Las redes de computadoras zombies se han trasformado en complejas amenazas manipuladas por personajes malintencionados que aprovechan toda la potencialidad del esquema brindado por un ambiente distribuido para realizar diversos tipos de ataques.

Este ambiente distribuido está conformado por cada una de las computadoras que determinado malware ha comprometido, y para controlarlas existe infinidad de aplicaciones que permiten controlar las Botnets a través de alguna interfaz web o un panel de control.

Hace un tiempo, nuestro Laboratorio ha encontrado un panel de control que nos llamo la atención debido a lo “amigable” que pretende ser su interfaz de acceso. A continuación, les mostramos una captura:

En este caso, se destaca y llama la atención la viva imagen de una serpiente junto a los campos de acceso a la bot.

Nos preguntamos entonces ¿por qué una serpiente? Aunque existen muchos mitos en torno a este reptil, uno de los relatos más escuchados se basa en la creencia de que son muy tentadoras. ¿Habrá querido transmitir esto su autor?

Jorge

Categorias: Curiosidades, Malware
Sin Comentarios »

Aunque encontrar la “fotografía” de un malware puede resultar extremadamente difícil, ya no lo será tanto gracias a la mano de un artista gráfico de origen rumano que hace un tiempo dirige un proyecto mediante el cual representa, de manera gráfica, alguno de los códigos maliciosos más famosos.

El nombre del artista es Alex Dragulescu y el proyecto que dirige, y del cual les hablo, se llama malwarez. Alguno de los códigos maliciosos que este artista ha dibujado son Netsky, Nuwar, Agent, entre otros.

La siguiente imagen representa la “fotografía” de PSW.OnlineGames, Nuwar y MyDoom respectivamente:

El proyecto formó parte de una campaña publicitaria para una empresa de seguridad, y si bien ya existe antecedente de otro proyecto de este estilo, la representación gráfica de códigos maliciosos creada por este artista cuenta con una original calidad en cada uno de los diseños.

Jorge

• Lanzamiento ESET Remote Administrator 2.0 Beta
• ESET SysInspector: generar reportes bajo línea de comandos

Categorias: Curiosidades, Malware en imágenes
Sin Comentarios »

Como saben, en este Blog no solemos realizar comentarios sobre campañas de marketing o comerciales sobre productos pero esta vez haré una excepción debido a la gran cantidad de consultas recibidas y a las confusiones que ha generado este tema: el ransomware, criptovirus o “virus extorsionador” denominado por ESET NOD32 como Win32/Gpcode.AK.

Se trata de un malware que procede a infectar el equipo del usuario, a cifrar los archivos de cierto tipo (generalmente de ofimática o relacionados), eliminar los archivos originales y proceder a mostrar un mensaje informando que para recuperarlos se debe pagar un “rescate virtual”, a través de algún medio de pago en Internet.

Esta variante de Gpcode en particular cifra los archivos utilizando criptografía de clave pública basada en el algoritmo RSA con claves de 1024 bits de longitud, lo que dificulta su descifrado.

En los últimos días una empresa, tras el anuncio de la aparición de este malware, propone a los usuarios y expertos su colaboración para romper la llave privada utilizada para cifrar los archivos. Posteriormente se ratificó esa afirmación y se dijo que en realidad se quería encontrar errores en la implementación del algoritmo para obtener dicha clave. Estas afirmaciones hicieron que se publicara que se quería romper (crackear) la clave utilizada, siendo esto imposible actualmente.

Esta intención de “romper la clave” hubiera sido muy buena, con la excepción de que quizá podamos tardar un par de cientos de años (y millones de computadoras) en factorizar una clave RSA de 1024 bits (ganando, eso sí, U$S 100.000 en el proceso) y que además ese esfuerzo sería inútil debido a que el creador del malware lo único que debería hacer es cambiar el par de llaves utilizadas.

Dejando de lado el marketing viral y retomando el tono educativo de este Blog sugiero prevenir, no infectarse y, si esto sucede, se pueden utilizar herramientas para la recuperación de los archivos eliminados sin necesidad de descifrar el archivo perdido y sin soñar con romper claves irrompibles para el poder de cómputo actual.

Cristian

• Virus con gravedad
• 29A, parte de la historia de los virus
• Los primeros 50 premios de Virus Bulletin para ESET

Categorias: Curiosidades, Declaraciones, Malware
3 Comentario »

Mientras seguimos disfrutando de Centroamérica en nuestros seminarios y Congreso de Seguridad, nuestro Laboratorio no se detiene y es curioso ver como viejas amenazas vuelven a aparecer luego de tanto tiempo.

Lo mencionaba en el caso de Netsky, un viaje en el tiempo y en estos días vuelve a pasar con un malware con más de 4 años de existencia: el gusano MyDoom.

Nuestro Laboratorio ha comenzado a recibir este tipo de correos desde distintos usuarios, que evidentemente están infectados y no lo saben. Terminar con este tipo de infecciones es sumamente sencillo, ya que MyDoom es detectado y eliminado por todos los antivirus desde hace tiempo.

Es curioso como un malware puede reaparecer en ciertas zonas y conservando niveles de infección importantes, simplemente porque no se toman las medidas básicas recomendadas de utilizar un antivirus.

Cristian

• Representación gráfica de malware
• Netsky: peligrosamente insistente
• Conocer para educar y educar para prevenir (III): Gusanos

Categorias: Curiosidades, Malware
1 Comentario »

El próximo 8 de agosto del 2008 se llevara a cabo la convención anual de seguridad Defcon 16 en el Hotel Riviera de Las Vegas.

