El siguiente post es una traducción del texto realizado por Urban Schrott, Analista de Seguridad de ESET Irlanda, y publicado en el blog de ESET en inglés sobre el software de seguridad gratuito. Les recuerdo que ESET pone a disposición de los usuarios ESET Online Scanner como servicio gratuito a la comunidad.

Si puede no pagar, no pagará

Hace un tiempo me encontré con un artículo en una revista sobre “diez cosas por las que nunca debería pagar” y el software antivirus era uno de ellos. El argumento era sencillo: ¿por qué pagar por algo si se puede conseguir gratis? El tema ya ha sido discutido previamente, pero quizás deberíamos revisar si realmente es lo mismo (o igual de eficaz) utilizar un antivirus gratis en lugar de un producto pago.

En primer lugar, tenemos que definir el concepto de “gratuito”. Vale mencionar que la mayoría de los proveedores de seguridad también ofrecen una versión “gratuita” de su software. Por lo general, poseen funcionalidades limitadas cuando se ofrecen sin límite de tiempo, mientras que las versiones con todas sus funciones se ofrecen con un tiempo de prueba limitada, tras la cual los productos se vuelven inactivos. Muchos productos “gratuitos”, por ejemplo, ofrecen detección gratuita de malware, pero exigen el pago para que el mismo sea removido. Otros ofrecen detección y eliminación “gratuita”, pero sólo para ciertos tipos de malware. Los mismos proveedores, sin embargo, suelen ofrecer una versión “completa” del software con funcionalidad completa, pero que es (por supuesto) paga.

Ver más… »

Categories: Declaraciones, Gestión, Productos
3 Comments »

El objetivo principal del malware actual es obtener dinero, y por ende, el desarrollo del mismo se focaliza en las plataformas de Microsoft por ser masivo. Sin embargo, el malware forma parte de una industria donde constantemente se busca ampliar el campo de cobertura, y en función de esto cada vez es más habitual encontrar códigos maliciosos desarrollados para otros sistemas operativos.

Este es el caso de un troyano desarrollado en lenguaje de programación RealBasic para Mac OS, que ESET NOD32 detecta con el nombre de OSX/HellRTS (también conocido como Pinhead).

El troyano está constituido por cuatro partes:

• Un servidor: que es el propio troyano, el que infectará el equipo víctima
• Un cliente: que es utilizado para controlar y manipular el equipo víctima
• Un configurador: mediante el cual se establecerán los parámetros del servidor
• Un SMTP Grabber: un motor SMTP que permite enviar correos electrónicos con la información obtenida desde el cliente

Cuando el troyano se activa en la computadora víctima, inicia un proceso llamado ATSServer que monitorea cualquier actividad,  hasta que el atacante decide ejecutar remotamente alguna acción. A continuación podemos observar una imagen donde se aprecia algunas  de las acciones maliciosas que el atacante podría realizar:

Entre sus funcionalidades se encuentran: robar información de las credenciales de autenticación del sistema y del correo electrónico, enviar correo electrónicos falsos, monitorear las actividades realizadas en la computadora víctima, modificar las configuraciones del navegador, acceso remoto completo (backdoor), entre otros.

Si bien no se trata de un malware complejo ya que no utiliza técnicas anti-análisis para evitar su estudio y detección (al finalizar el proceso correspondiente al servidor, cesa completamente su actividad), es una evidencia sobre la focalización de los delincuentes para intentar infectar a los usuarios que utilizan el sistema operativo Mac OS.

Conociendo esta tendencia, ESET ha desarrollado ESET NOD32 Antivirus for Mac OS, la cual se encuentra en su versión BETA, y si bien no se recomienda su instalación en sistemas de producción, puede ser probada para constatar los índices de detección proactivos que caracterizan a todos los productos de la compañía.

