En la primera parte de esta entrega, hemos comentado sobre el gusano Win32/VB.[variante], un código malicioso que oculta archivos y carpetas legítimos y los reemplaza por ejecutables maliciosos.

Además de realizar esta acción maliciosa (ocultar archivos o carpetas), este malware posee muchas instrucciones para dificultar que el usuario pueda recuperar dichos archivos. Estas acciones, son extremadamente molestas para los usuarios que han sido infectados y, muchos sin conocimientos técnicos, suelen pensar que sus archivos se han perdido y formatean la unidad en la que estaban alojados.

Recuerden, lo más importante en materia de protección es la prevención. Sin embargo, si se han infectado, les dejo aquí un resumen de las principales modificaciones que hace esta familia de gusanos en el sistema, y la clave del registro de Windows que es afectada:

1. Elimina la opción de ver las opciones de configuración de las carpetas. Esta característica es claramente una dificultad para recuperar los archivos que se han ocultado:

Clave del registro afectada: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\NoFolderOptions

2. Deshabilita el acceso a la administración gráfica del registro. Este paso es fundamental, ya que dificulta la remediación del resto de las modificaciones, para aquellos usuarios sin conocimientos de otras vías de editar el registro.

Clave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

3. Deshabilita el administrador de tareas. Esto evita que se vean los procesos en ejecución, y también dificulta la detección del gusano.

Clave de registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr

4. Deshabilita la opción de restaurar el sistema. De esta forma, el usuario no podrá volver a un estado anterior del sistema desinfectado.

Clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

5. Deshabilita la línea de comandos (cmd.exe)

Clave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD

6. Deshabilita la administración de usuario en el Panel de Control. De esta forma, el usuario no podrá crear otra cuenta administrativa en el sistema.

Clave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl

Otras claves del registro que son afectadas por algunas variantes son:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: oculta los archivos ocultos
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: oculta las extensiones de los archivos
• KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideClock: oculta el reloj del sistema
• KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind: deshabilita el botón de buscar
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose: deshabilita el botón de apagar el sistema
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun: deshabilita la ejecución de ciertos comandos

Como verán, esta familia de gusanos posee todas las instrucciones para molestar al usuario. Recuerden la importancia de contar con una solución ante códigos maliciosos como ESET NOD32, de forma tal de prevenir la infección, y no tener que utilizar nunca la información que describimos en este post.

Importante: la manipulación del registro de Windows debe ser realizada por usuarios con conocimientos del mismo, ya que su incorrecta modificación puede afectar la funcionalidad del sistema operativo.

Sebastián

Categories: Malware
7 Comments »

La semana pasada hemos tenido el placer de anunciar el ganador del Mejor Trabajo de Investigación en Seguridad Antivirus realizado por  ESET Latinoamérica y correspondiente al año en curso. El beneficiario del premio tendrá todos los gastos de transporte y estadía pagos para participar del evento organizado por la prestigiosa publicación y certificación Virus Bulletin, donde expertos de todo el mundo se darán cita para dictar conferencias magistrales sobre seguridad antivirus.

En esta ocasión el alumno ganador ha sido Carlos Andrés Castillo Londoño perteneciente a la Pontifica Universidad Javeriana de la ciudad de Bogotá, Colombia a quien desde ESET Latinoamérica felicitamos por el importante logro obtenido desde el punto de vista académico pero también personal, por lo que significa el viaje y la presencia en un congreso internacional del prestigio de Virus Bulletin.

A continuación compartimos el trabajo de investigación Sexy View: El inicio de las Botnets móviles realizado por Carlos y, como él mismo nos cuenta:

El artículo pretende evaluar si el malware SymbOS/yxes.Alworm, como mecanismo distribuidor y generador de una Botnet, representa actualmente una amenaza real para la seguridad informática en dispositivos móviles inteligentes. Esto se podría considerar como el inicio de la era de las Botnets móviles teniendo en cuenta que, actualmente, solamente  existen registros de este tipo de amenazas en los computadores tradicionales.

Aprovechamos para agradecer y felicitar a todos los concursantes, quienes con este esfuerzo y el potencial observado en sus respectivos trabajos demuestran el conocimiento que existe en la región sobre la problemática del malware y como enfrentar la misma.

En la próxima edición esperamos contar con otros estudiantes interesados por la seguridad antivirus y también en viajar, porqué no.

Cristian

Categories: Certificaciones, Educación
5 Comments »

Uno de los principales consejos que hemos comentado gran cantidad de veces aquí en el Blog, y en nuestros seminarios educativos en Latinoamérica, es la importancia de la prevención, como principal característica de la protección ante códigos maliciosos.

El antivirus funcional y actualizado debe trabajar en modo residente y así ofrecer la mayor protección para la que esta preparado: prevenir que un código malicioso se ejecute en el equipo. Una vez que el sistema se encuentra infectado (ya que el usuario no tenía activo el antivirus, o directamente no tenía uno instalado), el antivirus será capaz de detectar la amenaza y eliminarla, pero muchas veces, el código malicioso ha realizado modificaciones en el sistema que pueden ser muy molestas para los usuarios, y que hacen que se continúe con problemas, a pesar de haberse eliminado el código malicioso del equipo.

Tal es el caso de la familia de gusanos detectada por ESET NOD32 como Win32/VB.[variante] gusano, de la cual hemos recibido gran cantidad de consultas en las últimas semanas dados sus índices de propagación, que están en aumento.

