Luego de la repercusión de I y II y, ante la duda expresada por correo de algunos usuarios, paso a aclarar algunos puntos fundamentales de esta amenaza:

1. Que el correo sea enviado por usuarios legítimos significa que los correos proceden de cuentas de Hotmail, Yahoo! o GMail de cualquier usuario (como las suyas o las mías) y que los correos no son simulados sino que realmente provienen de esas cuentas debido a que el delincuente tiene el usuario y la clave de las mismas. Por eso, cambiar la clave del correo es la solución en este caso.
2. Si Ud. ingresó sus datos en sitios dudosos o sospecha que su usuario y contraseña pueden haber sido robados, cambie la contraseña de su correo inmediatamente.
3. La cantidad de infecciones sigue creciendo llegando en este momento a 30.000 descargas del malware en menos de 48 hs. Esto puede deberse a que actualmente muy pocos antivirus detectan la amenaza y que además existen más cuentas robadas continuamente, lo que ayuda a alimentar este círculo vicioso.
4. Luego de instalarse, el gusano detectado por ESET NOD32 como Banwor roba sistemáticamente usuarios y contraseñas de correos y cuentas bancarias y actualmente existen tres variantes del mismo, que están siendo utilizados en este ataque. Los archivos .dll y .exe residen en la siguiente carpeta:

   

   Estos archivos corresponden a:

   • gbppdist.dll -> Win32/Banwor.NBG
   • gbiehdst.dll y gbppsv.exe -> Win32/Banwor.NBI
   • gbplib.dll -> Win32/Banwor.NBF
5. La modificación llevada a cabo en el sistema puede verse claramente mediante ESET SysInspector en donde diversos archivos del sistema son inyectados por el gusano para mantener el control del mismo:

   

Nuevamente, cuide sus datos personales, cambie su contraseña, verifique su sistema con un antivirus con capacidades proactivas y revise las carpetas de su sistema en busca de archivos sospechosos.

Actualización 18:00 Hs: Los archivos mencionados anteriormente corresponden a “Plugins” del malware, los cuales roban datos de cuentas diferentes bancos de Brasil, país de cual proviene Banwor.

Actualización 19/07/2008 21:00 Hs: A continuación dejo una imagen del archivo grabado por el gusano Banwor y su contenido con información robada, al ingresar a un banco de Brasil:

Los bancos afectados pueden cambiar dependiendo de la versión de Banwor que se trate.

Cristian

Vota primero

Categorias: Alertas, Curiosidades, Educación, Eventos, Malware, Spam
Dejar un comentario »

En las últimas horas nuestro Laboratorio ha recibido una alta cantidad de correos provenientes de cuentas reales y conteniendo enlaces a archivos dañinos. Los correos provienen de cuentas legítimas (no spoofeadas) de usuarios de distintos servicios de webmail (como Hotmail, Yahoo! y GMail).

El correo (y su encabezado) que llega puede lucir como el siguiente:

Al intentar ver el archivo (en este caso un supuesto curriculum), se ingresa a un sitio de alojamiento gratuito de archivos:

Al descargar este archivo en realidad se está descargando un malware que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.QPR.

Para tener una idea de la cantidad de usuarios que han descargado la amenaza se pueden ver las estadísticas de descargas de este archivo en particular:

Como puede verse, en un día el archivo ha sido descargado 12.945 veces (hasta el momento), lo cual hace pensar en la gran cantidad de posibles usuarios infectados, si los mismos no disponían de una protección adecuada.

Es fundamental remarcar que los correos son reales debido a que esto implica que usuarios malintencionados han tenido acceso a los datos de la cuenta (usuario y contraseña) de los correos comprometidos.

El Laboratorio de ESET se puso en contacto con usuarios dueños de las cuentas comprometidas y se le solicitó que cambiarán la contraseña de su correo. Como resultado el envío de correos se detuvo inmediatamente.

Si bien se desconoce la forma en que estos datos pudieron ser obtenidos, la masividad del caso hace pensar en un método automático para obtenerlas como puede ser el uso de keylogger o el ingreso de estos datos, por parte de la víctima, en servicios no oficiales (foros, redes sociales, sitios que brindan información de bloqueo en los mensajeros, etc.), los cuales podrían robar estos datos para comercializarlos posteriormente.

