Al publicar el Tercer Desafío de ESET el objetivo era que los usuarios jugaran un rato, como en todos los anteriores, pero también que aprendan a distinguir rogue o sitios que distribuyan programas falsos.

En el desafío podían encontrarse productos o sitios web y, en cada uno de ellos, podía apreciarse algún elemento que delataba su veracidad o no. El resultado es el siguiente:

Productos o sitios falsos

02-xp-antispyware2009. Imagen tomada desde http://xpas-[ELIMINADO].com/ en donde se podía leer el texto mostrado y descargar el conocido XP Antivirus 2008/09/10. Esa página web ya no existe.

03-pluto-antivirus. Imagen tomada desde http://www.pluto[ELIMINADO].com. Página web de un programa falso de seguridad. Esta página web ya no existe.

04-InternetAntivirus. Imagen tomada desde http://ia-scanner-[ELIMINADO].com en donde se simulaba una aplicación de seguridad, siendo el comportamiento típico de un rogue. Esta página web ya no existe.

06-RegistryDoctor. Imagen tomada desde http://registry[ELIMINADO].com en donde se descarga una aplicación de seguridad falsa.

07-SpywarePreventer. Imagen tomada desde http://online-av-[ELIMINADO].com en donde se descarga una aplicación de seguridad falsa. Esta página web ya no existe.

08-esetnod32. Esta imagen era una de las más difíciles ya que por supuesto el producto ESET NOD32 existe pero la imagen mostrada corresponde a un sitio chino en donde se dan instrucciones para piratear nuestro producto.

12-av2009. Imagen tomada luego de la instalación de la aplicación de seguridad falsa Antivirus 2009/2010.

Productos o sitios verdaderos

00-2viruses. La imagen pertenece al sitio http://www.2-viruses.com/, desde donde es posible obtener guías para eliminar malware en forma manual.

01-spyhunter. La imagen pertenece al sitio http://www.411-spyware.com/spyware-scanner/spyware-scanner.php desde donde es posible descargar el producto SpyHunter.

05-SpywareDoctor. La imagen fue tomada desde el sitio http://www.pctools.com/es/spyware-doctor/, siendo verdaderos tanto la empresa como el producto.

09-kitty. Increíble pero real, tal y como mencionamos en nuestro blog cuando hablamos de Kitty Antivirus.

10-malwarebytes. Este caso también era difícil ya que la imagen corresponde a http://remove.malwaredatabase.net/ el cual podía ser confundido con otro sitio conocido, http://www.malwarebytes.org/. En ambos casos se trata de sitios reales en donde se dan instrucciones sobre remoción de malware en forma manual y también se ofrecen productos para descargar.

11-noadware. Corresponde a un producto real disponible en su sitio web http://www.noadware.net/

Al leer cada uno de los comentarios es fácil percibir lo complicado que esto puede resultar, si bien sólo se contaba con una imágen de parte del producto o del sitio en cuestión y se dejaba al participante el resto de la investigación.

Es así que luego de un par de días, llegó la respuesta correcta de mano de Marina a quien felicitamos y estaremos enviando su Licencia en los próximos días.

¡Nos vemos en el próximo!

Cristian

Promedio: 5

• Tercer Desafío de ESET: Verdadero o Falso
• Desafío y premio de ESET Latinoamérica
• Segundo Desafío de ESET

Categorias: Desafío
4 Comentarios »

Luego del éxito de los desafíos anteriores, en este caso y, debido a la gran cantidad de programas de seguridad falsos existentes en la actualidad, que reciben el nombre de rogue, el desafío que tienen nuestros lectores y cada usuario a menudo es saber si un determinado programa o sitio web es real o falso (descargando algún tipo de malware).

En este caso se tiene un conjunto de imágenes (contraseña “eset-latinoamerica”) y se debe responder si cada imagen corresponde a un programa de seguridad verdadero o a un rogue. En el caso de decidir que el programa es falso, se deberá justificar dicha decisión.

La primera persona que informe la respuesta correcta de cada una de las imagenes, ganará como siempre una Licencia de nuestro producto. Las respuestas deben ser dejadas en los comentarios y todas ellas serán publicados luego que se conozca al ganador.

Entonces, ¡a prestar atención y suerte!

Actualización 15-11-2008: cualquier medio sirve para obtener las respuestas pero hay que tener en cuenta que si se ingresa a un sitio de estos, los mismos pueden contener código dañino o rogue, por lo que es necesario contar con las medidas de protección adecuada y el usuario acepta que ingresa a esos sitios bajo su entera responsabilidad. ESET no proveerá URLs que puedan contener malware en ningún caso.

