En estos momentos está siendo propagado un correo que simula provenir de diversos medios de comunicación (como CNN), con la noticia de la captura de Osama bin Laden y con un supuesto video del ejército norteamericano:

Para quienes nos siguen es fácil adivinar que se trata de un nuevo ataque del gusano que ESET NOD32 detecta por heurística como Nuwar:

Como se sabe, los autores de Nuwar aprovechan cualquier tipo de excusa para propagar sus creaciones pero gracias a la detección proactiva de ESET, nuestros usuarios siempre están protegidos.

Cristian

Categorias: Alertas, Malware
1 Comentario »

Luego de la repercusión de I y II y, ante la duda expresada por correo de algunos usuarios, paso a aclarar algunos puntos fundamentales de esta amenaza:

1. Que el correo sea enviado por usuarios legítimos significa que los correos proceden de cuentas de Hotmail, Yahoo! o GMail de cualquier usuario (como las suyas o las mías) y que los correos no son simulados sino que realmente provienen de esas cuentas debido a que el delincuente tiene el usuario y la clave de las mismas. Por eso, cambiar la clave del correo es la solución en este caso.
2. Si Ud. ingresó sus datos en sitios dudosos o sospecha que su usuario y contraseña pueden haber sido robados, cambie la contraseña de su correo inmediatamente.
3. La cantidad de infecciones sigue creciendo llegando en este momento a 30.000 descargas del malware en menos de 48 hs. Esto puede deberse a que actualmente muy pocos antivirus detectan la amenaza y que además existen más cuentas robadas continuamente, lo que ayuda a alimentar este círculo vicioso.
4. Luego de instalarse, el gusano detectado por ESET NOD32 como Banwor roba sistemáticamente usuarios y contraseñas de correos y cuentas bancarias y actualmente existen tres variantes del mismo, que están siendo utilizados en este ataque. Los archivos .dll y .exe residen en la siguiente carpeta:

   

   Estos archivos corresponden a:

   • gbppdist.dll -> Win32/Banwor.NBG
   • gbiehdst.dll y gbppsv.exe -> Win32/Banwor.NBI
   • gbplib.dll -> Win32/Banwor.NBF
5. La modificación llevada a cabo en el sistema puede verse claramente mediante ESET SysInspector en donde diversos archivos del sistema son inyectados por el gusano para mantener el control del mismo:

   

Nuevamente, cuide sus datos personales, cambie su contraseña, verifique su sistema con un antivirus con capacidades proactivas y revise las carpetas de su sistema en busca de archivos sospechosos.

Actualización 18:00 Hs: Los archivos mencionados anteriormente corresponden a “Plugins” del malware, los cuales roban datos de cuentas diferentes bancos de Brasil, país de cual proviene Banwor.

Actualización 19/07/2008 21:00 Hs: A continuación dejo una imagen del archivo grabado por el gusano Banwor y su contenido con información robada, al ingresar a un banco de Brasil:

Los bancos afectados pueden cambiar dependiendo de la versión de Banwor que se trate.

Cristian

Categorias: Alertas, Curiosidades, Educación, Eventos, Malware, Spam
Sin Comentarios »

En las últimas horas nuestro Laboratorio ha recibido una alta cantidad de correos provenientes de cuentas reales y conteniendo enlaces a archivos dañinos. Los correos provienen de cuentas legítimas (no spoofeadas) de usuarios de distintos servicios de webmail (como Hotmail, Yahoo! y GMail).

El correo (y su encabezado) que llega puede lucir como el siguiente:

Al intentar ver el archivo (en este caso un supuesto curriculum), se ingresa a un sitio de alojamiento gratuito de archivos:

Al descargar este archivo en realidad se está descargando un malware que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.QPR.

Para tener una idea de la cantidad de usuarios que han descargado la amenaza se pueden ver las estadísticas de descargas de este archivo en particular:

Como puede verse, en un día el archivo ha sido descargado 12.945 veces (hasta el momento), lo cual hace pensar en la gran cantidad de posibles usuarios infectados, si los mismos no disponían de una protección adecuada.

Es fundamental remarcar que los correos son reales debido a que esto implica que usuarios malintencionados han tenido acceso a los datos de la cuenta (usuario y contraseña) de los correos comprometidos.

El Laboratorio de ESET se puso en contacto con usuarios dueños de las cuentas comprometidas y se le solicitó que cambiarán la contraseña de su correo. Como resultado el envío de correos se detuvo inmediatamente.

Si bien se desconoce la forma en que estos datos pudieron ser obtenidos, la masividad del caso hace pensar en un método automático para obtenerlas como puede ser el uso de keylogger o el ingreso de estos datos, por parte de la víctima, en servicios no oficiales (foros, redes sociales, sitios que brindan información de bloqueo en los mensajeros, etc.), los cuales podrían robar estos datos para comercializarlos posteriormente.

Actualización 19:00 hs: en propagación de malware vía correos legítimos II analizamos el funcionamiento y la forma en como este malware roba usuarios y contraseñas de posibles nuevas víctimas.

Cristian y Joaquín

Categorias: Alertas, Curiosidades, Malware, Spam
3 Comentario »

En las últimas horas nuestro Laboratorio ha encontrado extensiones de Firefox que simulan ser aplicaciones útiles, pero que en realidad son keyloggers que envían a un delincuente la información tipeada por el usuario.

Las extensiones falsas encontradas corresponden a un juego de ajedrez (chess) y a un administrador de descargas. Los archivos XPI se instalan normalmente en Firefox y a partir de ese momento la información que se tipee será robada por el keylogger.