Actualización 19:00 hs: en propagación de malware vía correos legítimos II analizamos el funcionamiento y la forma en como este malware roba usuarios y contraseñas de posibles nuevas víctimas.

Cristian y Joaquín

Vota primero

Categorias: Alertas, Curiosidades, Malware, Spam
4 Comentarios »

Hoy nos hizo acordar Andrés que cumplimos un año de vida ya que este día del año pasado ESET Latinoamérica lanzó sus Blogs de Laboratorio y Comunicación.

Desde nuestro humilde lugar nos sentimos orgullosos de haber brindado 301 posts (casi uno diario) informando sobre las nuevas amenazas, técnicas y tendencias en lo que a malware y seguridad antivirus se refiere.

Esperamos que ustedes se hayan sentido bien leyéndonos y pueden dejar sus regalos en los comentarios.

El equipo del Laboratorio de ESET Latinoamérica.

Vota primero

Categorias: Curiosidades, Eventos
2 Comentarios »

Según se informa en diversos medios se está aprovechando una dirección registrada por Homero Simpson para propagar malware. ¿Cómo?

En realidad sucede que en un capítulo de la temporada 14 de Los Simpsons, Homero registra su dirección de correo electrónico en AOL. Esta dirección fue registrada efectivamente por los productores de la conocida serie y los fanáticos por supuesto lo agregaron como contacto en su mensajero AIM. Incluso las consultas registradas fueron respondidas por algún tiempo por los productores.

Actualmente, ese “contacto” está siendo utilizado como anzuelo para propagar un conocido troyano a través del mensajero y con un enlace que apunta a un sitio de descargas gratuito al archivo kimya.exe:

Como puede verse, el troyano es detectado por ESET NOD32 como Turkojan, un programa cliente/servidor tipo RAT (Remote Administration Tool) que permite el control remoto del usuario infectado.

Esto demuestra el ingenio que tienen los creadores de malware al propagar sus creaciones.

Cristian

Vota primero

Categorias: Curiosidades, Ingeniería Social, Malware
5 Comentarios »

Las redes de computadoras zombies se han trasformado en complejas amenazas manipuladas por personajes malintencionados que aprovechan toda la potencialidad del esquema brindado por un ambiente distribuido para realizar diversos tipos de ataques.

Este ambiente distribuido está conformado por cada una de las computadoras que determinado malware ha comprometido, y para controlarlas existe infinidad de aplicaciones que permiten controlar las Botnets a través de alguna interfaz web o un panel de control.

Hace un tiempo, nuestro Laboratorio ha encontrado un panel de control que nos llamo la atención debido a lo “amigable” que pretende ser su interfaz de acceso. A continuación, les mostramos una captura:

En este caso, se destaca y llama la atención la viva imagen de una serpiente junto a los campos de acceso a la bot.

Nos preguntamos entonces ¿por qué una serpiente? Aunque existen muchos mitos en torno a este reptil, uno de los relatos más escuchados se basa en la creencia de que son muy tentadoras. ¿Habrá querido transmitir esto su autor?

Jorge

Vota primero

Categorias: Curiosidades, Malware
Dejar un comentario »

Aunque encontrar la “fotografía” de un malware puede resultar extremadamente difícil, ya no lo será tanto gracias a la mano de un artista gráfico de origen rumano que hace un tiempo dirige un proyecto mediante el cual representa, de manera gráfica, alguno de los códigos maliciosos más famosos.

El nombre del artista es Alex Dragulescu y el proyecto que dirige, y del cual les hablo, se llama malwarez. Alguno de los códigos maliciosos que este artista ha dibujado son Netsky, Nuwar, Agent, entre otros.

La siguiente imagen representa la “fotografía” de PSW.OnlineGames, Nuwar y MyDoom respectivamente:

El proyecto formó parte de una campaña publicitaria para una empresa de seguridad, y si bien ya existe antecedente de otro proyecto de este estilo, la representación gráfica de códigos maliciosos creada por este artista cuenta con una original calidad en cada uno de los diseños.

Jorge

Vota primero

Categorias: Curiosidades, Malware en imágenes
Dejar un comentario »

Como saben, en este Blog no solemos realizar comentarios sobre campañas de marketing o comerciales sobre productos pero esta vez haré una excepción debido a la gran cantidad de consultas recibidas y a las confusiones que ha generado este tema: el ransomware, criptovirus o “virus extorsionador” denominado por ESET NOD32 como Win32/Gpcode.AK.