Actualización 16-11-2008: publico los comentarios hasta el momento, en donde pueden verse la gran cantidad de opiniones sobre cada programa.

Actualización 19-11-2008: hemos publicado la solución a este desafío.

Cristian

Promedio: 4.55

• Solución del Tercer Desafío de ESET
• Repercusiones sobre nuestro Desafío con Premio
• Desafío y premio de ESET Latinoamérica

Categorias: Certificaciones, Desafío, Educación
22 Comentarios »

Luego de estos días recibiendo respuestas del segundo Desafío de ESET vamos a dar a conocer la respuesta.

En realidad este desafío consistía de Ingeniería Social casi por completo. Nuestro “cliente” nos había enviado dos archivos (un .doc y un .exe). Si se abría y leía el documento se podía interpretar que se debía analizar el archivo ejecutable y hacia allí se dirigieron la mayoría de las respuestas recibidas pero, en realidad el supuesto cliente habia intentado engañarnos e infectarnos desde una macro insertada en el documento.

La mayoría de los análisis recibidos sobre este archivo fueron correctos ya que si se ejecuta bicho.exe con permisos administrativos, cada 12 segundos devuleve distintos mensajes al usuario y se crea un archivo NuMeRo.txt en el directorio c:\windows. En este archivo se almacena un contador de ejecuciones “1,2,3…” y luego de la quinta ejecución se entra en un ciclo que no lleva a ningún sitio.

Además y, para ampliar la confusión, el archivo ejecutable está empaquetado con el software open source UPX (que también puede utilizarse para desempaquetarlo) y si, al ejecutarlo, se amplia la ventana se puede apreciar una “X” en la esquina inferior derecha.

Sin embargo, todo ello no respondía la pregunta de nuestro “cliente” sobre la autoría del supuesto virus. En realidad nuestro supuesto cliente había intentado engañarnos y si habríamos el archivo .doc con permisos suficientes para ejecutar macros, se podría haber ejecutado un código dañino.

Además, y también para confundir, el archivo de texto está protegido con contraseña pero, al abrir las macros del archivo (sí, macros en 2008), se aprecia el siguiente código comentado:

Private Sub Loader4()
‘MsgBox Chr(25 * 2)
‘MsgBox Chr(25 + 32)
‘MsgBox Chr(25 + 40)
End Sub

Si se descomentan esas tres líneas de código VBA, se cierra y se vuelve a abrir el documento, se ven los mensajes “2″ (ASCII 50), “9″ (ASCII 57) y “A” (ASCII 65) con lo cual resolvemos el acertijo ya que el grupo 29A (666 en decimal) fue un reconocido grupo de investigación sobre virus y que cerró sus puertas este año. El grupo siempre se caracterizó por sus creaciones originales y no dañinas. Si se quiere conocer más detalles, se puede leer nuestra historia de los virus.

Notas:

• Por supuesto este programa ejecutable no fue escrito por el grupo 29A pero era parte del desafío reconocer el engaño, encontrar la macro, y mencionar a este grupo como uno de los más famosos de la historia de los virus informáticos.
• Tener o no antivirus instalado no influía en la solución.
• Desempaquetar o descompilar el archivo ejecutable, no influía en la solución.
• Desproteger el documento o encontrar la contraseña del mismo, no influía en la solución.
• La detección del archivo EXE como malware por parte de algunos antivirus corresponde a un Falso Positivo debido a que detectan el empaquetador UPX como posible amenaza.

Espero hayan disfrutado el desafío que tenía como objetivo conocer o recordar los siguientes puntos:

• Trabajar en seguridad antivirus no siempre significa conocer todos los aspectos técnicos de un problema determinado
• La técnica y el análisis de código es sólo una parte del trabajo
• Gran parte de los delincuentes informáticos actuales, utilizan Ingeniería Social para engañarnos e infectarnos y este es el punto fundamental que debe recordarse siempre

Una nota al margen (y freak) de este desafío era que la primera versión de UPX fue desarrollada por Markus y László en 1996, el mismo año en que nacía el grupo 29A.

La primera respuesta correcta y, posteriormente justificada, fue dada por Roberto, con quien ya nos hemos comunicado para entregarle su Licencia de ESET. ¡Felicitaciones! y nos vemos en el próximo.

Cristian

Promedio: 4.8

• Segundo Desafío de ESET
• Repercusiones sobre nuestro Desafío con Premio
• Desafío y premio de ESET Latinoamérica

Categorias: Curiosidades, Desafío, Educación
5 Comentarios »

En esta oportunidad un cliente nos ha reportado un archivo que dice ser dañino y una breve descripción del mismo en un documento. El cliente también nos hace una pregunta que deberemos responder.

