En las últimas horas hemos detectado gran cantidad de sitios falsos que a través de técnicas de BlackHat SEO (ver video al respecto), simulan ser videos sobre el terremoto que azotó Haití.

Como siempre los sitios falsos son anunciados a través de los buscadores y si el usuario ingresa, se simula una exploración de su sistema:

Como puede verse en la imagen, en la URL si simula una supuesta noticia sobre el huracán pero en la parte inferior se simula la exploración del sistema en busca de malware, el comportamiento típico de un rogue (falsos antivirus).

Además también puede verse que al intentar infectar el sistema ESET NOD32 bloquea  la amenaza identificada como variantes de Win32/Kryptik y Win32/TrojanDownloader.FakeAlert.

Esto demuestra una vez más que la protección proactiva es la mejor manera de mantener su sistema a salvo de los delincuentes que siempre aprovechan cualquier motivo (en este caso un desastre natural) para realizar negocios.

Actualización 14:00 hs: hemos hallado más sitios en la primera página de Google y haciendo referencia a donaciones para la catástrofe ya que en las últimas horas diversas asociaciones se han movilizado con este objetivo:

Debido a que este tema estará vigente varios días se debe extremar las precauciones.

Actualización 17:00 hs: algunos de los dominios involucrados en el BlachHat SEO son lo siguientes (pueden cambiar):

• f1man[ELIMIANADO].net
• [ELIMINADO]optical.com
• seven[ELIMINADO].com
• sciencef[ELIMINADO].com

Los dominios desde donde se descarga el malware son (pueden cambiar):

• fullsecurity[ELIMINADO]c.com
• fullsecurity[ELIMINADO]m.com
• online[ELIMINADO]scan15.com
• online[ELIMINADO]scan17.com
• pc-protect[ELIMINADO]aa.com
• pc-protect[ELIMINADO]q.com

En caso de desear colaborar con los damnificados, estos enlaces llevan a sitios en los que es posible informarse sin correr riesgos :

• Federación Internacional de Sociedades de la Cruz Roja y de la Media Luna Roja
  http://www.ifrc.org/sp/index.asp
• Donaciones en línea
  http://donate.ifrc.org/donate_response_sp.asp
• Haití: el CICR abre un sitio web especial para facilitar el contacto entre familiares
  http://www.icrc.org/Web/spa/sitespa0.nsf/html/haiti-news-140110
• Más información y sitios de confianza en el sitio de Jeff Debrosse, ESET Senior Director of Research
  http://jeffdebrosse.wordpress.com/2010/01/15/haiti-info-and-update/

Cristian Borghello
Director de Educación

Categories: Alertas, Black Hat SEO, Malware
12 Comments »

Para celebrar el comienzo del año hemos retomado uno de los viejos gustos de los lectores de este Blog: los desafíos de ESET Latinoamérica.

En esta edición debemos utilizar nuestro conocimiento web para llegar a la solución, la forma de lograrlo es analizar el código y seguir las pistas, hasta obtener una clave.

El nivel de conocimiento necesario para jugar es básico, pero siempre puede haber algunas sorpresas

Para empezar a jugar sigan este enlace. Esperamos se diviertan resolviéndolo tanto como nosotros haciéndolo y no habrá más ayudas al respecto, solo más acertijos.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Juan Sacco
Analista de Malware

Categories: Desafío
17 Comments »

Crimeware-as-a-Service (Crimeware como un Servicio), también conocido por su acrónimo CaaS, es un modelo delictivo utilizado con fines de lucro y que centra sus objetivos en el empleo del concepto Cloud Computing.

Dentro de este modelo delictivo interactúan de forma activa diferentes socios de negocio y afiliados donde cada uno retroalimenta el circuito delictivo a través de acciones fraudulenta y utilizando Internet como infraestructura.

Un ejemplo concreto de este modelo de negocio delictivo lo vivimos diariamente con las botnets. Es decir, en primera instancia, el botmaster monta su “negocio” ofreciendo diferentes alternativas. Los consumidores de esos “servicios” son otros personajes del mundo delictivo que alimentan sus ganancias, y las del botmaster, a través de otras acciones maliciosas: envío de spam, phishing, propagación de códigos maliciosos, entre muchos otros.

Como apreciamos en la imagen, la estructura global del negocio fraudulento permite la interacción de diferentes células donde cada una de ellas puede estar conformada por uno o varios delincuentes que son, en definitiva, quienes día a día intentan hacer de nuestros equipos un recurso que permita aumentar sus ganancias económicas.

En consecuencia, este ejemplo es sólo uno de los modelos delictivos de la actualidad, pero suficiente para tener una idea del verdadero y potencial problema que puede originar este tipo de amenazas, sobre todo cuando sin lugar a dudas las compañías son más dependientes de las tecnologías informáticas y exponen hacia “afuera” información con algún nivel de criticidad.

