En el día de la fecha hemos detectado una nueva técnica utilizada para propagar spam. Se trata de la utilización de documentos de Google, más específicamente los formularios, que poseen una función para ser enviados por correo electrónico. El aspecto de los mensajes son similares a la siguientes imagen:

Además de introducir un texto publicitario y un enlace, el correo posee una consulta (¿Es bueno para vos?) que el usuario puede contestar y hacer llegar al spammer.

Esta nueva técnica es utilizada para propagar con mayor éxito los correos no deseados, aprovechando que los usuarios son curiosos ante nuevos formatos o nuevos contenidos.

Lamentablemente, el destino de la URL lleva a un sitio farmacéutico, uno de los más utilizados para el envío de este tipo de mensajes.

Para la prevención, es necesario contar con una solución anti-spam, como la incluida en ESET Smart Security y, como complemento, no leer los correos que sean filtrados como no deseados, ni mucho menos seguir sus enlaces.

Sebastián

Categories: Alertas, Spam
1 Comment »

Una vez más nos acercamos a hermosos países de Centroamérica, para compartir con la comunidad nuestros seminarios sobre seguridad antivirus.

Esta semana Jorge Mieres, Analista de Seguridad para ESET Latinoamérica, estará dictando los siguientes seminarios:

• El día martes 19 de mayo, serán dictadas dos charlas (una por la mañana y otra por la tarde) en el evento IntComexpo, en El Salvador.
• El jueves 21 de mayo nuevamente estaremos presentes en el Technology Day, evento que se desarrolla este mes en Honduras.
• El viernes 22 de mayo, cerraremos la semana con la presencia en dos universidades de ese mismo país: Universidad Autónoma de Honduras y Universidad Nacional Católica.

Como siempre, esperamos encontrarlos en cada uno de estos eventos, y es una alegría para nosotros llegar a nuevos países todos los meses.

Sebastián

Categories: Educación, Eventos
No Comments »

La mayoría del malware emplea estrategias de Ingeniería Social aplicada sobre los archivos utilizando nombres similares a los que poseen los procesos legítimos del sistema, como por ejemplo “msss.exe“, “winlogOn.exe“, “scvhost.exe” o “lssas.exe“, precisamente para intentar pasar desapercibidos ante la vista de los usuarios.

Cuando hablamos de los procesos legítimos y nativos del sistema operativo abordamos algunos de los procesos más representativos de Windows y que normalmente solemos encontrar activos porque forman parte esencial del mismo. En esta segunda parte, continuamos explicando más procesos nativos y legítimos de estas plataformas:

• alg.exe: Acrónimo de Application Layer Gateway. Se trata en realidad de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) y Internet Connection Firewall (ICF). Se encuentra alojado en la carpeta system32.
• lsass.exe: Acrónimo de Local Security Authority Subsystem Service, se trata de un proceso netamente relacionado con una la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local. Se encuentra alojado en la carpeta system32.
• explorer.exe: Representa al Explorador de Windows. Es la interfaz gráfica de la shell de Windows que posibilita la visualización de la barra de tareas, el administrador de archivos, el menú inicio y el escritorio del sistema. Se encuentra en la carpeta WINDOWS.
• ctfmon.exe: Se trata de un proceso no crítico que forma parte de la Suite de Ofimática de Microsoft (MS Office) y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.) . El mismo se encuentra alojado en la carpeta system32
• dllhost.exe: Conocido como Microsoft DCOM DLL Host Process, este proceso se encarga de controlar todas aquellas aplicaciones basadas en Librerías de Enlaces Dinámicos (DLL). Se encuentra alojada en la carpeta system32.

Los procesos expuestos representan algunos de los que comúnmente visualizamos en nuestro sistema a través del Administrador de tareas, y de los cuales habitualmente el malware intenta encubrirse para evitar ser detectados a simple vista, por lo que debemos chequearlos para tratar de identificar procesos maliciosos con nombres similares.

Por último, si bien es muy importante identificar cuáles son los proceso legítimos del sistema, bajo ningún punto de vista esto supone el remplazo de la protección provista por una herramienta de seguridad antivirus como ESET NOD32 sino que complementa el nivel de prevención a través del conocimiento.

Jorge

Actualización: Pulsar aquí para ver los post posteriores de la misma serie.

Categories: Educación, Tutoriales
2 Comments »

En los últimos días se ha hecho popular una versión sobre una supuestas fotos desnuda de la cantante Rihanna por lo que los creadores de malware no perdieron el tiempo y si se realiza una sencilla búsqueda en Google sobre ella aparecen diversos sitios que alojan perfiles falsos de la cantante:

Si bien existen cientos de sitios con estas características, llama la atención que algunos de los primeros resultados pertenezcan al servicio Port25 y el otro a SilverLight, ambos de Microsoft. En un foro puede encontrarse enlaces de estas características, a través de Splog:

Al momento de escribir el presente, ambos perfiles ya han sido eliminados por lo que no representan peligro para el usuario.

De todos modos, si se ingresa a cualquiera de las demás búsquedas, se puede encontrar algunos supuestos videos de la cantante mencionada y de cualquier otra persona famosa:

El video se puede reproducir presionando sobre el siguiente botón:

Por supuesto se trata de un engaño y si se presiona sobre el mismo, se estará descargando el rogue y un adware denominado Privacy Center que ESET NOD32 detecta como Win32/Adware.PrivacyComponents.

Cristian

Categories: Alertas, Rogue
6 Comments »

Una de las características principales de los troyanos es que no poseen la capacidad de propagarse por sí mismos, es por ello que siempre se mimetizan para simular ser lo que en realidad no son, y por lo que las estrategias de Ingeniería Social son el arma más preciada de los propagadores de malware para intentar que el usuario ejecute el archivo dañino.

El siguiente caso, de reciente explotación, es la muestra visual que afirma lo anteriormente mencionado haciendo uso de manera conjunta de dos recursos, masivamente utilizados, para propagar malware: la famosa página de videos YouTube y la aplicación Flash Player que permite visualizar videos desde Internet.

Si bien esta maniobra maliciosa no es novedosa, sigue constituyendo uno de los vectores de infección más utilizados por los desarrolladores de malware, precisamente, por la efectividad que lamentablemente todavía posee.

Por ello siempre recomendamos instalar un antivirus con capacidades de detección proactiva como las que ofrece ESET NOD32 a través de su Heurística Avanzada, que detecta esta amenaza bajo el nombre de Win32/AutoRun.Qhost.M.

Jorge

Categories: Alertas, Malware
No Comments »