ESET Latinoamérica - Laboratorio

Archivo para la Categoria 'Educación'

Virus indetectable

Septiembre 22, 2008 12:00 pm

Es muy común escuchar la frase “Ningún antivirus detecta este virus”. Sin embargo y tal como expliqué en troyanos indetectables, esto es una situación pasajera.

Tomemos por ejemplo el siguiente gusano, no detectado en ese momento por ningún antivirus:

Esto sucede porque es muy común que los desarrolladores de malware prueben sus creaciones una y otra vez contra todos los antivirus (o contra los más comunes) y, cuando logran un nivel importante de no detecciones, deciden propagar su programa dañino.

La ventaja inmediata es obvia, ya que de este modo logran infectar a la mayor cantidad de usuarios posible, sea cual sea la solución de seguridad utilizada por el mismo.

Más allá de eso, como decía anteriormente esta situación es pasajera y los antivirus comenzarán a detectar este archivo ni bien se encuentre infectando a un usuario. En este caso el gusano se propagaba por mensajería electrónica y por supuesto fue detectado inmediatamente por ESET NOD32 como Win32/AutoRun.AAC.

Por eso también es fundamental contar con una solución que provea detección heurística para poder detectar malware desconocido hasta el momento.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.75
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Desafío y premio de ESET Latinoamérica

Septiembre 19, 2008 7:00 am

Debido la gran cantidad de malware ofuscado y a las diversas formas de ofuscamiento que aparecen cada día, así como las distintas alternativas para hallar el código ejecutado en el explorador, hemos decidido publicar un pequeño desafío con premio para nuestros lectores.

Dado este código (contraseña “eset-latinoamerica”), se debe averiguar:

  1. ¿Qué sucede al ejecutarlo?
  2. ¿Qué condiciones deben darse para que suceda lo anterior?
  3. ¿Qué objeto es utilizado en este script? Mencionar lo que se crea conveniente de este objeto.
  4. Procedimiento detallado utilizado para llegar a las respuestas anteriores.

La primera persona que responda correctamente las preguntas ganará una licencia de por vida del antivirus de ESET y la solución será publicada en este Blog.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario. El usuario es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo.

Suerte y esperamos sus respuestas en los comentarios. Todos los comentarios serán publicados cuando haya un ganador.

Actualización 26-09-2008: hemos publicado la solución al desafío.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.33
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Archivos dañados que dan Falsos Positivos

Septiembre 15, 2008 1:39 pm

Es normal que nuestro Laboratorio reciba archivos dañados y que se nos reporte que nuestro antivirus no detecta el mismo o que informa que el archivo se encuentra, justamente, dañado. Como ejemplo se nos envía un listado como el siguiente, de un archivo reportado a VirusTotal unos días atrás:

Archivo dañado

Si bien este reporte indica que 11 antivirus detectan el archivo como dañino, como podemos ver a continuación, si se intenta ejecutar el archivo, el sistema operativo informa que el mismo está dañado y por ende no se ejecutará, por lo cual es imposible que ocasione daño:

Archivo dañado

Es decir que la detección de los antivirus es en realidad incorrecta y esto es lo que se conoce como Falso Positivo. En consecuencia, este archivo no debería ser detectado por los antivirus y se debería ignorar el mismo, tal y como lo hace e informa correctamente ESET NOD32.

Entre otras cosas, la ausencia de Falsos Positivos es lo que permite a ESET tener la gran cantidad de certificaciones y premios actuales.

Aprovecho este espacio también para aclarar que VirusTotal no es una herramienta apropiada para comparar antivirus ni tampoco una herramienta de marketing, pero este tema lo trataré en breve.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 3.5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Éxito de la Gira de Seguridad en Chile

Septiembre 13, 2008 10:38 am

Luego de nuestra extensa Gira, podemos decir que los Seminarios y Cursos en Chile han tenido un gran éxito y repercusión en todo el país e incluso la Revista Gerencia ha publicado un artículo al respecto.

Los comentarios de cada una de las universidades, el público asistente a los seminarios y los alumnos de los cursos dictados, coincidieron con ESET en que la educación en Seguridad Antivirus es fundamental para evitar los nuevos tipos de ataques de los cuales somos víctimas actualmente.