Se trata de un malware que procede a infectar el equipo del usuario, a cifrar los archivos de cierto tipo (generalmente de ofimática o relacionados), eliminar los archivos originales y proceder a mostrar un mensaje informando que para recuperarlos se debe pagar un “rescate virtual”, a través de algún medio de pago en Internet.

Esta variante de Gpcode en particular cifra los archivos utilizando criptografía de clave pública basada en el algoritmo RSA con claves de 1024 bits de longitud, lo que dificulta su descifrado.

En los últimos días una empresa, tras el anuncio de la aparición de este malware, propone a los usuarios y expertos su colaboración para romper la llave privada utilizada para cifrar los archivos. Posteriormente se ratificó esa afirmación y se dijo que en realidad se quería encontrar errores en la implementación del algoritmo para obtener dicha clave. Estas afirmaciones hicieron que se publicara que se quería romper (crackear) la clave utilizada, siendo esto imposible actualmente.

Esta intención de “romper la clave” hubiera sido muy buena, con la excepción de que quizá podamos tardar un par de cientos de años (y millones de computadoras) en factorizar una clave RSA de 1024 bits (ganando, eso sí, U$S 100.000 en el proceso) y que además ese esfuerzo sería inútil debido a que el creador del malware lo único que debería hacer es cambiar el par de llaves utilizadas.

Dejando de lado el marketing viral y retomando el tono educativo de este Blog sugiero prevenir, no infectarse y, si esto sucede, se pueden utilizar herramientas para la recuperación de los archivos eliminados sin necesidad de descifrar el archivo perdido y sin soñar con romper claves irrompibles para el poder de cómputo actual.

Cristian

Vota primero

Categorias: Curiosidades, Declaraciones, Malware
3 Comentarios »

Mientras seguimos disfrutando de Centroamérica en nuestros seminarios y Congreso de Seguridad, nuestro Laboratorio no se detiene y es curioso ver como viejas amenazas vuelven a aparecer luego de tanto tiempo.

Lo mencionaba en el caso de Netsky, un viaje en el tiempo y en estos días vuelve a pasar con un malware con más de 4 años de existencia: el gusano MyDoom.

Nuestro Laboratorio ha comenzado a recibir este tipo de correos desde distintos usuarios, que evidentemente están infectados y no lo saben. Terminar con este tipo de infecciones es sumamente sencillo, ya que MyDoom es detectado y eliminado por todos los antivirus desde hace tiempo.

Es curioso como un malware puede reaparecer en ciertas zonas y conservando niveles de infección importantes, simplemente porque no se toman las medidas básicas recomendadas de utilizar un antivirus.

Cristian

Vota primero

Categorias: Curiosidades, Malware
1 Comentario »

El próximo 8 de agosto del 2008 se llevara a cabo la convención anual de seguridad Defcon 16 en el Hotel Riviera de Las Vegas.

Durante la mismo se realizará el Race to Zero. Este evento consistirá en brindarle muestras de malware a los distintos participantes para que luego estos modifiquen las mismas y las suban al portal del concurso. Este portal analizará las muestras a través de una serie de motores antivirus y determinará si es una amenaza conocida o no.

El primer equipo o participante cuya muestra no sea detectada por ningún antivirus ganará la ronda. Cada ronda aumentará en complejidad a medida que el concurso avanza.

En las condiciones del concurso se aclara que las muestras modificadas no serán liberadas en la red (malware In-the-Wild).

También Randy Abrams, Director of Technical Education de ESET, menciona el tema.

Joaquín

Vota primero

Categorias: Curiosidades, Eventos
Dejar un comentario »

Cada tanto recibimos en nuestra bandeja de entrada consultas de usuarios -no del todo legales- algo curiosas, y esta mañana hemos desayunado con el siguiente mensaje (copio y pego):

deseo que me envien de sus descargas gratuitas de ESET NOD32 actualizado para mi pc les agradecería mucho y se que si hacen esto Dios les recompensara pues el dice en su palabra al que te pide dale

A estos usuarios les recomendamos el ingreso a nuestro sitio para descargar una versión de evaluación totalmente funcional, legal y actualizada que les permitirá evaluar por qué ESET NOD32 es el mejor antivirus del mercado.

Jorge

Vota primero

Categorias: Curiosidades
1 Comentario »