Como lo hacemos habitualmente, a continuación presentamos los aspectos más relevantes que se abordaron durante el mes de septiembre en materia de seguridad antivirus:

• A principios de mes se conoció el empleo de ciertas actividades maliciosas para atacar a los usuarios utilizando como plataforma una de las aplicaciones más populares de comunicación a través de mensajería y videoconferencias: Skype. Una de las actividades maliciosas llevadas a cabo en esta plataforma es la propagación de spam, diseñado para redireccionar al usuario, por intermedio de un enlace que se envía en el mensaje, hacia una página con servicios de videoconferencia para adultos. Asimismo, se conoció la propagación de un troyano, detectado por ESET NOD32 como Win32/Skytap, desarrollado con la finalidad de grabar las conversaciones realizadas a través de este programa.
• El rogue fue otro de los códigos maliciosos que dejo rastros durante este mes, a tal punto que incluso el New York Time vio afectada su página principal con uno de ellos.
• Como siempre el empleo de Ingeniería Social no deja de ser una constante. Casos como el correo que aprovechó la noticia sobre el fallecimiento de Patrick Swayze para propagar códigos maliciosos, demuestran que estas estrategias no pasan de moda.
• Nuevamente los ataques del tipo multi-stage tuvieron un índice de explotación muy alto. Un ejemplo concreto fue el que se detectó durante la tercera semana del mes, mediante el cual se intentaba explotar vulnerabilidades en Internet Explorer y Firefox. En este sentido, Google confirmó el aumento de sitios maliciosos de este estilo.
• Si bien es habitual que abordemos el tema de las botnets, este mes apareció una botnet de  origen latino con una importante cantidad de equipos infectados en todo el continente.
• Como sabemos, cualquier tipo de archivo puede ser utilizado como vector de infección. En este caso, a través de un archivo del tipo WMA (Windows Media Audio) se detectó la propagación del troyano identificado por ESET como WMA/TrojanDownloader.Wimad.NAF.
• Por último, finalizando el mes, aparecieron nuevas variantes de rootkit diseñados para infectar el sector de arranque de los sistemas operativos Windows con la particularidad de afectar a casi toda la familia de sistemas Microsoft, incluyendo Windows 2008 y Windows 7.

Teniendo en cuenta lo variado de las alternativas y el volumen de propagación de malware, es altamente recomendable la implementación de una herramienta de seguridad antivirus con capacidades de detección proactiva, que permita mantener el equipo libre de malware.

Recordamos también que se encuentra disponible nuestro Ranking de propagación de amenazas de septiembre y el informe de amenazas en los cuales encontrarán más detalles sobre cada uno de los códigos detectados durante el mes. Ambos se encuentran disponibles en nuestro Centro de Prensa.

Jorge

Categories: Reportes mensuales
2 Comments »

El 8 de Septiembre Microsoft publicó al alerta de seguridad 975497, donde se describe una vulnerabilidad en el protocolo SMB (Server Message Block) de los sistemas Microsoft Windows. Las versiones afectadas son Windows Vista, Windows Server 2008 y Windows 7 RC. El parche aún no está disponible, y se espera que el mismo esté disponible en el próximo ciclo de actualizaciones de la compañía.

Mientras tanto, 20 días después, ha sido lanzado el exploit público para aprovechar la vulnerabilidad y poder abrir puertas traseras en los sistemas vulnerables o instalar malware en los mismos. Con la llegada del exploit, es probable que aparezcan gusanos que intenten explotar la vulnerabilidad. Esto obviamente no es certero, dado que la vulnerabilidad no afecta a Windows XP, hoy el sistema operativo más utilizado y preferido por los atacantes.

Hasta que aparezca el parche, Microsoft recomienda como workaround deshabilitar el protocolo SMB o bloquear en el firewall los puertos 139 y 445. Obviamente, según la utilización del sistema esto no será posible para muchos usuarios.

Este tipo de noticias demuestran una vez más que los atacantes poseen capacidades para desarrollar amenazas en tiempos muy breves, incluso antes que aparezcan los parches de seguridad.

De todas formas, luego de haber visto durante 2009 la evolución del gusano Conficker, es recomendable estar atentos a las novedades de Microsoft y aplicar el parche ni bien el mismo este disponible para los usuarios. La importancia de mantener las aplicaciones y sistemas operativos actualizados

Mientras tanto, aplicar algunos de los workarounds sugeridos por Microsoft puede ser una buena práctica, así como también mantener siempre los sistemas con un antivirus con capacidades de detección proactivas para prevenir ante códigos maliciosos.

Sebastián

Categories: Alertas
No Comments »

El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.

En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

• El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
• Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.

Pero, esta “solución” presenta en sí misma algunos riesgos y preguntas tales como:

• El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
• La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
• El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
• Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
• Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
• Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
• Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
• Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
• ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.

Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Cristian

Categories: Declaraciones, Educación, Heurística
2 Comments »

Una de las amenazas que hemos mencionado periódicamente en el blog son los troyanos bancarios del tipo Qhost. Estos, son una familia de amenazas que explotan una técnica denominada pharming local, alterando la información de DNS (sistema de nombres de dominio) en los sistemas infectados para direccionar a los usuarios a sitios maliciosos sin que este lo note.