Jorge Mieres
Analista de Seguridad

Categories: Malware
2 Comments »

Traducción de post en el blog de ESET en inglés

Son pocos los indicios que indican que su equipo forma parte de un botnet y a la vez no podrían indicar algo más. Cualquier código malicioso puede causar casi todos de los mismos síntomas que un bot. Incluso conflictos entre aplicaciones o archivos dañados pueden causar los mismos síntomas pero, aún así, hay algunos signos que no deben pasarse por alto. Así que, en ningún orden en particular…

1. El ventilador arranca a toda marcha cuando el equipo está inactivo

Esto puede indicar que un programa se está ejecutando sin el conocimiento del usuario y que se están utilizando una cantidad considerable de recursos. Por supuesto, esto también podría ser producto de la instalación de muchas actualizaciones de Microsoft, por ejemplo. Otro problema que puede hacer que el ventilador trabaje es el exceso de suciedad en el equipo o un ventilador de la CPU fallando.

2. Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente

Con frecuencia el malware posee errores que pueden causar una variedad de síntomas, incluyendo que el apagado del sistema sea muy largo o directamente falle. Desafortunadamente, los errores del sistema operativo o conflictos con programas legítimos también pueden causar el mismo síntoma.

3.  Observará una lista de post en su muro de Facebook que no ha enviado (ver imagen)

Existen algunas otras razones distintas al malware o el acceso no autoriza a  la cuenta para que aparezca este problema. Si ve que ocurre, definitivamente deberá cambiar su contraseña y asegurarse que el sistema no está infectado. ¡Es mejor asegurarse que la computadora no tiene malware antes de cambiar la contraseña! ¡¡Y no use su contraseña de Facebook en muchos sitios!!

4. Las aplicaciones andan muy lento

Esto puede ocurrir porque programas ocultos estén utilizando una gran cantidad de recursos del equipo. Esto también podría ser causado por otros problemas. En los sistemas Windows, por ejemplo, si hubiera 10 mil o más archivos en una carpeta eso podría causar que el sistema ande a paso de tortuga.

5. No se pueden descargar las actualizaciones del sistema operativo

Este es un síntoma que no se puede ignorar. Incluso si no está siendo causado por un bot u otro malware, si no mantiene los parches de seguridad actualizados el sistema se va a infectar.

6. No se pueden descargar actualizaciones del antivirus o visitar sitios web de los proveedores

El malware a menudo trata de evitar que software antivirus sea instalado o ejecutado. La imposibilidad de actualizar el antivirus o de visite el sitio web del fabricante es un indicador muy fuerte de la presencia de código malicioso.

7. El acceso a Internet es muy lento

Si un bot está en ejecución en el sistema para, por ejemplo; enviar grandes cantidades de spam, realizar en un ataque contra otros equipos o subir/bajar gran cantidad de datos; puede causar que el acceso a Internet sea muy lento.

8. Sus amigos y familiares han recibido mensajes de correo electrónico que usted no envió

Esto puede ser señal de un bot u otro tipo de malware, o bien que su cuenta de correo web haya sido comprometida por un atacante.

9. Se abren ventanas emergentes y anuncios, incluso cuando no se está usando un navegador web

Si bien este es un clásico signo de adware, los bots puede instalar adware en el equipo. Definitivamente debe atender este problema.

10. El Administrador de tareas de Windows muestra programas con nombres o descripciones extrañas (ver la línea resaltada en la imagen – tomada de un sistema infectado por Koobface)

El uso del Administrador de Tareas requiere cierta habilidad e investigación. A veces software legítimo puede utilizar nombres extraños como el del ejemplo. Una entrada en el Administrador de Tareas no es suficiente para identificar un programa como algo malo. Sin embargo, esto puede ayudar a encontrar software malicioso, pero deben realizarse otros pasos adicionales para validar los resultados. Matar procesos o eliminar archivos o entradas del registro sólo porque se “cree” que es un bot u otro malware, puede resultar que el equipo siquiera inicie. Tenga mucho cuidado al hacer suposiciones y tomar acciones sobre ellas.

Equipo de investigación de ESET

Categories: Educación, Malware
7 Comments »

El otro día les comentaba qué es la fuga de información. Una de los mitos alrededor de este incidente es que sólo afecta a las grandes empresas. Por el contrario, la fuga de información puede ocurrir en todo tipo de organizaciones.

Según el tamaño de la empresa, obviamente variará el impacto, así como también según la naturaleza del incidente y el valor de la información “fugada”.

