En Noviembre se está cumpliendo un año de la aparición de un malware que los lectores de este blog conocerán muy bien: Conficker.

A diferencia de otros códigos maliciosos, cuyo ciclo de vida suele ser más corto, el gusano un año después continúa infectando sistemas en valores que no son frecuentes entre el malware. Por tal motivo, hemos desarrollado un artículo describiendo los principales aspectos de este código malicioso, bajo el título “Conficker en números“. Comparto con ustedes la introducción del mismo:

Dicen que una imagen vale más que mil palabras, pero… ¿cuánto más vale un número?

Los números han acompañado a la humanidad desde los principios de la historia. Integran un sistema de comunicación que supera, incluso, barreras idiomáticas.

En el presente texto será relatada la historia del gusano Conficker desde una perspectiva numérica.

A 1 año de su aparición como amenaza, el mismo se ha caracterizado por importantes tasas de propagación e infección, gran cantidad de variantes, y características en su desarrollo novedosas y altamente peligrosas.  Los números que dejó Conficker, luego de 12 meses de actividad, son suficientes para graficar qué significará este gusano en la historia del malware, y cuánto es posible aprender de él.

En las siguientes páginas se narrará una historia. Las palabras contarán lo que muestran los números, si es que éstos no hablan por sí solos.

Entre otros datos, en el informe podrán encontrar la siguiente gráfica, que detalla los porcentajes de detección del gusano según nuestros informes mensuales de las amenazas más destacadas y su posición en el ranking. Como se puede observar, Conficker ha logrado mantenerse activo incluso doce meses después de su aparición, destacándose en los primeros lugares del ranking mes a mes:

Si quieren conocer más en detalle la historia de este primer año de vida del gusano, pueden acceder al Centro de Amenazas y descargar el informe “Conficker en números“.

Sebastián

Categories: Educación, Malware
1 Comment »

Al igual que el año pasado, el equipo de ESET Latinoamérica se suma a la Semana de la Seguridad 2009, una iniciativa del gobierno argentino a través de ArCERT, que pretende realizar durante una semana actividades de concientización en materia de seguridad de la información.

Dada la importancia que hemos remarcado desde ESET en lo que respecta a Educación de los usuarios, este año nos sumamos nuevamente con un seminario en línea que realizaremos para todos aquellos usuarios que deseen aprender un poco más sobre cómo cuidar sus sistemas y su información.

Bajo el título “Buenas Prácticas de Seguridad contra el malware” estaremos compartiendo con los usuarios una serie de consejos que serán de utilidad para minimizar la exposición a ataques de códigos maliciosos u otros relacionados.

El evento está orientado a cualquier usuario de computadoras y es gratuito. Los lectores pueden sentirse libres de difundir y compartir el evento con quienes ustedes deseen, ya que el mismo es de acceso público. Aquí tienen los datos del evento:

• Día: 26 de noviembre de 2009
• Horario: 15:00 a 16:30 hs. (huso horario GMT -03:00, Buenos Aires, Argentina).
• Tema: Buenas Prácticas de Seguridad contra el malware
• Contraseña del evento: SemanaSeguridad2009 (probar en caso de problemas con “SemanaSeguridad”)
• Dirección para participar del evento: https://eset.webex.com/eset/onstage/g.php?t=a&d=927499657

Como consejo, les recomendamos chequear el funcionamiento del sonido en sus sistemas antes de acceder al evento. No es necesaria la inscripción al mismo, solo deben acceder a la URL desde 15 minutos antes del comienzo del seminario.

Obviamente que nuestros lectores del resto de Latinoamérica pueden también acceder al evento. Como siempre, los esperamos.

Sebastián

Categories: Educación, Eventos
6 Comments »

A pocos días del lanzamiento definitivo de Windows 7, aparece la primer vulnerabilidad 0-day para este sistema operativo. Se trata del descubrimiento por parte de un tercero de un error en el protocolo SMB (Server Message Block) que puede generar una denegación de servicio en el sistema remoto, congelando la pantalla, el mouse y el teclado del sistema afectado.

Microsoft ya ha publicado un boletín de seguridad (977544) alertando a los usuarios sobre el inconveniente, que dice:

Microsoft está investigando reportes públicos sobre una posible denegación de servicio causada por una vulnerabilidad en el protocolo SMB. Esta vulnerabilidad no puede ser utilizada para tomar el control de un sistema o instalar software malicioso en el sistema del usuario. De todas formas, Microsoft está al tanto de un exploit público disponible para la vulnerabilidad. Microsoft no ha tenido conocimiento de ataques activos del exploit o impacto en usuarios hasta el momento. Microsoft está monitorizando la situación para mantener a los usuarios informados y proveer una solución de ser necesario.

La vulnerabilidad también afecta a los sistemas Microsoft Windows 2008 R2. Se supone que Microsoft liberará el parche necesarios a la brevedad, aunque esto no ha sido oficialmente confirmado por la empresa.

