Luego de nuestro post de ayer, En estas fiestas: cuidado con las postales, un día más tarde podemos afirmar que el consejo no ha sido en vano. A pesar de que estuvo “dormido” durante medio año, el troyano Waledac vuelve a la carga demostrando que su especialidad es aprovechar acontecimientos especiales . Su última aparición había sido en Julio, para el Día de la Independencia de Estados Unidos, cuando se propagó como falso video de YouTube. En el día de ayer, se ha descubierto la reaparición de este código malicioso, parte de una de las botnets más activas durante 2009, abocada principalmente al envío de spam.

En esta oportunidad, la botnet ha comenzado a envíar mensajes de correo no deseados con asuntos relacionados al fin de año, y provee un enlace a una supuesta postal de salutación por el nuevo año. Algunos de los asuntos que se han estado utilizando (todos en idioma inglés) son:

• Happy New Year 2010 (en español, “Feliz año nuevo 2010″)
  
• Welcome 2010! (en español, “¡Bienvenido 2010!”)
• New Year Wishes! (en español, “¡Deseos para este nuevo año!”)
• Happy New Year To U! (en español, “¡Feliz año nuevo para tí!”)

Si el usuario accede al enlace, observará una imagen (no muy emocionante) con fuegos artificiales y un deseo de un feliz año nuevo:

A diferencia de los ataques anteriores, en dónde se utilizaban archivos ejecutables camuflados en programas benignos (falsas postales, videos, etc.), en esta ocasión los atacantes han comenzado a utilizar una clásica estrategia de Drive-by-Download. Si se observa el código fuente de la página, se puede observar que posee un script malicioso:

Si el usuario visita el sitio web con una versión vulnerable de Internet Explorer, se pondrá en ejecución algunas de las variantes disponibles a la fecha, todas detectadas proactivamente por ESET NOD32 como JS/Exploit.Pdfka.ASD y como variantes del troyano Win32/Kryptic.BPL.

Recuerden estar atentos y no hacer clic en enlaces de correos que contengan temáticas de este tipo, caso contrario sus sistemas se infectarán.

Aprovechamos la oportunidad, desde el Laboratorio de ESET Latinoamérica, y a pocas horas de empezar un nuevo año, de compartir con ustedes los mejores deseos para el 2010, y uno en particular: que ¡no se infecten!.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas, Malware
1 Comment »

Como anunciamos hace unas semanas, en nuestro seminario Prácticas de prevención de malware para estas fiestas, las últimas semanas del año son aprovechadas por los atacantes utilizando dichos acontecimientos como técnica de Ingeniería Social para engañar a los usuarios y propagar sus amenazas.

Tal es el caso de falsos correos en nombre de gusanito.com que se están propagando por Internet por estos días. Se trata de un correo electrónico que dice contener una postal animada. Es interesante observar como los enlaces apuntan a un dominio que dice estar relacionado con las fiestas (http://[ELIMINADO]denavidad.net). Este tipo de estrategias son utilizadas para obtener la confianza de la víctima, y que esta sospeche que el sitio es benigno.

Si el usuario es engañado, y visita el enlace, se descargará un archivo malicioso que es detectado por ESET NOD32 como Win32/VB.NUB gusano, un troyano a robar información confidencial del equipo y del usuario infectado.

Recuerden que sobre esta temática hemos desarrollado el informe Prácticas de prevención de malware para estas fiestas, que detalla las principales precauciones que debe tener el usuario para evitar exponerse a este tipo de amenazas.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas, Malware
6 Comments »

Parecería ser que los responsables de algunas de las botnets ZeuS que se encuentran In-the-Wild, se entretienen buscando nombres llamativos y ampliamente buscados en Internet para formar las direcciones web mediante las cuales propaga su troyano.

Hace unos días contaba el caso de la utilización del nombre de un servicio apoyado por el concepto Cloud Computing de Amazon (Amazon EC2) para reclutar zombis. Ahora, la estrategia se encuentra canalizada en aprovechar como cobertura el nombre de ESET NOD32 Antivirus.

Su modus operandi es el siguiente: bajo el dominio dragelife.[ELIMINADO].ru se establecen diferentes direcciones web desde las que el botmaster, o cualquiera de los otros actores delictivos (spammers, phishers, etc.), lleva a cabo el ataque. De esta manera, y en este caso, las direcciones son las siguientes:

• dragelife.[ELIMINADO].ru/csserver/csterorist.exe
• dragelife. [ELIMINADO].ru/film/video.bin
• dragelife. [ELIMINADO].ru/webupdatesNOD32/updater.php

La primera de las direcciones corresponde al troyano que se encargará de transformar la computadora víctima en un zombi. Este troyano es detectado por ESET NOD32 como una variante de Win32/Injector.ALG. A continuación podemos apreciar una captura que muestra el proceso de descarga:

La segunda dirección, corresponde al archivo de configuración de ZeuS. En el mismo, se encuentra establecida la información de cada uno de los componentes que forman parte de la estructura de la botnet.

La tercera dirección corresponde a la dropzone (zona de saltos) de ZeuS. La dropzone es un servidor en el cual se almacenan los datos recolectados desde cada una de las computadoras zombis que forman parte de la botnet. En este caso, la dropzone se encuentra alojada en Rusia, país del cual es originario ZeuS.

En este sentido cabe aclarar que el concepto de servidor cuando nos referimos a botnets pueden ser dos: uno, que una computadora zombi oficie de servidor y dos, que se aloje la administración de la botnet en servidores específicamente creados para alojar actividades fraudulentas.

Como podemos deducir, cada módulo se encuentra alojado en diferentes sectores de la estructura de ZeuS, siendo la finalidad de esta estrategia, evitar que los investigadores encuentren los sectores de forma sencilla.