Durante la primera semana, los seminarios gratuitos reunieron a todo tipo de público en las distintas universidades que colaboraron desinteresadamente en esta gira.

En la segunda semana, los alumnos de los cursos dictados gratuitamente en forma presencial y a través de nuestra Plataforma Educativa expresaron su agradecimiento por nuestro interés en capacitar y hacer conocer el malware y las formas de combatirlo. A continuación dejo una foto de uno de los cursos dictados en laboratorios de las universidades:

Gira Chile

Finalmente, quiero agradecer a las universidades, a los directivos, a los alumnos y a nuestro Distribuidor Exclusivo en Chile ELSAN por hacerme sentir como en casa. Además, invito a todos a ingresar a nuestra Plataforma Educativa mediante la cual podrán conocer nuestros cursos gratuitos en seguridad antivirus.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Las mentiras de Nuwar

Septiembre 9, 2008 2:13 pm

Sin lugar a dudas, desde su aparición durante el año 2004 el gusano Nuwar (también llamado Storm) supo ganarse la fama de insistente y, por qué no reconocerlo, bastante ingenioso en cuanto a sus metodologías de diseminación.

Sin embargo y a pesar de haber sido objeto de análisis por parte de nuestro Laboratorio y varios post escritos en nuestro Blog en varias oportunidades, me resultó interesante transcribirles algunos de los asuntos con los cuales suele aparece diariamente en nuestra casilla de correo electrónico.

Así que, aquí tienen unos pocos junto a sus traducciones:

  • Boy eats fried rat, pictures
    (Niño come rata frita, fotos)
  • Arnold says I’m gay too!
    (Arnold dice: yo también soy gay)
  • Obama admits extra-marital affair
    (Obama admite romance extra matrimonial)
  • Son Stabbed to Death, Mother Injured
    (Hijo muerto a puñaladas, madre herida)
  • Iran Executes 29 Convicts in One Day
    (Iran ejecuta 29 condenados en un día)
  • Madonna admits Timberlake affair
    (Madonna admite romance con Timberlake)
  • Spam King murder
    (Rey del spam asesinado)

Algunos más divertidos que otros, pero todos, absolutamente todos, muy peligrosos y también, absolutamente todos, detectados por ESET NOD32.

Es interesante mencionar que los creadores de Nuwar, también se encargan de propagar, utilizando los mismos métodos, un troyano downloader que ESET NOD32 identifica bajo el nombre de Win32/Agent.ETH.

Jorge

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Seminarios y Cursos en Chile

Septiembre 2, 2008 5:39 pm

Desde el lunes me encuentro en Chile realizando Seminarios y Cursos gratuitos sobre Seguridad Antivirus como parte de la Gira de capacitación que ESET comenzó hace 4 años con el objetivo de educar a todos los usuarios.

Los mismos son impartidos en diversas Universidades de Viña del Mar y Santiago de Chile y están orientados a técnicos, especialistas, profesores, alumnos y usuarios finales para afianzar los conocimientos sobre malware y sobre las formas en que se puede evitar ser infectado.

Así que ya lo sabes, se andas por estas ciudades, aquí nos vemos.

Actualización 22 hs: el calendario es el siguiente:

  • Lunes 1: Seminario en Universidad de la Américas (Viña del Mar) y DUOC
  • Martes 2 : Seminario en UCINF y Universidad de la Américas (Santiago)
  • Miercoles 3: Seminario en USACH e INACAP
  • Jueves 4 a miercoles 10: Curso en Universidad de Chile (mañana) y Universidad de las Américas (tarde)

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4.38
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Malware internacional alojado en sitios latinoamericanos (recomendaciones)

Agosto 28, 2008 7:28 pm

Los correos que apuntan a supuestos videos o imágenes y que, a final de cuentas, terminan descargando una amenaza son normales para cualquier usuario.