Si pretendemos mitigar de forma eficiente los problemas de seguridad generados por malware en la compañía, es fundamental ser proactivos, implementando soluciones altamente reconocidas en el mercado como los productos de ESET, que ofrecen la confianza que se necesita para garantizar un nivel de seguridad adecuado y de acuerdo a las políticas de seguridad definidas por la alta gerencia.

Jorge Mieres
Analista de Seguridad

Categories: Malware
6 Comments »

Al finalizar un año, muchas empresas aprovechan la ocasión para realizar un informe de lo ocurrido en el último año, o bien para pronosticar lo que vendrá en el año siguiente. Tal es el caso del Cisco 2009 Annual Security Report, de la reconocida empresa de networking, que describe las principales amenazas del año.

Resulta interesante el lugar que ocupa el spam en el reporte, demostrando que a pesar de ser una amenaza que lleva años entre nosotros, sigue siendo relevante como problemática, no sólo para el usuario hogareño, sino también, y especialmente, en entornos corporativos.

Algunos de los datos que arroja el informe respecto a esta problemática son los siguientes:

• El fraude en línea aumenta, y el scam se ha observado con mayor frecuencia. Este es un ataque que comienza con el envío de un mensaje de correo no deseado.
• También existe el negocio de fraude a CAPTCHA, que consiste en comercializar la respuesta a los populares mecanismos de control contra robots. Entre otros motivos, como bien destaca el reporte, esto puede ser utilizado para enviar spam a sitios web y redes sociales.
• Se destaca el uso del spam como método de propagación de malware, y se menciona el caso de la muerte de Michael Jackson, que ya ha sido mencionada previamente en este blog.
• En el reporte de los países que más spam envían se encuentra en primer lugar Estados Unidos, y aparecen los paises latinoamericanos de Argentina y Brasil, tal cual fue reportado aquí hace unos meses.
• Se estima que cerca del 90% del spam es envíado desde redes botnets.
• Se espera que el volúmen de spam crezca entre un 30% y 40% durante 2010.

Como se puede observar, el spam es una problemática compleja, que afecta a todos los usuarios y que en redes empresariales causa problemas de productividad, consumo innecesario de recursos y exposición a amenazas que utilizan este medio para propagarse.

Para una óptima protección, es importante que se considere un esquema de seguridad en capas, protegiendo no sólo los sistemas de usuarios finales, con soluciones antispam como la que incorpora ESET Smart Security; sino también considerar la protección en servidores, y particularmente herramientas antispam para servidores de correo, con soluciones para dispositivos gateway de este tipo.

Sebastián Bortnik
Analista de Seguridad

Categories: Gestión, Informes, Spam
2 Comments »

LockScreen es un código malicioso del tipo troyano ramsonware al cual hemos sometido a un proceso de análisis en nuestro laboratorio de ESET Latinoamérica,  para estudiar su comportamiento. Si bien su desarrollo no es complejo, presenta una serie de características que lo tornan molesto para el usuario, ya que puede hacer que el mismo crea que debe formatear su sistema como solución, siendo la misma mucho más sencilla.

Una vez que esta amenaza compromete el sistema operativo, lo bloquea de forma tal que impide el acceso al mismo, solicitando un número de serie para volver a su estado original (simulando un secuestro) y ofreciendo una supuesta “herramienta de recuperacion”. En la siguiente captura podemos observar el mensaje de alerta mediante el cual se bloquea el equipo,  junto a la clave que permite desbloquearlo:

La ruta donde se aloja es C:\Windows y el nombre que se le asigna al malware una vez infectado el sistema es benimServerim.Exe.

Además, escribe la siguiente clave en el registro, que le permite ejecutarse cada vez que el sistema se reinicie: HKLM\Software\Microsoft\Windows\CurrentVersion\Run benimAnahtar C:\WINDOWS\benimServerim.Exe

Una vez instalado, controla las siguientes teclas para evitar que su proceso pueda ser eliminado desde el Administrador de Tareas de Windows:

• VK_CONTROL (Control)
• VK_SHIFT (Shift)
• VK_MENU (Alt)
• VK_MBUTTON (botón del medio del mouse)
• VK_RBUTTON (botón derecho del mouse)
• VK_LBUTTON (botón izquierdo del mouse)

Al realizar un procedimiento de Ingeniería Reversa puede verse que el número de serie (visualizado previamente), está dentro del mismo ejecutable:

Este valor se compara contra la clave ingresada por el usuario utilizando la funcion Strcmp (función para comparar cadenas de caracteres). Si el valor ingresado no es el mismo que el esperado; es decir, el valor válido para desbloquear el equipo, redirecciona al usuario a una página web que ofrece la compra de un supuesto Anti-Spyware que en realidad es un rogue:

Si Ud. fue afectado por este troyano simplemente puede utilizar ESET NOD32 para eliminarlo o escribir la contraseña mencionada.

Juan Sacco
Analista de Malware

Categories: Análisis de malware, Malware
4 Comments »