Tal y como en el Primer Desafío, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. Nuevamente, el primero en responder correctamente se llevará una Licencia del Antivirus de ESET.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario. El usuario es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo.

Actualización 22:00 hs: el archivo no está dañado y se ejecuta. Si alguien lo ha descargado dañado quizás fuera un problema temporal del servidor o del archivo comprimido. Esto no forma parte del desafío por lo que por favor descarguen nuevamente el archivo.

Actualización 11-10-208 06:00 hs: recordar que todas las respuestas serán publicadas al momento de resolverse correctamente el desafío. Mientras esto no suceda, significa que el mismo no ha sido resuelto.

Actualización 14-10-208 02:00 hs: actualmente ha llegado una sola respuesta correcta pero el participante no ha mencionado como ha obtenido a la misma.

R.B., el grupo mencionado es el correcto pero debes indicarnos cómo has llegado a esa conclusión para conseguir el premio. Si llega la respuesta correcta y su justificación, durante la semana publicaremos todas las respuestas y mientras tanto hay tiempo para seguir participando.

Actualización 14-10-208 18:45 hs: inmediatamente despues de la actualización anterior han llegado dos respuestas correctas de las cuales se considera ganadora a la primera en arribar. La persona ganadora ya ha sido contactada y estará recibiendo su Licencia de ESET en breve. Luego, publicaremos los comentarios enviados y la respuesta correcta que, para aquellos que deseen seguir jugando, no tiene que ver con el archivo NuMeRo.txt. El desafìo ahora parece ser saber porqué hubo tantas respuestas incorrectas :).

Actualización 15-10-208 11:30 hs: ya se puede consultar la solución del Segundo Desafío.

Cristian

Promedio: 4.55

• Repercusiones sobre nuestro Desafío con Premio
• Solución del Segundo Desafío de ESET
• Desafío y premio de ESET Latinoamérica

Categorias: Curiosidades, Desafío, Educación
38 Comentarios »

Ante todo quiero agradecer a las respuestas brindadas y el tiempo dedicado por cada uno de los que intentó solucionar nuestro Primer Desafío.

Ahora vamos a brindar la solución del mismo y a responder las preguntas planteadas:

1. Lo primero que se debe hacer es, por supuesto, descargar el archivo .ZIP y descomprimirlo mediante la contraseña brindada.
2. Una vez descomprimido, nos encontramos con un archivo .TXT que al abrirlo con el block de notas se llega a la conclusión que en realidad es un código Javascript ofuscado de alguna manera.
3. Sabiendo que es un código Javascript, se debe agregar <script> al comienzo del mismo y </script> al final.
4. Luego se debe renombrar este archivo, cambiando la extensión del mismo a .htm (o .html) o bien a .js e insertarlo dentro de un archivo HTML. Cualquiera de las opciones hará que el archivo pueda ser visualizado en un navegador web. Supongamos que lo renombramos a .html para hacer más rápido el procedimiento.
5. Una vez renombrado, lo abrimos con un navegador web. Si decidimos abrirlo con cualquier navegador web distinto de Internet Explorer o con un Internet Explorer actualizado, no se apreciará resultado alguno y aquí empieza a aparecer la respuesta a la primera pregunta: el archivo debe abrirse con Internet Explorer 6 (o inferior) no actualizado y con Javascript habilitado. Posteriomente se verá qué actualización no debía tenerse instalada en el navegador para que el código sea ejecutado.
6. Dadas las condiciones previas y abierto el archivo HTML, se pide autorización al usuario para ejecutarlo, motivo por el cual se debía permitir la ejecución de scripts. En esta instancia, el código abre una ventana de comandos (shell) y en la barra de títulos se puede apreciar “/..//hola.exe“. Luego se cierra dicha ventana y se muestra un mensaje “…chau” en pantalla:



7. Apreciando dicha ventana, se puede llegar a la conclusión que se ha abierto un archivo ejecutable y sólo debemos encontrarlo. El lugar donde se aloja el archivo mencionado es el directorio X:/documents and setting/nombre-de-usuario donde X: es la unidad donde se encuentra instalado el sistema operativo. Con esto hemos terminado de responder la primera pregunta. Si abrimos el archivo ejecutable con el block de notas se puede apreciar que el archivo descargado es el mismo archivo TXT anterior. Esto fue realizado de esta manera para evitar ejecutar un código ejecutable real en el equipo del usuario, preservando de esta forma su seguridad y que el sistema no corra peligro en ningún momento.