Por eso, hoy traemos a colación un caso atípico de esos correos porque el archivo malicioso al que apuntan se encuentra alojado en sitios argentinos (.com.ar) aunque por supuesto, existen casos registrados en toda América Latina. Estos sitios de empresa reales y conocidas en el ambiente, por un “simple descuido”, ven su imagen corporativa afectada seriamente:

Sitios vulnerados

Evidentemente estos sitios han sido vulnerados y un delincuente ha subido esos archivos al servidor. Este ingreso ilícito a un sitio web puede deberse generalmente a:

  • Problemas de programación del sitio en sí
  • Problemas de seguridad en el servidor que brinda los servicios de hosting (alojamiento web)
  • Permisos mal otorgados a los directorios públicos
  • Falta de actualizaciones en los sistemas bases que permite explotar vulnerabilidades
  • Mala administración de contraseñas

En las últimas horas, hemos encontrado una gran cantidad de sitios web latinoamericanos afectados por lo que les recomendamos a los administradores y webmaster que tengan en cuenta las siguientes recomendaciones:

Estar informados acerca de las técnicas utilizadas por los delincuentes y ser muy cuidadosos cuando suceden este tipo de ataques masivamente:

  • Actualizar todas las aplicaciones base (sistema operativo, web server, base de datos, etc.); hardening del sistema operativo.
  • Mantenerse informado de vulnerabilidades y actualizaciones.
  • Verificar el código fuente de sus aplicaciones para evitar ataques; hardening de aplicaciones.
  • Verificar su sitio periódicamente para detectar posibles vectores de ataques.
  • Si Ud. es una de las víctimas, informar a sus clientes y visitantes, evaluar la posibilidad de bajar el sitio, si es posible y necesario para verificar y solucionar el inconveniente (recuperar la base de datos, limpiar el código fuente, aplicar actualizaciones, etc.).
  • Administrar las contraseñas y que las mismas sean robustas
  • Contar con un antivirus con capacidades proactivas en los servidores, capaz de bloquear el archivo ejecutable dañino en el momento en que el delincuentes intente copiarlo.

Si se requiere más detalles, Google ha publicado hace un tiempo ¿Qué debes hacer si han hackeado tu sitio web? con información relacionada.

Nota: los sitios encontrados ya han sido notificados por ESET Latinoamérica.

Joaquín

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Troyanos indetectables

Agosto 24, 2008 11:08 am

En nuestro recorrido diario por la web es inevitable encontrarnos con este tipo de falacias:

  • Sitios con trucos para “hackear Hotmail, Yahoo!, Gmail, etc.”
  • Sitios para descargar (y/o comprar) un troyano indetectable

No me detendré por la primera porque queda claro que no existe sobre la faz de Internet, tontería más grande pero sí haré algunas preguntas sobre la segunda oferta.

  • ¿Qué se supone que es un troyano indetectable? supongamos que es un programa que no detecta ninguna herramienta de seguridad (por supuesto tampoco los antivirus)
  • ¿Indetectable para quién? supongamos que por todos los antivirus
  • ¿Indectable por cuánto tiempo? supongamos que por siempre o por el tiempo que dure una supuesta licencia o por el tiempo que paguemos o hasta que aparezca una nueva versión.

Entonces, realmente ¿ese programa es indetectable? La respuesta es no. No existe (al menos hasta hoy) un software que no pueda ser detectado y quien decida afirmar lo contrario debería leer las conclusiones de Fred Cohen en su tesis doctoral.

Así como no existe un programa que pueda asegurar detectar el 100% de los códigos dañinos, para cualquier programa se puede encontrar un algoritmo que diga si el mismo es dañino o no.

Dejando la teoría de lado y yendo a la práctica, para una compañía antivirus es tan sencillo como ingresar al sitio web que promociona el supuesto troyano indetectable, descargar el mismo, analizarlo y obtener una firma para su detección (o un algoritmo heurístico para las versiones siguientes). Por ende, un programa de este tipo será “indectectable” sólo por cierto tiempo.

Por último, existe una gran diferencia entre esos troyanos y aquellos que aseguran un código indetectable para sus clientes y cada vez que el mismo es detectado, le envían al usuario una nueva versión modificada, reempaquetada y no detectable (nuevamente por X tiempo). Es común que algunos troyanos comerciales utilicen esta técnica:

Troyanos indetectables

Ahora ya lo saben: Hotmail no es hackeable al menos para cualquiera y los troyanos indetectables son un engaño.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

¿Páginas web que conducen a nada?