Aunque muchos de estos incidentes suelen mantenerse en un ámbito confidencial, muchas organizaciones deciden (o en algunos casos se ven en la obligación) hacer públicos los incidentes para clarificar la situación. Empresas populares han sufrido incidentes de este tipo en los últimos años y muchos de ellos han sido públicos o bien por voluntad de la empresa o por la publicación por la exposición involuntaria del incidente.

En agosto de 2007, se dio a conocer uno de los incidentes más importantes (por la cantidad de datos filtrados), cuando el sitio de búsquedas laborales Monster.com sufrió el robo de información de 1,6 millones de datos con información personal de las personas que estaban registradas en el sitio para buscar empleo. Los atacantes ingresaron a las bases de datos con contraseñas que habían sido obtenidas previamente por un troyano.

Los portales de redes sociales también se han visto afectadas, como fue el caso ocurrido en diciembre de 2009, cuando 4.000 cuentas de usuario de Tuenti y sus contraseñas fueron obtenidas por un atacante enojado con la empresa.

Citando un caso más cercano, en el mes de marzo de este año el popular banco HSBC declaró la fuga de datos de 15.000 clientes suizos, luego de que un ex-empleado del área informática se llevará los datos consigo y los otorgara a autoridades impositivas de Francia.

Ahora, ¿cómo prevenirse ante la fuga de información? Al igual que ante otras amenazas, la protección ante este tipo de incidentes involucra tanto tecnologías como controles de gestión y educación a los usuarios.

En lo que respecta a soluciones tecnológicas, se debe asegurar la infraestructura y la red para que vulnerabilidades en esta no permitan la intrusión de personas ajenas a la organización, así como contar con tecnologías antivirus con capacidades proactivas de detección para evitar que códigos maliciosos estén robando información corporativa. Todos estos controles están orientados especialmente a los ataques externos.

Además, es importante optimizar los mecanismos de identificación y autentificación en la red, de forma de evitar el acceso interno indebido a información, así como también contar con tecnologías para auditoria, logging y rastreo de actividades de acceso a datos, y tecnologías de backup o prevención ante robo de dispositivos portátiles.

Por último, las tecnologías deben ser complementadas con herramientas de gestión que permitan optimizar el acceso a datos de cada uno de los empleados y un lugar preponderante en materia de educación, para que cada uno de los integrantes de la organización conozca y sepa cuáles son sus responsabilidades para con el uso de la información, y cuál es el impacto que puede causar a la organización un incidente de este tipo.

En resumen, la fuga de información es un riesgo que debe ser considerado prioritario en el diseño de un esquema de seguridad de la información, teniendo en cuenta tanto los aspectos tecnológicos que involucra, como aquellos de gestión y educación para minimizar el mismo.

Sebastián Bortnik
Analista de Seguridad

Categories: Fuga de información, Gestión
No Comments »

Hace unos días reportamos una nueva campaña masiva del gusano Koobface, que utilizaba como técnicas de Ingeniería Social falsos codecs de videos, y que propagaba nuevas variantes de la amenaza, detectadas por ESET NOD32 como Win32/Koobface.NCI y una variante de Win32/Koobface.NCP. Posteriormente publicamos el post Malware y dominios utilizados por Koobface, donde brindamos a los lectores más detalles sobre la campaña.

Desde el blog de ESET en inglés podemos ver un video que fue desarrollado para explicar en forma más gráfica, qué ocurre en un sistema cuando es infectado con una de estas variantes del gusano. El video posee el audio en inglés y lo compartimos también con nuestros lectores. Podrán observar cómo en primer término se da una breve introducción a Koobface, posteriormente se infecta el sistema descargando y ejecutando el malware; y finalmente algunas modificaciones que hace el gusano en el sistema, como cargar una librería DLL, bloquear el acceso al sitio de ESET (y otros proveedores de antivirus) y a Windows Update, para dificultar la desinfección del sistema.

Con este video completamos la publicación de los principales datos que hemos obtenido respecto a la nueva campaña del gusano Koobface, que aún sigue vigente a través de algunos dominios y variantes del código malicioso.

Recuerden que pueden observar más Videos Educativos en nuestro Centro de Amenazas.

Sebastián Bortnik
Analista de Seguridad

Categories: Malware, Multimedia
4 Comments »