Existe una familia de códigos maliciosos que ESET NOD32 detecta bajo el nombre de Win32/Qhost; y en los últimos días se ha estado propagando por correo electrónico una nueva variante, detectada bajo el nombre de Win32/Qhost.NHM.

Bajo la excusa de ser una tarjeta virtual, este troyano tipo banker que busca infectar los equipos de los usuarios más desprevenidos, ha sido diseñado para realizar ataques de phishing a entidades bancarias colombianas manipulando el archivo hosts de los sistemas víctimas.

A través de un enlace incrustado en el cuerpo del mensaje, intenta descargar un archivo ejecutable llamado Reyes.exe que, lejos de tener alguna relación con los famosos reyes magos y aunque parezca que muchos aún creen en ellos , se trata de un malware.

La familia Qhost es cada vez más amplia y el daño monetario que puede provocar en la cuenta bancaria de los usuarios, también puede ser alto. En consecuencia, debemos ser cautelosos al hacer clic en los enlaces que recibimos para no ser víctimas de esta amenaza y mantener nuestro ESET NOD32 actualizado para mantenernos seguros.

Jorge

Categories: Alertas, Malware, Phishing
No Comments »

Un usuario nos ha enviado este archivo (MD5: b0b1d79ddeef321586796d5438c177ea – contraseña “eset-latinoamerica”) y para analizarlo deberíamos comenzar por desempaquetarlo. Entonces:

1. ¿Con que packer está empaquetado este ejecutable? Explicar el método utilizado para responder.
2. ¿Es posible identificar la aplicación ejecutada? Justificar.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario, quien es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo. La detección del archivo ejecutable como malware por parte de algunos antivirus corresponde a un Falso Positivo.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Cristian

Categories: Curiosidades, Desafío
5 Comments »

Conficker (o Downadup) se ha transformado en una verdadera epidemia tal y como lo indica nuestro Reporte de amenazas de Diciembre y, en los últimos días, sus creadores han puesto énfasis en multiplicar sus técnicas de infección, ampliándolas a través de recursos compartidos, explotación de claves débiles y a dispositivos de almacenamiento removibles.

Este último caso es el que nos ocupa, ya que las nuevas variantes de Conficker han comenzado a utilizar al técnica de Autorun para maximizar las probabilidades de infección. A continuación vemos un archivo autorun.inf que aparentemente se encuentra dañado o que ha sido “cifrado” de alguna manera para que el mismo no sea válido:

Si se mira con atención, al final puede apreciarse que existen comandos válidos. En realidad, el archivo incluye código basura (una forma común de ofuscamiento). El sistema operativo, al no “comprender” su contenido, simplemente lo ignora y toma en consideración las líneas que es capaz de interpretar. Entonces, en realidad se trata de la ejecución automática del gusano (en este caso el archivo jwgkvsq.vmx, siendo este nombre aleatorio).

La explicación de porqué utilizar la conocida técnica de infección en dispositivos removibles es sencilla: supongamos que una organización protege adecuadamente sus recursos informáticos para evitar las infecciones originales de este gusano (actualización, firewall y antivirus), a través de la explotación de la vulnerabilidad en el protocolo RPC. Si fuera así, el gusano tendría un ciclo de vida corto.

Al incorporar nuevas técnica de infección, sus creadores se aseguran que de alguna manera, el gusano ingrese a las organizaciones protegidas, por métodos alternativos a los explotados originalmente.

Esto es lo que le ha valido a Conficker para ser una de la amenazas de mayor reproducción y que más dolores de cabeza esté trayendo a los usuarios y administradores de red. Como siempre ESET NOD32 detecta Conficker y sus últimas variantes que utilizan Autorun, como puede verse a continuación:

Por favor no deje pasar más tiempo y tome las medidas preventivas necesarias porque parece que Conficker llego para quedarse un tiempo.

Actualización: más información sobre Conficker en nuestro Blog.

Cristian

Categories: Alertas, Malware
9 Comments »

Queremos alertar a nuestros lectores que es posible que se estén diseminando códigos maliciosos mimetizados en falsos instaladores de los más conocidos navegadores web.

Luego de dar a conocer uno de los tantos programas que utilizan técnicas maliciosas anti-análisis para evitar su detección, hemos encontrado una nueva aplicación automatizada concebida para la creación de malware.

En este caso, detectado por ESET NOD32 bajo el nombre de Win32/VB.NUU, la aplicación maliciosa es utilizada para ejecutar un malware simulando ser el instalador de diferentes navegadores, como se puede ver a continuación:

Cuando se ejecuta esta aplicación, en pantalla se visualiza un simulacro de instalación (no se instala el navegador). Sin embargo, de manera paralela y transparente para el usuario, el malware (puede ser cualquiera) que haya sido empleado con esta aplicación infecta el sistema, alojándose en la carpeta C:\WINDOWS bajo el nombre de svchost.exe y adoptando el icono del archivo malicioso original (Ingeniería Social aplicada al malware).

Además de crear falsos instaladores de los navegadores que se muestran en la captura (Internet Explorer, Firefox, Opera y Safari), la aplicación también permite crear falsos instaladores del navegador Chrome de Google y de la aplicación de intercambio de archivos Ares.

La peligrosidad que supone este tipo de programas es alto, debido a que cualquier persona puede manipularlo para crear malware de manera automática sin esfuerzos y diseminarlos a través de cualquier sitio web.

Es fundamental adoptar buenas prácticas en cuanto a la descarga de archivos para prevenir ser víctimas de estas amenazas, y realizar la descarga de las aplicaciones desde sus sitios oficiales, además de implementar un programa de seguridad como ESET NOD32 que detecta el malware desde un principio.

Jorge

Categories: Alertas, Malware
5 Comments »

Sin lugar a dudas, uno de los temas más apasionantes de las amenazas informáticas lo constituyen su evolución a lo largo del tiempo.

Por tal motivo, hemos ampliado (y seguiremos haciéndolo) nuestro artículo Cronología de los virus informáticos: la historia del malware agregando información detallada sobre los acontecimientos que marcaron y hacen la historia del malware.

En el mismo encontrarán muchísima información que ayudará a comprender el comportamiento de estas amenazas, descubrir cómo surgieron y por qué representan uno de los peligros más preocupantes en la actualidad.

Y, para Ud. ¿cuáles fueron las amenazas más interesantes de estos años?

Jorge

Categories: Educación, Informes
No Comments »