Sin embargo, es precisamente en la tercera dirección donde la cobertura disuasiva utiliza el nombre de ESET NOD32 Antivirus. Bajo el nombre webupdatesNOD32 intenta simular que esta carpeta aloja archivos de actualización para nuestro antivirus, ofreciendo su acceso a través de un archivo llamado updater.php.

Cabe destacar que a lo largo de su periodo de vida (casi tres años), ZeuS ha recurrido una infinidad de excusas para reclutar zombis, constituyendo en la actualidad una de las botnets más grandes y con mayor índice de actividad.

Como siempre, nuestra recomendación es confiar la seguridad antivirus en productos ampliamente reconocidos como ESET NOD32 que, independientemente de la estrategia de engaño que se utilice, detecta la amenaza de forma proactiva.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
4 Comments »

Cuando hallamos el caso del video falso del ataque a Berlusconi y luego el del Papa y realizamos el posterior video sobre BlackHat SEO encontramos algunos datos de interés que compartimos a continuación.

Los dominios utilizados fueron registrados todos en Rusia el 12/12/2009 y alojados en un servidor con IP 193.169.13.XXX y por supuesto forman parte del mismo grupo delictivo o asociados de negocio. Algunos de los dominios involucrados son:

• [ELIMINADO]virussofttissue.com
• [ELIMINADO]spysoftware.net
• [ELIMINADO]externaltools.net
• [ELIMINADO]utilityblog.net
• [ELIMINADO]fervirustool.com
• [ELIMINADO]-ty-virus.net
• [ELIMINADO]billingsystem.com
• [ELIMINADO]saryoils.com
• [ELIMINADO]inputconsulting.com
• [ELIMINADO]movement.com
• [ELIMINADO]examine.com
• [ELIMINADO]canner2010.net

Por otro lado siempre (hasta el momento) se descarga un archivo install.exe desde distintos servidores y es modificado continuamente para intentar evitar la detección de los productos de seguridad.  En el caso de  ESET NOD32 siempre los ha detectado en forma proactiva como variantes de Win32/Kryptik.X donde la “X” son las distintas versiones del mismo archivo.

Además cada vez que analizamos uno de los dominios y archivos, los mismos hacen referencia al mismo número de afiliado (affid=34100). Es decir que existen al menos 34.100 delincuentes asociados en este caso:

Este número es utilizado para identificar a los asociados (distintos delincuentes afiliados que propagan el mismo malware) y luego el creador del malware paga un porcentaje por cada descarga e instalación del archivo dañino que cada socio realiza. Es decir que un afiliado cobrará más cuanto mayor sea la cantidad de usuarios engañados y mayor sea la cantidad de sistemas infectados por él.

Esto también puede verse cuando el usuario infectado intenta “registrar” el producto ya que la sitio contactado para realizar el pago a través de tarjeta de crédito también envía el mismo número de afiliado a través de una URL como http://invoice[ELIMINADO].com/buy2.php?affid=34100.

Por este motivo es que se utilizan las técnicas de BlackHat SEO, debido a que estos afiliados  necesitan llevar más usuarios a sus sitios web, para infectarlos y luego cobrar por ello.

Cristian Borghello
Director de Educación

Categories: Ingeniería Social, Malware
6 Comments »

En las últimas horas hemos encontrado numerosos casos de videos falsos del ataque que sufrió el Papa Benedicto XVI por parte de una mujer. Si el usuario realiza una búsqueda determinada, encontrará en las primeras posiciones de (cualquier) buscador supuestos videos que conducen al usuario a la descarga de rogue (falsos antivirus).

Si el usuario hace clic en los enlaces ofrecidos, será dirigido a un dominio desde donde se descarga un malware que ESET NOD32 detecta proactivamente como variantes del troyano Win32/Kryptik.BNZ. En caso de no contar con una protección proactiva, el sistema se infectará.

Este antivirus falso denominado Internet Security 2010 posteriormente descarga otros programas dañinos al sistema entre las que se encuentra:

• Agrega en el registro una llamada a su propio instalador en el directorio C:\Windows\System32\nombre_aleatorio.exe (es el mismo archivo descargado la primera vez).
• Agrega en el registro y en la ruta C:\Documents and Settings\All Users\Datos de programa\número_aleatorio\ un archivo ejecutable con nombre también aleatorio. En este caso se trata del adware Win32/Adware.SecurityTool.AA, el mismo propagado en el caso de Berlusconi.
• Instala un otro adware reconocido como Win32/Adware.AdvancedVirusRemover.B en los archivos temporales de Internet.
• Cuando se abre el navegador descarga una variante del troyano Win32/Daonol y también lo aloja en los archivos temporales de Internet. Este troyano monitorea el tráfico de Internet, roba credenciales de acceso y desactiva herramientas del sistema (administrador de tareas, registro, etc).
• Se instala como rootkit (otra variante Win32/Daonol) de a través de un archivo alojado en C:\Documents and Settings\Nombre_Usuario\Configuración local\Temp\nombre_aleatorio.tmp. Este programa se instala como driver en el sistema y puede ser el causante de numerosos pantallazos azules.

Luego de cada reinicio, intenta asustar al usuario mostrando el siguiente mensaje y comienza una exploración falsa del sistema:

Si su sistema se ha infectado con estas amenazas, puede utilizar ESET NOD32 para eliminarlas, como se puede ver a continuación:

La técnica de engaño utilizada para la infección es la misma que en el caso del video de Berlusconi y puede verse completo en el video de BlackHat SEO preparado por ESET Latinoamérica por ese motivo.

Cristian Borghello
Director de Educación

Categories: Alertas, Análisis de malware, Malware, Rogue
2 Comments »