Luego de las repercusiones sobre Stuxnet, explotando la vulnerabilidad CVE-2010-2568, a la cual se sumaron dos familias más (Win32/TrojanDownloader.Chymine.A y Win32/Autorun.VB.RP) y la incorporación del exploits a un crimeware (Zombie Explotation Kit), recientemente se ha descubierto otro código malicioso que utiliza esta debilidad para infectar los sistemas de información.

Se trata de Sality, un peligroso virus que posee capacidad de polimorfismo, complicando su detección, lo que significa que en cada infección modifica parte de su código. Precisamente la variante que ESET NOD32 detecta bajo el nombre de Win32/Sality.NBA.

La amenaza se está propagando a través de páginas web por lo que se deben extremar las medidas de prevención haciendo uso de buenas prácticas de seguridad. A continuación vemos una imagen que muestra los accesos directos (.lnk) generados por Sality.

Por otro lado, según nos cuentan los investigadores de F-Secure, una variante de ZeuS también explota la vulnerabilidad. En este caso, la propagación se lleva a cabo a través de correo electrónico, emitiendo un mensaje supuestamente enviado por el departamento de seguridad de Microsoft. A continuación un ejemplo.

Como anunciamos hace varios días, la explotación de la vulnerabilidad será utilizada por varios grupos de delincuentes informáticos para propagar diferentes tipos de códigos maliciosos, y hasta el momento ya cuentan varios en pocos días.

Por lo tanto, recomendamos mantener actualizado ESET NOD32 antivirus o ESET Smart Security ya que detectan todas estas amenazas desde un principio.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
3 Comments »

Es muy frecuente que en los seminarios que visitamos con la Gira Antivirus se converse sobre lo correcto o incorrecto de utilizar indistintamente los términos malware (o en español código malicioso) y virus. El término virus fue el primero en ser acuñado por la comunidad de la seguridad ya que fueron las primeras variantes de códigos maliciosos que aparecieron. Pueden consultar la Cronología de los Virus Informáticos para ver cómo ha evolucionado esta amenaza. Pero en resumidas cuentas, en la evolución lo que en un principio eran sólo virus informáticos, luego se agregaron los gusanos, luego aparecieron los troyanos, el adware y spyware con el surgimiento de Internet y luego amenazas más actuales como el ransomware o el rogue.

¿Por qué tantas variantes? Bueno, básicamente porque poseen características diferentes, por lo general en sus formas de propagación o estrategias para hacer daño. Según el tipo de malware habrá alguna característica particular que lo diferencie de otras variantes aunque, como también solemos mencionar en los seminarios, muchos códigos maliciosos pueden tener características de más de un tipo, aunque se termina utilizando alguna característica predominante para identificarlos.

Por ese motivo es que hemos realizado este cuadro para despejar algunas dudas respecto a las características de las distintas variantes de códigos maliciosos existentes:

Si quieren despejar con más detalle cuál es la diferencia entre los tipos de malware, en el Centro de Amenazas tienen la explicación de las principales amenazas informáticas de la actualidad.

Sebastián Bortnik
Analista de Seguridad

Categories: Malware
4 Comments »

En el marco de la gira anual sobre Seguridad Antivirus en Internet, el día 5 de agosto nos estaremos presentando en la Facultad Regional Rafaela de la Universidad Tecnológica Nacional (Argentina).

Como siempre, la intención es fomentar la filosofía de educación en materia de seguridad que dese ya varios años venimos llevando a diferentes regiones de América Latina, para lograr que los usuarios se encuentren prevenidos ante los potenciales incidentes de seguridad que pueden generarse a través de la propagación masificada de códigos maliciosos.

Durante la charla resolveremos inquietudes como: qué es realmente el malware y cuál es su impacto en seguridad, qué tipos de malware son los de mayor relevancia, que es el crimeware, cómo se ejecutan maniobras delictivas a través de Internet, qué rol juegan las botnets en este aspecto, cómo podemos prevenirnos, entre muchas más.

