usuarios en torno a las actividades mediante las cuales es posible infectar los sistemas.

Bajo esta perspectiva, los profesionales de seguridad estamos de acuerdo en que el mayor  problema que enfrentan los usuarios hogareños y las empresas de cualquier nivel y envergadura es la falta de educación y concientización, tanto en lo que se refiere a Seguridad de la Información en general como a seguridad antimalware en particular.

Desde ESET conocemos esta problemática y los peligros a los cuales cotidianamente nos exponemos, por ello, desde hace varios años venimos trabajando en educar a los usuarios. De hecho, apuesto que muchos de nuestros lectores habrán asistido a alguno de los seminarios gratuitos sobre Seguridad Antivirus en Internet que hemos dictado a lo largo de América Latina.

Pero no nos conformamos sólo con eso, sino que seguimos trabajando en otras alternativas educativas para ofrecerles seguridad, no sólo a través de nuestros productos, sino que también seguridad en la toma de decisión frente a códigos maliciosos.

A continuación les detallo los recursos que actualmente tenemos disponibles para que ustedes los aprovechen como fuente confiable de información y mantenerse así al tanto de lo que sucede en torno al malware:

• Plataforma Educativa: una excelente alternativa para quienes desean aprender más sobre el malware y sus implicancias. Actualmente nuestra Plataforma Educativa cuenta con dos cursos gratuitos que se cursan en línea y al aprobar un examen (también en línea), se recibe un certificado.
• Artículos técnicos: material escrito de manera amigable, sin demasiado lenguaje técnico que ofrece información sobre el malware actual.
• Boletín de Noticias: boletín mensual que permite suscripción recibiendo, al principio de cada mes, las últimas noticias, además de mucha más información sobre virus, gusanos, troyanos, spyware y otras amenazas informáticas.
• Podcast: recursos en donde, a través de audio, encontrarán una serie de descripciones sobre determinadas características de los códigos maliciosos y las tendencias actuales.
• Videos Educativos: podrán aprender el funcionamiento de algunas técnicas utilizadas por el malware y la manera de defenderse frente a ellos, más allá de la utilización de un antivirus con capacidades proactivas.
• Blog de Comunicación: este recurso podrán encontrar información como por ejemplo, donde dictaremos seminarios.
• Blog de Laboratorio: el mismo en el cual se encuentran leyendo este texto. Ofrece información a nivel técnico sobre las tendencias, amenazas, buenas prácticas, técnicas utilizadas por el malware, entre otros.
• Desafío ESET: juegos que buscan enseñar de una forma sencilla sobre el malware y cuestiones relacionadas, entregando como premio simbólico licencias de nuestro producto.

Como verán, son muchos los recursos que tenemos para ofrecerles y ya no quedan excusas para no explotarlos y aprender cada día un poco más sobre malware y cómo evitarlos.

Jorge

Categories: Educación
No Comments »

Si bien hay algunas respuestas muy imaginativas, sólo Andrés se ha acercado a la respuesta correcta del Cuarto Desafío, por lo que daré algunas pistas:

• Como ya había mencionado no se trata de Ingeniería Social
• No se trata de adivinar que hace el programa
• Tampoco se trata de descargar programas dañinos de otros sitios web para analizar. El archivo a descargar y analizar es el ejecutable ofrecido
• Nuestro gerente tiene razón y se está intentando obtener información de su empresa. La pregunta es ¿cómo? y ¿cuál es procedimiento para llegar a esa respuesta?
• Hay sistemas que no son lo que parecen

Todos los comentarios serán publicados cuando se determine al ganador.

Actualización 21/12/2008 20hs: hemos publicado algunos comentarios para que sirvan de guía.

Actualización 23/11/2008: ya hemos publicado la solución al cuarto Desafío de ESET.

Cristian

Categories: Curiosidades, Desafío, Ingeniería Social
4 Comments »

Luego de nuestros listados I y II, siguen apareciendo nuevas variantes de rogue cada día y conocer sus nombres no está de más, ya que puede evitar que caigamos en sus trampas y descarguemos una amenaza a nuestro sistema, sin darnos cuenta.

Algunos que se han agregado a la lista, además de la actualización continua de muchos de los anteriores, son:

• Advanced Antivirus
• Adware Patrol
• Adware Platinum
• Adware Remover
• Antivirus 360
• Antivirus Protection
• Best Pro Scan
• Doctor AdWare Pro
• Extra Antivir
• Front Home Pagez
• Micro Antivirus
• PCSegura
• Powerful Virus Remover
• Privacy Control
• Private Security Center
• Registry Doctor
• Scan Online Free
• Secure Expert Cleaner
• Spy Remover
• Storage Antispyware
• Super Secure File Shredder
• System Booster 2009
• Virus Protect Pro
• Virus Response
• Win Fixer
• Win Secure Expert Cleaner

Si tienes problemas para identificar este tipos de sitios o programas te aconsejo darte una vuelta por nuestro Tercer Desafío. Como siempre ESET NOD32 detecta cada uno de ellos.

Cristian

Actualización: la serie de post continúa en Listado de programas de seguridad falsos IV

Categories: Malware, Rogue
2 Comments »

Analizando un malware desarrollado para redes sociales, el Koobface, me encontré con una sorpresa interesante. Al instalarse una variante determinada de dicho gusano, el mismo descarga un malware que nada tiene que ver con las redes sociales.

Se trata de un troyano que ESET NOD32 detecta como Win32/Agent.OLA y que tiene una capacidad que no hemos desarrollado hasta este momento en el Blog: se trata de un troyano utilizado para romper captchas.

Recordemos que los CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart) son una prueba de Turing automática para diferenciar a máquinas y humanos y se utilizan con el objetivo de evitar que programas automáticos (robots) realicen registro de usuarios en cualquier servicio disponible en Internet.

Si bien en el último tiempo distintos captchas han sido crackeados, permitiendo el registro automático en Live, Yahoo!, y otros, la verdad es que gran parte del trabajo es realizado por seres humanos creando grandes bases de datos relacionando la imagen del captcha y su respectiva solución (la palabra descifrada).

En mi caso, al descargarse y ejecutarse automáticamente, el troyano crea un archivo captcha.exe en el directorio del sistema y luego se ejecutará en cada reinicio mostrando la siguiente pantalla:

Como puede verse se amenaza al usuario de que si no ingresa la palabra mostrada en la imagen, su sistema se reiniciará. Con esto se logra que el usuario resuelva el captcha, enviando la solución al sitio del atacante y almacenando el mismo en grandes bases de datos.

La próxima vez que el captcha sea utilizado en algún registro de cualquier servicio, el atacante ya tiene la solución almacenada. Con esto, el delincuente puede registrar cuentas falsas automáticamente en cualquier servicio del mundo, para luego utilizarla en otros ataques.

En este caso no se ha crackeado el captcha, sino que se utiliza a miles de usuarios infectados para que resuelvan los mismos, creando bases de datos con la imagen y la solución. Una vez más se logra que el usuario colabore, sin saberlo, con los delincuentes.

Cristian

Categories: Educación, Malware
2 Comments »