8. A partir de ahora se pueden responder las demás preguntas visualizando el código ofuscado. Este código podría ser desofuscado siguiendo el procedimiento explicado en desofuscando un Trojan-Clicker o en desofuscando códigos Javascript.
9. También se puede “limpiar” el código, separarlo en más de una línea, identarlo para facilitar su lectura y eliminar los caracteres repetidos (“/\!|@|#|\$|%|\^|&|\*|\(|\)/”), que fueron utilizados para dificultar la interpretación del Javascript original.
10. Ahora, las condiciones que debían darse para ejecutar el código es la necesidad de Internet Explorer porque se debía permitir la ejecucuón de los ActiveX visualizados en el código desofuscado.
11. Los comandos Try y Catch se utililizan para capturar excepciones y evitar dar mensajes de error al usuario.
12. Se utilizan diversos objetos ActiveX creados a través de la función CreateObject:
    • Objeto msxml.XMLHTTP utilizado para realizar peticiones HTTP y descargar el código que posteriomente se ejecuta, en forma transparente al usuario.
    • Objeto Adodb.Stream (identificado en el código como clsid:BD96C556-65A3-11D0-983A-00C04FC29E36) utilizado para escribir el archivo descargado a disco. Sobre este objeto existía una vulnerabilidad que fue solucionada en el boletin MS06-014 en mayo de 2006 por Microsoft. Dicha vulnerabidad permitía la ejecución de código en el equipo del usuario con los mismos privilegios de este. Es decir que para que este código funcionara, el Internet Explorer utilizado debía carecer de la actualización de seguridad KB911562.
    • Objeto Shell.Application utilizado para ejecutar el código descargado.

Con esto hemos finalizado de responder las preguntas planteadas.

Notas:

• Tener o no antivirus instalado no influía en la solución.
• La detección del archivo TXT como malware por parte de algunos antivirus corresponde a un Falso Positivo.

El objetivo de este primer desafío fue luchar con un pequeño código ofuscado pero también hacer consciente al usuario de la necesidad de solventar las vulnerabilidades en las aplicaciones utilizadas. La vulnerabilidad de la cual se aprovecha esté código fue solucionada hace tiempo pero, sin embargo, miles de usuarios son infectados actualmente a través de ella.

Las respuestas pueden ser consultadas en los comentarios del Desafío y felicitamos a Emiliano por haber sido el primero en responderlo, obteniendo así la licencia de productos de ESET.

Espero hayan disfrutado el desafío y nos vemos en el próximo.

Cristian

Promedio: 4.2

• Desafío y premio de ESET Latinoamérica
• Segundo Desafío de ESET
• Tercer Desafío de ESET: Verdadero o Falso

Categorias: Curiosidades, Desafío, Educación
Dejar un comentario »

Agradecemos a todos la repercusión de nuestro desafío y premio de ESET Latinoamérica. Lo realmente interesante son las formas que se están utilizando para resolverlo y como siempre digo: todo vale siempre y cuando aprendamos en el proceso.

Las respuestas que han llegado aún no se publicarán para dar más tiempo a otros concursantes que quieran intentarlo y aprender con el desafío.

Entonces, ¿qué están esperando para intentarlo? y recuerden que todos los comentarios se publicarán posteriormente cuando se defina el ganador.

Actualización 21 hs: ya hay respuestas correctas y si bien sólo el primero en responder ganó, pueden seguir enviando sus respuestas y entrenando para el segundo desafío.

Cristian

Promedio: 5

• Desafío y premio de ESET Latinoamérica
• Segundo Desafío de ESET
• Premio para ESET Smart Security

Categorias: Curiosidades, Desafío, Educación
4 Comentarios »

Debido la gran cantidad de malware ofuscado y a las diversas formas de ofuscamiento que aparecen cada día, así como las distintas alternativas para hallar el código ejecutado en el explorador, hemos decidido publicar un pequeño desafío con premio para nuestros lectores.

Dado este código (contraseña “eset-latinoamerica”), se debe averiguar:

1. ¿Qué sucede al ejecutarlo?
2. ¿Qué condiciones deben darse para que suceda lo anterior?
3. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto.
4. Procedimiento detallado utilizado para llegar a las respuestas anteriores.

La primera persona que responda correctamente las preguntas ganará una licencia de por vida del antivirus de ESET y la solución será publicada en este Blog.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario. El usuario es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo.

Suerte y esperamos sus respuestas en los comentarios. Todos los comentarios serán publicados cuando haya un ganador.

Actualización 26-09-2008: hemos publicado la solución al desafío.

Cristian

Promedio: 4.38

• Repercusiones sobre nuestro Desafío con Premio
• Segundo Desafío de ESET
• Premio para ESET Smart Security

Categorias: Curiosidades, Desafío, Educación
16 Comentarios »