Además, también vamos a presentar en vivo algunas demostraciones que dejan en evidencia algunas de las actividades maliciosas que un malware genera en un sistema infectado, mostrando cual es su impacto sobre los recursos de este y sobre la confidencialidad de nuestra información.

A continuación algunos datos generales sobre el seminario:

• Lugar: Argentina – UTN – Facultad Regional Rafaela – Av. Roca 989 (2300) Rafaela.
• Horario: 18:30
• Duración: 2:00 horas

Vale recordad que el seminario es completamente gratuito y para registrase deben acceder a la siguiente página, donde encontrarán el calendario de charlas.

Espero contar con la presencia de muchos lectores!

Jorge Mieres
Analista de Seguridad

Categories: Educación
No Comments »

Anteriormente anunciamos sobre la aparición de dos nuevas familias de códigos maliciosos que utilizan la debilidad de Windows en el manejo de accesos directos, explotada a través de la vulnerabilidad CVE-2010-2568.

Ahora, este exploits se ha incorporado a un nuevo Exploit Pack llamado Zombie Infection Kit que busca insertarse en el mercado clandestino del crimeware aprovechando la criticidad de la vulnerabilidad en cuestión, y poniendo a disposición la venta del kit a través de foros underground a un costo de 1000 dólares. A continuación podemos ver una imagen del mismo.

Pasaron pocos días desde que se publicó la vulnerabilidad 0-Day y hasta el momento ha sido aprovechada no sólo por Win32/Stuxnet.A, el malware que dio origen a las repercusiones, y sus diferentes variantes (4 hasta el momento), sino que también surgieron hace pocas horas otros malware (Win32/TrojanDownloader.Chymine.A y Win32/Autorun.VB.RP) que lo utilizan. Ahora, lo que también marcamos como tendencia, el exploits se encuentra pre-compilado en un Exploit Pack.

Esta situación deja claro una vez más que los negocios que representa en la actualidad el crimeware, se retroalimentan constantemente buscando obtener un efecto inmediato en sus maniobras delictivas que permita a los delincuentes beneficiarse económicamente de forma muy rápida.

Y sin lugar a dudas, este nuevo exploits formará, de aquí en más, parte del repertorio de exploits del crimeware. Por lo tanto, es de suma importancia mantener actualizada su solución de seguridad antivirus ESET NOD32 para evitar ser víctima de una infección, y además formar parte de una botnet.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
5 Comments »

Cómo adelantamos en estos días a modo de tendencia, nuevas familias de códigos maliciosos han aparecido empleando como vector de ataque la misma vulnerabilidad 0-Day (CVE-2010-2568) utilizada por Win32/Stuxnet.A.

Investigadores de ESET han identificado en las últimas horas dos códigos maliciosos más relacionados con la explotación de la vulnerabilidad en cuestión. Se trata de la amenaza que ESET NOD32 Antivirus y ESET Smart Security detectan como Win32/TrojanDownloader.Chymine.A.

Este troyano se encarga de establecer una conexión clandestina hacia un servidor ubicado en Estados Unidos desde el cual se descarga y ejecuta automáticamente otra pieza de malware, detectada por los productos de ESET como Win32/Spy.Agent.NSO, diseñado para robar información sensible del equipo víctima.

Por otro lado, una amenaza conocida ha sido actualizada para incorporar la vulnerabilidad. En este caso es detectada bajo la nomenclatura Win32/Autorun.VB.RP, y que utiliza como vector de propagación la funcionalidad de Windows que permite la ejecución automática de dispositivos a través del puerto USB. Del mismo modo que la anterior amenaza, una vez que ha infectado el sistema descarga otros códigos maliciosos.

Si bien estas amenazas son menos sofisticadas que Win32/Stuxnet.A, ya que no se encuentran diseñadas a realizar ataques contra los programas de SIEMENS para el sistema SCADA ni roban certificados digitales, no dejan de ser peligrosos códigos maliciosos cuyo nivel de criticidad en cualquier entorno de información es muy alto.

Bajo este escenario, no cabe duda de la importancia de mantener actualizado su ESET NOD32 para evitar ser víctimas de estas amenazas que explotan una debilidad que aún no cuenta con solución oficial.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
1 Comment »