Por el momento, no hay solución disponible para la vulnerabilidad, por lo que es recomendable estar atentos para avanzar con las soluciones provistas por Microsoft.

Cabe destacar que, como menciona el boletín, esta vulnerabilidad no puede ser explotada por un gusano como sí a ocurrido en casos como Conficker, y solo puede ser aprovechada en ataques dirigidos.

Sin embargo, queda en claro una vez más la importancia de mantener actualizados los sistemas operativos y las posibilidades de que cualquier sistema (incluso los más modernos) puedan sufrir ataques de este tipo.

Sebastián

Categories: Alertas
2 Comments »

El rogue constituye una grave amenaza para cualquier usuario. Sus metodologías de propagación e infección son cada vez más elaboradas y sus consecuencias cada vez más agresivas. Es por ello que desde nuestro Laboratorio de Análisis e Investigación de ESET Latinoamérica, llevamos un estudio detallado sobre la evolución de este tipo de malware, y de los cuales a continuación dejo un listado con los nombres de algunos de ellos; que además fueron motivo de análisis:

• Advanced Virus Remover
• AdwareHelp 2009
• Antispyware System Security
• CoreGuard
• Antivirus 2009
• Delete All Spyware
• Easy Check Poison Pro
• Free Defense
• General Antivirus
• Guard AV
• Home Antivirus 2009
• Intelinet internet security
• Internet Check
• Max PC Secure
• Nortel Antivirus
• Omega AntiVir
• P Antispyware09
• PC Scout
• Perfect Defender 2009
• Personal Guard 2009
• Remove Spyware Threats
• Secure Cleaner Solution
• Security Tool
• Smart Protector
• System Protector
• Total Virus Shield
• Tre AntiVirus
• Web Antispy
• Wind Oprimizer
• Windows Mechanic

El interminable volumen de códigos maliciosos del tipo rogue que diariamente buscan comprometer las seguridad de los usuarios constituye un importante problema a nivel global que deja en evidencia la necesidad de contar con soluciones de seguridad antivirus eficientes, eficaces y proactivas. Características naturales de ESET NOD32 Antivirus.

Jorge

Categories: Malware, Rogue
2 Comments »

Luego de la aparición del primer gusano para iPhone, continúan las repercusiones sobre la vulnerabilidad en los Jailbreak Iphone’s.

Unos días más tarde, tal como reporta el blog de ESET en inglés, ha sido descubierto un nuevo malware que aprovecha la misma vulnerabilidad y utiliza la misma herramienta que el gusano, pero se trata de un código malicioso más dañino que el anterior. Se lo ha llamado iPhone/Privacy.A y, a diferencia del primer gusano, que sólo modificaba el fondo de pantalla, este posee dos características particulares:

• No deja ningún indicio al usuario infectado de que el sistema ha sido comprometido
• Posee rutinas para enviar al atacante, los contactos almacenados en el dispositivo infectado

Los investigadores que descubrieron la amenaza han reportado que esta puede funcionar también en iPod Touch y otros sistemas UNIX (como Linux, por ejemplo), en MAC y PC. También hemos confirmado que el mismo código funcionaría en Windows, ya que está desarrollado en Phyton, permitiendo su interoperabilidad independientemente de la plataforma utilizada.

Vale recordar nuevamente, que los usuarios con iPhones que posean Jailbraiking deben ser asegurados a la brevedad, con el procedimiento correspondiente. Los usuarios que no hayan alterado el software de su dispositivo no están expuestos a esta amenaza.

Más allá de este caso en particular,resultan interesantes algunos puntos para aprender de este incidente, que menciono a continuación:

• El corto lapso ocurrido entre el primer incidente, la aparición de un gusano, y la posterior creación de un nuevo malware como evolución de los ataques anteriores. Esto confirma cómo Internet ha colaborado en un rápido aprovechamiento de los códigos maliciosos ya existentes, y cómo los atacantes están preparados para dar rápidas respuestas a sus necesidades.
• Alterar el software propietario puede ser costoso. Se estima que cerca de uno de cada diez iPhones han pasado por procesos de Jailbreaking, que expondrían a los dispositivos a una vulnerabilidad tan elemental como esta. Por lo tanto, siempre hay que tener cuidado y no es recomendable alterar los sistemas operativos con aplicaciones que no pertenezcan al fabricante.
• El malware multi-plataforma es más efectivo para los atacantes, pudiendo aprovechar el mismo código (o versiones muy similares con pequeños cambios) para afectar diversos sistemas operativos. Es de esperarse que se comience a observar con mayor frecuencia este tipo de amenazas.

Claramente lo ocurrido en la última semana respecto a esta vulnerabilidad en iPhone ha sido muy gráfico de lo que nos depara el futuro de los códigos maliciosos: atacantes preparados para generar amenazas en lapsos cortos de tiempo y para cualquier plataforma que les permita sacar el mayor provecho de cada ataque.

Sebastián

Categories: Alertas, Malware
1 Comment »