El próximo día Jueves 19 de Marzo estaremos presentes en la exposición más importante de Seguridad Informática en Argentina, SEGURINFO 2009.

En nuestra primer participación en el evento, Richard Marko, Chief Technical Officer de ESET, dictará la charla “Cibercrimen: El Fin de la Niñez” en el Salón Libertador a las 09.50 hs. Richard es el creador de la Heurística Avanzada de las soluciones de ESET y uno de los Co-Directores de nuestra empresa. Para quienes quieran conocer más sobre él, pueden leer la entrevista a Richard Marko que publicamos en este mismo blog (y su segunda parte). Durante la charla, intentará contestar preguntas como ¿Quién está creando software malicioso? ¿Por qué hay tanta gente que lo hace? ¿Somos capaces de luchar contra ellos? ¿Qué nos depara el futuro?

A las 14.30 hs., en el Salón Ombú A, Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica estará a cargo del taller práctico titulado “Mi secretaria me infectó… de vuelta: Taller Práctico sobre malware”. En este espacio, que el año pasado fue un éxito, serán tratados casos frecuentes de infección de malware con trabajos grupales, discusiones, y alta participación de los asistentes.

Para finalizar, en el Salón Retiro A a las 18hs., Cristian Borghello e Ingnacio Sbampato, Vicepresidente de ESET Latinoamérica, dictarán la charla “Conficker: Gestión de Seguridad del Siglo Pasado“, donde estudiarán los efectos del gusano Conficker, que afectó a 1 de cada 4 argentinos.

Pueden ver más detalles de nuestra participación en nuestra nota de prensa.

¡Allí nos vemos!

Sebastián

Categories: Eventos
2 Comments »

La amenaza del gusano Waledac, cuya difusión se hizo masiva por el día de los enamorados, sigue latente. Como ya habíamos anunciado desde el laboratorio de ESET Latinoamérica, sus autores mantienen un constante trabajo por mantener en crecimiento la propagación de la amenaza.

Sobre finales de febrero, cuando el mundo se olvidaba de San Valentín, todos los sitios que contenían la amenaza fueron alterados, modificando sus técnicas de Ingeniería Social por el ofrecimiento de cupones de descuento.

Tres semanas después, detectamos nuevamente la modificación de las gráficas en los dominios afectados y, por lo tanto, las técnicas de engaño. El nuevo aspecto de esta amenaza es el siguiente:

Como se puede observar, el sitio anuncia un atentado en una ciudad determinada y ofrece un video informativo al respecto. Para visualizar el video, se informa al usuario que debe descargar Flash Player, siendo finalmente un enlace al código malicioso.

Vale la pena resumir las similitudes, además de los dominios utilizados, que corroboran la continuidad de la amenaza:

• El usuario llega al sitio web a través de un correo electrónico no deseado
• El sitio web posee la descarga de un archivo con extensión .EXE
• El sitio web posee un iframe que utiliza una técnica de  Drive-by-Download para infectar
  
• Los archivos continúan realizando tareas maliciosas similares en los sistemas

El correo electrónico que recibe el usuario mantiene las mismas propiedades que los utilizados anteriormente: pocas palabras y un enlace al sitio malicioso.

Sin embargo, además de la temática, aparecen algunas diferencias en este último cambio:

• El sitio web posee, además de los archivos maliciosos, dos links inofensivos: uno a la Wikipedia y otro a una búsqueda de Google.
• Los nombres de los archivos descargados ofrecen nuevas variantes relacionadas a la temática, como main.exe, contact.exe, news.exe.
• El sitio web anuncia el atentado en diferentes ciudades, según la dirección IP que acceda al sitio web. De esta forma, las atacantes aumentan la probabilidad de que la noticia sea de impacto para el usuario.

En la imagen superior se puede ver un supuesto atentado en la ciudad de Buenos Aires y la siguiente imagen muestra la variación del anuncio, accediendo desde diferentes lugares del mundo:

Los usuarios de ESET NOD32 siguen protegidos ante esta cambiante amenaza, ya que los archivos son detectados por heurística como “variantes de Win32/Waledac“.

Los creadores de Waledac continúan trabajando para aumentar la propagación y lograr que esta sea una de las amenazas de mayor difusión en lo que va del año.

Actualización 01/04/2009: desde ESET hemos publicado un informe sobre Waledac.

Sebastián

Categories: Alertas, Malware
1 Comment »

Un usuario nos ha enviado un correo (MD5: 8bb2148347676f9265ffea70b58b0333 – contraseña “eset-latinoamerica”) y nos pregunta si el equipo desde el cual fue enviado se encuentra infectado.

¿Qué le responderemos a nuestro usuario? Justificar la respuesta.

Notas: los códigos no contienen rutinas que puedan dañar el sistema del usuario, quien es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo. La detección de los archivos como malware por parte de algunos antivirus corresponde a un Falso Positivo.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Cristian

Categories: Desafío
24 Comments »

Es mentira lo que decimos siempre que los archivos PDF pueden ser utilizados para hacer daño o infectar a los usuarios y también aquello de que se puede insertar scripts en ellos.

A quien se le ocurriría semejante tontería. Para comprobar que estos dichos efectivamente nada tienen que ver con la realidad podemos ver una de las últimas actualizaciones de ESET NOD32, en donde aparece la detección de algunos exploit:

Nota: hasta aquí el texto ha sido irónico.

Los nombres marcados en la imagen corresponden a exploits que aprovechan vulnerabilidades en los lectores de archivos PDF y si consideramos que cada una de esas firmas son capaces de detectar genéricamente miles de variantes de un sólo exploit, ¿podemos imaginar cuántas formas distintas existen de infectarnos a través de archivos PDF?

Cosas semejantes sucenden todos los días y por eso es fundamental actualizar todas las aplicaciones. Por favor actualice su lector de archivos PDF.

Cristian

Categories: Curiosidades
1 Comment »

Recientemente, nuestro Laboratorio ha encontrado nuevos casos de Ingeniería Social mediante el cual se pretende engañar a los usuarios para que descarguen un malware, a través de falsos correos electrónicos que dicen provenir de las empresas de telefonía móvil Movistar y Claro.

Como siempre, los correos describen supuesto servicio gratuitos, fotos o videos a los cuales el usuario puede acceder descargando algún programa a su equipo. Un ejemplo es el siguiente:

Se trata en realidad de otro método de engaño que pretende explotar la confianza de usuarios desprevenido para infectar sus sistemas a través de un código malicioso que ESET NOD32 detecta bajo el nombre Win32/TrojanDownloader.Delf.

No es la primera vez que la imagen de compañías de telefonía celular son utilizadas por usuarios malintencionados para propagar amenazas de este estilo, y desde el Laboratorio de ESET Latinoamérica hemos advertido otros casos como el falso MSN Messenger SMS que propaga malware, la falsa promoción de Claro y tantas otras que hemos dado cuenta.

Es importante que al recibir mensajes similares, actuemos con mucha precaución y cautela, verificando, antes de hacer clic sobre cualquier enlace, desde la barra de tareas, hacia dónde nos redirecciona el vínculo.

Jorge

Categories: Ingeniería Social, Malware
No Comments »