Una de las particularidades de esta amenaza es la facilidad con la que pueden ser creadas nuevas variantes. Por lo tanto, regularmente aparecen más versiones de esta familia de amenazas que es detectada por ESET NOD32 como Win32/Qhost.[variante].

Una de las preguntas que nos realizan los usuarios con frecuencia es cómo se puede limpiar el archivo hosts que modifica el malware al infectar un sistema. Los pasos que deben realizarse para limpiar este archivo son los siguientes:

1. Buscar la carpeta donde se aloja el archivo hosts. En sistemas operativos Microsoft Windows, podrán encontrarlo en C:\Windows\System32\drivers\etc.

2. Hacer doble clic en el archivo, el sistema consultará al usuario con qué aplicación abrie el mismo. Seleccionar el bloc de notas (notepad) como se muestra aquí.

3. A continuación se observará el archivo hosts, del cual se describen tres secciones:

a. Esta sección es la de comentarios. Estas líneas son a modo informativo (comentarios) y no influyen en la configuración del sistema.
b. La íinea indicada en esta sección es la que viene configurada por defecto en todos los sistemas. Su presencia es correcta y no influye.
c. Si más allá de la línea anterior, aparecen otras (importante: que no han sido agregadas ex-profeso por el administrador del sistema), es probable que el sistema esté infectado. Más aún si los dominios que aparecen en el sector derecho de la línea corresponde a una entidad financiera o bancaria. En este caso, la imagen muestra un sistema infectado con la variante Win32/Qhost.NJP que afecta bancos mexicanos.

4. Eliminar las lineas agregadas por el troyano con el editor de texto.

5. Guardar el archivo y cerrarlo.

Con estos sencillos pasos, el sistema no direccionará incorrectamente a los dominios afectados por la amenaza y el archivo hosts estará limpio.

También es posible encontrar el archivos hosts en plataformas UNIX (o Linux) y MAC OS. En ambos casos, la ruta donde frecuentemente se aloja en la ruta /etc/hosts. Cabe mencionar que en cualquier sistema operativo, la modificación de este archivo queda restringida por defecto a usuarios con permisos administrativos.

Aunque los usuarios que posean una solución antivirus estarán protegidos ante esta familia de troyanos, el mismo no puede ser ejecutado con éxito si el usuario está logueado en el sistema con una cuenta con permisos limitados. Vale entonces la oportunidad para recordar que es una buena práctica utilizar una cuenta de usuario sin permisos administrativos en el uso cotidiano de la computadora.

Recuerden que pueden encontrar más información sobre esta técnica en nuestro artículo titulado ataques de pharming local.

Sebastián

Categories: Malware
7 Comments »

A partir de la celebración de la conferencia BlackHat 2009, se dio a conocer otra alternativa para atacar los sistemas informáticos a través de códigos maliciosos del tipo rootkit. Se trata de lo que se conoce bajo el término de Bootkit.

Quizás muchos se preguntarán de qué se trata esto. Bueno, un bootkit es un tipo de rootkit que escapa de la estructura y funcionamiento de los rootkits convencionales, caracterizándose particularmente por comprometer el sector de arranque del equipo cambiando su código original, una actividad que hemos conocido hace muchos años atrás con algún que otro virus.

Teniendo en cuenta que los desarrolladores maliciosos incorporan en sus creaciones componentes de rootkit con el propósito de abusar de sus funcionalidades (esconder procesos, claves en el registro, archivos, entre otros), esta generación propone una modalidad de ataque cuyas instrucciones, más agresivas porque incluso infecta los discos cifrados con TrueCrypt, pueden ser utilizadas para intentar evadir los sistemas de detección al alojarse puntualmente en la MBR (Master Boot Records).

En este sentido, la propuesta presentada en la conferencia anual antes mencionada, se llama Stoned Bootkit. No es la primera vez que se abordan estas características ya que comúnmente son utilizadas por el malware actual, y entre los antecedentes más relevantes podemos mencionar el famoso virus Stoned (en el cual está basado esta versión), VBootkit aparecido durante el 2007 con una versión actual diseñada para ejecutarse incluso en Windows 7, y MebRoot (del que ESET ha desarrollado una herramienta para eliminarlo), también conocido como Sinowall.

En la siguiente captura se aprecia el soporte para los diferentes sistemas operativos que puede infectar esta amenaza junto a su “firma” (Your PC is now Stoned! …again!) que hace alusión a la leyenda que generaba el virus Stoned del año 1987 al momento de infectar un equipo.

Al igual que los rootkits, los bootkits no nacieron bajo la etiqueta de código malicioso sino como pruebas de concepto (PoC) destinadas a estudiar los posibles modelos de ataque que se podrían producir por debilidades en las arquitecturas de diferentes plataformas. Sin embargo, la cuestión es que generalmente las PoC’s suelen ser publicadas y es en ese momento donde comienza a producirse un problema masivo, como consecuencia de la utilización del código fuente para el desarrollo de malware.

Como verán, el problema no es trivial debido a que no puede ser solucionado de forma convencional, principalmente por el hecho de ejecutarse instancias antes del arranque del sistema operativo, y siguiendo la misma lógica, su detección tampoco es trivial.

Por lo tanto, es sumamente importante confiar la seguridad antivirus a soluciones de seguridad proactivas como las que ofrece ESET NOD32, que en este caso detecta el malware bajo el nombre de Win32/StonedBoot.A.

Jorge

Categories: Alertas, Malware
5 Comments »