El contenido del archivo .xpi es el siguiente:

Es importante destacar que el usuario no ve este contenido a menos que descargue el archivo y lo abra con un compresor como WinRAR. El archivo ejecutable señalado corresponde a un troyano que ESET NOD32 detecta gracias a su Heurística Avanzada:

Estas extensiones no son oficiales de la Fundación Mozilla y, al momento de escribir el presente, los archivos podí­an ser descargados desde un sitio de descargas muy popular.

Una vez instalada, la extensión aparece como cualquier otra extensión normal del navegador:

No es la primera vez que este mecanismo es utilizado y por eso es importante ser consciente de que actualmente cualquier archivo puede ser dañino y utilizado para propagar malware.

Cristian

Categorias: Alertas, Malware
6 Comentario »

En las últimas horas se ha registrado una alta cantidad de correos con noticias sobre la invasión a Irán por parte de EE.UU., comenzando la tercera guerra mundial.

En realidad se trata de un correo enviado por el gusano Nuwar que nos invita a ver un supuesto video creado por los soldados norteamericanos:

Si bien el engaño es el mismo de siempre, evidentemente los usuarios seguimos cayendo, haciendo que los creadores de Nuwar sigan utilizando esta técnica para infectarnos.

Lo preocupante de este caso en particular es que los sitios web dañinos también fueron indexados por los buscadores, causando que el mismo obtenga mayor propagación.

Como siempre en estos casos, es importante no caer en el engaño y actualizar el antivirus que en el caso de ESET NOD32 detectará la amenaza, antes de la descarga del malware.

Cristian

Categorias: Alertas, Malware
Sin Comentarios »

En el día de la fecha nuestro Laboratorio se ha encontrado con una gran cantidad de sitios que simulan ser sitios pornográfico, pero que en realidad apuntan a supuestos codecs dañinos.

Este caso es sumamente preocupante porque pone de manifiesto una nueva tendencia actual como estas campañas de propagación masivas: se crean cientos de sitios con nombres provocativos y con contenido gratuito. Algunos ejemplos de sitios pueden ser:

• sex[eliminado]-adult
• porno[eliminado]-adult
• teen[eliminado]-adult
• fat-[eliminado]-xxx
• pornstar-[eliminado]-xxx

Al ingresar a estos sitios se muestra contenido adulto gratuito (videos e imágenes):

Si el usuario intenta obtenerlos, se descarga un archivo ejecutable que ESET NOD32 detecta como variante de Zlob:

Como venimos previniendo desde hace tiempo, hay que ser sumamente cuidadoso al navegar por sitios de dudosa reputación.

Cristian

Categorias: Alertas, Malware
2 Comentario »

Una vez más Adobe Reader es vulnerable a un error no especificado y que se está aprovechando para difundir malware.

El caso es semejante al que ya comentamos en malware en archivos PDF y al mostrado en nuestro Video Educativo sobre infección en archivos PDF. Por supuesto, la recomendación es la misma de antes: actualizar lo más pronto posible a Adobe Reader versión 8.1.2 Security Update 1.

Otra alternativa es abrir Adobe Reader y hacer que el programa busque las actualizaciones disponibles, tal y como se muestra en nuestro video o en esta imagen:

De esta forma, se evitará ser víctima de la descarga de un malware a través de la ejecución de archivos PDF modificados para tal fin.

Cristian

Categorias: Alertas, Vulnerabilidades
Sin Comentarios »

Lo advertíamos ayer con el Phishing a Facebook que este tipo de ataques podían comenzar a ocurrir masivamente y hoy nuestras sospechas se ven confirmadas, ya que hemos encontrado casos de sitios falsos en la red Hi5.

Como en cualquier caso de phishing este sitio falso es idéntico al original y, como en el caso anterior, se trata de dominios formados por letras y números que buscan engañar al usuario.

Una cosa curiosa es que todos los dominios creados para este ataque contienen el mismo mensaje “Website Undeconstruction!” en el directorio raíz:

Volvemos a advertir que este ataque es masivo y que sin dudas tiene como objetivo a las redes sociales, por lo que se debe permanecer alerta a cualquier correo que se reciba con invitaciones a las mismas.

Cristian

Categorias: Alertas, Phishing
2 Comentario »

En las últimas horas nuestro Laboratorio ha recibido una gran cantidad de correos con invitaciones falsas a participar de la popular red social FaceBook.

Si se intenta aceptar estas invitaciones o ingresar a la cuenta personal, en realidad se ingresa a un sitio falso, copia del original y creado con el fin de robar las credenciales (usuario y clave) del usuario engañado:

Los dominios involucrados (ocultados en la imagen) corresponden a sitios .com que contienen letras y números tales como client[eliminado], civv[eliminado], [eliminado]goo6, dort[eliminado], [eliminado]zu390.com, ring[eliminado], etc.

Por supuesto se trata de un caso de Phishing para robar usuarios y contraseñas de servicios de comunidades virtuales. Si recibe este tipo de correo sólo ignórelo, ya que no descartamos que puedan comenzar a aparecer masivamente para cualquier servicio de este tipo.

Cristian

Categorias: Alertas, Phishing
3 Comentario »

Bajo la excusa de que los juegos olímpicos de Pekín han sido cancelados por un terremoto en la región, los creadores de Nuwar ya han comenzado su nueva campaña de propagación de este peligroso malware.

Como siempre, el usuario recibe un correo masivo en donde se ofrece ver un video con los detalles del desastre. Si se comete el error de intentar visualizar dicho video, se termina ingresando a un sitio web que permite la descarga de un archivo llamado beijing.exe (puede variar) que es el ejecutable del gusano.

Tal y como lo adelantamos en nuestro informe Tendencias 2008: Qué nos depara el malware en el futuro, los juegos olímpicos de este año serán una excusa perfecta para infectar usuarios. Debemos estar muy atentos porque el ataque ya comenzó.

Cristian

Categorias: Alertas, Malware
2 Comentario »