Esta familia, son códigos maliciosos desarrollados en Visual Basic, que poseen la característica de copiarse en el sistema en lugar de archivos o carpetas ya existentes, y reemplazarlas por versiones ejecutables.

Según la variante, son modificados archivos de Microsoft Word, imágenes, o carpetas, entre otros. Por ejemplo, un sistema infectado con la variante Win32/VB.NJU gusano, verá de la siguiente forma su disco C en el sistema (nótese la columna tamaño de la supuesta carpeta):

Todos los archivos son copias del gusano, por lo tanto el usuario estará ejecutando el código malicioso ingresando a cualquier carpeta de su unidad C. Si se habilitan la visión de archivos ocultos y de extensiones de archivos, puede observarse claramente que las carpetas originales han sido ocultadas, y reemplazadas por las copias del código malicioso con extensión EXE ejecutable:

Aquellos usuarios que no han prevenido la ejecución del código malicioso, se encuentran con problemas luego de la desinfección, ya que sus carpetas o archivos han sido ocultados, y deben ser restaurados sus atributos de forma manual.

Lo interesante de este gusano, es que recupera una característica que se encuentra en disminución en el malware actual: las acciones destructivas del sistema. La utilización del malware para obtener dinero, las botnets y el robo de información, hacen que la mayor parte de los nuevos códigos maliciosos, no posean características destructivas en el sistema, ya que justamente necesitan que el usuario utilice el equipo para su cometido.

Claramente, aunque en disminución, todavía existen desarrolladores de códigos maliciosos con intenciones meramente dañinas.

Sebastián

Actualización: la serie de post continúa en Win32/VB: Una familia que sabe esconderse (II)

Categories: Malware
4 Comments »

El índice de propagación de aplicaciones maliciosas tipo rogue, ha crecido notablemente en los últimos tiempos alcanzando tasas de infección preocupantes que, sumado a los diferentes mecanismos que sus desarrolladores crean constantemente para lograr captar la atención de las potenciales víctimas, hace del rogue un peligro constante y latente para cualquier equipo conectado a Internet.

En los últimos meses nuestro Laboratorio de Análisis e Investigación ha expuesto algunos casos sobre rogue que combinan características propias de otros códigos maliciosos como el Adware, o aquellos que realizan actividades más concretas como la manipulación de los DNS del equipo y la descarga intencional de otros tipos de malware, ampliando el abanico de riesgo para los usuarios que no están al tanto de estas maniobras de propagación/infección.

En consecuencia, ofrecemos una nueva cobertura, que se agrega a las ya escritas, que intenta dejar en evidencia las aplicaciones dañinas tipo rogue que han aparecido durante los últimos meses:

• Active Antivir
• Advanced Virus Removed
• Adware Professional
• Anti Spy Store
• Antispyware 2009
• Antivirus +
• Antivirus XP Pro
• AV Protection
• Deluxe Protector
• Guard Dog 2009
• Malware Catcher
• Malware Safe
• MalwareDoc +
• Personal Antivirus
• Power Antivirus Scanner
• Privacy Components
• Register Antivirus
• Registry Cleaner 2009
• Registry Cleaner Pro
• Remove Virus Online
• Trusted DNS
• Ultra Antivirus 2009
• Virus Alarm Pro
• Virus Remover Professional
• VSCodec
• Win PC Antivirus 2009
• Win PC Antivirus 2010
• XP Deluxe Protector

ESET NOD32 detecta y bloquea de forma proactiva cada una de estas amenazas contemplando en esa detección a toda la familia de estos programas dañinos gracias a sus mecanismos de detección heurísticos. Lo que demuestra una vez más, la importancia de implementar una solución de seguridad antivirus de estas características.

Jorge

Categories: Rogue
8 Comments »

Como muchos lectores ya sabrán, los atacantes informáticos están en constante búsqueda por encontrar nuevas formas de realizar sus ataques. Y tal es el caso de quienes envían spam, con publicidades no deseadas.

En esta oportunidad, hemos recibido varios ejemplares del siguiente correo electrónico (o similares):

Una vez más, la ya clásica estrategia de Ingeniería Social de tentar al usuario con postales electrónicas. Evidentemente, estas siguen siendo de alta efectividad para quienes propagan estas amenazas.

En este caso en particular, podrán observar que el enlace apunta a Google Groups, la plataforma de Google para crear grupos de correo. Si el usuario accede al grupo, podrá observar que el mismo posee un nuevo enlace, que finalmente direcciona a un sitio de venta de viagra.

Como muchos usuarios ya han sido alertados sobre la importancia de no hacer clic en enlaces de correos, y especialmente cuando estos corresponden a dominios desconocidos, los atacantes utilizan un sitio de confianza como Google Groups, actuando de intermediario. Lamentablemente, en la navegación web, aún es mayor la cantidad de usuarios que hacen clic en enlaces de este tipo.

Es importante que, de acceder a estos grupos estos sean reportados como spam. De esta forma, Google Groups mostrará una advertencia a los usuarios que posteriormente intenten acceder al mismo sitio, como la que se observa en la siguiente imagen (muchos de los grupos ya poseen la advertencia):

Hemos detectado gran cantidad de estos correos durante el fin de semana, y es de esperar que continuarán llegando a sus casillas. Como verán, los spammers aprovechan cualquier recurso que exista a su disposición, que les permita propagar sus publicidades no deseadas.

Sebastián

Categories: Spam
1 Comment »