Durante la mismo se realizará el Race to Zero. Este evento consistirá en brindarle muestras de malware a los distintos participantes para que luego estos modifiquen las mismas y las suban al portal del concurso. Este portal analizará las muestras a través de una serie de motores antivirus y determinará si es una amenaza conocida o no.

El primer equipo o participante cuya muestra no sea detectada por ningún antivirus ganará la ronda. Cada ronda aumentará en complejidad a medida que el concurso avanza.

En las condiciones del concurso se aclara que las muestras modificadas no serán liberadas en la red (malware In-the-Wild).

También Randy Abrams, Director of Technical Education de ESET, menciona el tema.

Joaquín

• ESET te lleva a Canadá con todo pago
• Usted está aquí: Viena

Categorias: Curiosidades, Eventos
Sin Comentarios »

Cada tanto recibimos en nuestra bandeja de entrada consultas de usuarios -no del todo legales- algo curiosas, y esta mañana hemos desayunado con el siguiente mensaje (copio y pego):

deseo que me envien de sus descargas gratuitas de ESET NOD32 actualizado para mi pc les agradecería mucho y se que si hacen esto Dios les recompensara pues el dice en su palabra al que te pide dale

A estos usuarios les recomendamos el ingreso a nuestro sitio para descargar una versión de evaluación totalmente funcional, legal y actualizada que les permitirá evaluar por qué ESET NOD32 es el mejor antivirus del mercado.

Jorge

• Antivirus gratis…¿a qué precio?
• Piratería vs Protección
• Vulnerabilidad (otra vez) de Adobe Reader

Categorias: Curiosidades
1 Comentario »

En anteriores ocasiones hemos hablado de cómo usuarios maliciosos controlan sus botnets, de sus estadísticas de infección y de cómo se propaga este tipo de troyanos. Sin embargo, para poder cubrir todo el ciclo es necesario explicar las metodologías utilizadas para crear las mismas. Las tendencias que hemos observado consisten en modificar el código de bots ajenas (de otros delincuentes), para luego empaquetarlas e intentar volverlas indetectables pero, nunca falta alguien que lo facilite para el usuario malintencionado que no posee conocimientos de programación:

Como se observa, no es más que un creador de troyanos del tipo bots con entorno gráfico, en el que solo se deben especificar los siguientes parámetros:

• Nombre del servidor IRC
• Puerto del servidor
• Nombre del canal IRC
• Nick del administrador malicioso (botner) al que responderán los equipos infectados
• Métodos de propagación
• Nombre del archivo ejecutable
• Opción de empaquetar con UPX el ejecutable eligiendo, a su vez, el nivel de compresión
• Mensaje de respuesta del equipo zombi al conectarse
• Nombre del malware al copiarse al equipo
• Nombre del malware al copiarse al registro de Windows
• Establecer un icono para el malware

De esta forma no se necesitan conocimientos para crear una bot y su desarrollo se realiza con extremada facilidad. Sin embargo, a pesar de la multitud de opciones posibles, y de utilizar el nivel máximo de empaquetamiento, ESET NOD32 detecta el servidor creado bajo el nombre de Win32/Brabot.A.

Joaquín

• Troyanos comprimidos
• Blogs de Yahoo utilizados para spam

Categorias: Curiosidades, Malware
1 Comentario »

El gusano Netsky, quien en su momento de mayor “gloria” entabló una guerra con su par Bagle, después de varios años de ser detectado por la mayoría de las soluciones de seguridad antivirus, continúa con su intento de infección.

Aún hoy, y luego de cuatro años de vida, es realmente sorprendente cómo Netsky sigue con su travesía de tratar de infectar los equipos de los usuarios diseminándose a través del correo electrónico.

Bajo el mensaje I have received your document. The corrected document is attached (He recibido tu documento. Te adjunto el documento corregido) intenta que descarguemos un archivo comprimido que contiene, supuestamente, el documento prometido.

Al descomprimirlo, notamos que se trata de un archivo con doble extensión que simula ser un documento de texto, pero que su extensión real es .scr. Además, para simular aún más su condición de doble extensión, contiene espacios entre la extensión falsa (.rtf) y la real (.scr).

Como vemos en la siguiente captura, es detectado por ESET NOD32 bajo el nombre de Win32/Netsky.Q.

Aunque estas técnicas no son novedosas, siguen siendo aprovechadas por el malware y, por lo tanto, nos obliga a estar atentos en todo momento.

En el documento Disfrazando códigos maliciosos: Ingeniería Social aplicada al malware, se explica cuales son las técnicas que comúnmente utiliza el malware y de qué manera prevenir este tipo de casos.

Jorge

• Representación gráfica de malware
• Mariposa dañina
• Otro viaje en el tiempo: el gusano MyDoom

Categorias: Curiosidades, Malware
2 Comentario »

Los creadores de malware suelen tener ocurrencias bastantes particulares y esta ha sido muy curiosa. En una reciente nueva invasión de correo basura con enlaces a Nuwar (conocido como Storm Worm), uno de estos enlaces me condujo al siguiente sitio web para descargar un supuesto codec:

Esta autoreferencia a Storm Codec ha sido una guiño de ojo y una provocación para los que luchamos día a día con él y lo detectamos como Nuwar.GG.

Cristian

• Nuwar vuelve a la carga
• Ahora, Nuwar se viste de antispyware
• Las tarjetas virtuales de Nuwar

Categorias: Curiosidades, Malware
Sin Comentarios »

Siempre decimos que el principal orgullo de ESET NOD32 es proteger a todos los usuarios… ahora, en Israel, también los protegemos contra las caries:

Sin dudas la imaginación de algunos usuarios muchas veces nos deja sin palabras.

Visto en entrebits

Cristian

Categorias: Curiosidades
6 Comentario »