Agosto 20, 2008 12:10 pm

Hace bastante tiempo que tengo ganas de escribir unas breves líneas sobre una de las técnicas de infección que más se esta utilizando en la actualidad, Drive-by-Download, y de la cual hemos escrito el artículo  drive-by-Download: infección a través de sitios web.

Quizá para muchos de nuestros lectores, quede la sensación de que este tema es muy técnico. Por ende, voy a tratar de remediar ese pensamiento (en caso de que alguno lo haya pensado) y tratar de explicar de manera breve, qué es lo que ven los usuarios menos experimentados cuando se encuentran con uno de estos casos.

Básicamente sucede que el usuario, al acceder a determinada página web, sin importar de qué manera llegó a ella, el navegador se queda “pensando” por unos segundos tardando más de lo normal en cargar la página, o directamente no muestra nada. Algo parecido a lo siguiente:


Bajo estas circunstancias, los usuarios tenderían a cerrar la página y listo. Sin embargo, al mirar el código fuente nos encontramos con lo siguiente:


O cosas como lo siguiente donde al ver el código de la página, se visualizan una serie de script ofuscados:


En ambos casos, las páginas web son maliciosas. Contiene una etiqueta iframe que le permite invocar otra página sin que el usuario se percate de ello; pero además, también tienen script maliciosos que verifican la existencia de vulnerabilidades en el equipo cada vez que el usuario ingrese a la página, infectando de esta manera y en pocos segundos a todos aquellos que accedan a la web.

Salvo que hayan hecho caso a nuestros consejos y hayan actualizado su sistema operativo y sus aplicaciones, incluido ESET NOD32.

No obstante, es recomendable la lectura de de los post ejecución transparente de códigos maliciosos I y II para tratar de cerrar un poco más la idea y asimilar mejor los conceptos.

Cada vez que al ingresar a una web, notan que la misma “piensa” demasiado, duden.

Y si termina de cargar pero no muestra absolutamente nada, acuerdense de estas líneas y también duden. Ser precavidos no significa ser paranoicos, la idea es que para navegar seguros, también es necesario ser cautelosos, y eso depende netamente de nosotros ¿no les parece?

Jorge

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 4
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Creando firmas y jugando con adobe_flash.exe

Agosto 15, 2008 10:40 am

Ya me cansé de recibir correos de CNN y MSNBC así que ahora lo tomo como un juego y sobre todo luego de GMail los bloqueara.

Me puse a jugar con las variantes de este agente detectado por ESET NOD32 como una variante de Win32/Agent.ETH y que tiene como objetivo descargar el instalador de Antivirus XP 2008 de diferentes sitios.

En este juego lo primero que me preocupó es el porcentaje de antivirus que no detectan esta amenaza, ya que sólo del 60 al 70% (según la variante) lo hace efectivamente según VirusTotal. Esto da una idea de lo dinámico que es este código (se modifica continuamente) y de lo eficiente que debe ser la heurística que detecta cada una de estas variantes.

Para probar esto cree una “firma” para detectar estos archivos y creo haber logrado algo bastante aceptable, ya que las variantes actuales son identificadas correctamente por mi firma:

Firma Antivirus

¿Qué quiero demostrar con esto? Que cuando los creadores de este malware modifiquen nuevamente sus creaciones mi firma ya no servirá y deberé crear otra nueva, con el tiempo que esto conlleva.

Ahora supongamos que en vez de un malware yo tuviera que crear las firmas de miles… Imaginen el tiempo invertido y generalmente para que la “solución” sea temporal (quizá sólo minutos). Además también pensemos en la cantidad de falsos positivos que podrían generarse, porque no confiaría que mi firma no detecta un archivo del sistema como dañino.

En conclusión, si decidiera lanzar mi firma al mercado, ella sería un fracaso por lo inexacta y por lo temporal de mi solución (y ni siquiera consideremos la velocidad de exploración).

Lo explicado sucede en un Laboratorio de análisis de malware y por eso es necesario que las soluciones sean genéricas, proactivas e inteligentes para que el trabajo invertido sea realmente provechoso y no un juego, como en mi caso.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame