Desde el lunes me encuentro en Chile realizando Seminarios y Cursos gratuitos sobre Seguridad Antivirus como parte de la Gira de capacitación que ESET comenzó hace 4 años con el objetivo de educar a todos los usuarios.

Los mismos son impartidos en diversas Universidades de Viña del Mar y Santiago de Chile y están orientados a técnicos, especialistas, profesores, alumnos y usuarios finales para afianzar los conocimientos sobre malware y sobre las formas en que se puede evitar ser infectado.

Así que ya lo sabes, se andas por estas ciudades, aquí nos vemos.

Actualización 22 hs: el calendario es el siguiente:

• Lunes 1: Seminario en Universidad de la Américas (Viña del Mar) y DUOC
• Martes 2 : Seminario en UCINF y Universidad de la Américas (Santiago)
• Miercoles 3: Seminario en USACH e INACAP
• Jueves 4 a miercoles 10: Curso en Universidad de Chile (mañana) y Universidad de las Américas (tarde)

Cristian

Promedio: 4.38

• Éxito de la Gira de Seguridad en Chile
• Sigue el éxito de ESET en Chile
• Felicitaciones Chile

Categorias: Curiosidades, Educación
8 Comentarios »

Los correos que apuntan a supuestos videos o imágenes y que, a final de cuentas, terminan descargando una amenaza son normales para cualquier usuario.

Por eso, hoy traemos a colación un caso atípico de esos correos porque el archivo malicioso al que apuntan se encuentra alojado en sitios argentinos (.com.ar) aunque por supuesto, existen casos registrados en toda América Latina. Estos sitios de empresa reales y conocidas en el ambiente, por un “simple descuido”, ven su imagen corporativa afectada seriamente:

Evidentemente estos sitios han sido vulnerados y un delincuente ha subido esos archivos al servidor. Este ingreso ilícito a un sitio web puede deberse generalmente a:

• Problemas de programación del sitio en sí
• Problemas de seguridad en el servidor que brinda los servicios de hosting (alojamiento web)
• Permisos mal otorgados a los directorios públicos
• Falta de actualizaciones en los sistemas bases que permite explotar vulnerabilidades
• Mala administración de contraseñas

En las últimas horas, hemos encontrado una gran cantidad de sitios web latinoamericanos afectados por lo que les recomendamos a los administradores y webmaster que tengan en cuenta las siguientes recomendaciones:

Estar informados acerca de las técnicas utilizadas por los delincuentes y ser muy cuidadosos cuando suceden este tipo de ataques masivamente:

• Actualizar todas las aplicaciones base (sistema operativo, web server, base de datos, etc.); hardening del sistema operativo.
• Mantenerse informado de vulnerabilidades y actualizaciones.
• Verificar el código fuente de sus aplicaciones para evitar ataques; hardening de aplicaciones.
• Verificar su sitio periódicamente para detectar posibles vectores de ataques.
• Si Ud. es una de las víctimas, informar a sus clientes y visitantes, evaluar la posibilidad de bajar el sitio, si es posible y necesario para verificar y solucionar el inconveniente (recuperar la base de datos, limpiar el código fuente, aplicar actualizaciones, etc.).
• Administrar las contraseñas y que las mismas sean robustas
• Contar con un antivirus con capacidades proactivas en los servidores, capaz de bloquear el archivo ejecutable dañino en el momento en que el delincuentes intente copiarlo.

Si se requiere más detalles, Google ha publicado hace un tiempo ¿Qué debes hacer si han hackeado tu sitio web? con información relacionada.

Nota: los sitios encontrados ya han sido notificados por ESET Latinoamérica.

Joaquín

Promedio: 5

• Nueva técnica de infección afecta a administradores web
• Phishing a Banamex
• ESET te lleva a Canadá con todo pago

Categorias: Educación, Malware, Spam
Dejar un comentario »

En nuestro recorrido diario por la web es inevitable encontrarnos con este tipo de falacias:

• Sitios con trucos para “hackear Hotmail, Yahoo!, Gmail, etc.”
• Sitios para descargar (y/o comprar) un troyano indetectable

No me detendré por la primera porque queda claro que no existe sobre la faz de Internet, tontería más grande pero sí haré algunas preguntas sobre la segunda oferta.

• ¿Qué se supone que es un troyano indetectable? supongamos que es un programa que no detecta ninguna herramienta de seguridad (por supuesto tampoco los antivirus)
• ¿Indetectable para quién? supongamos que por todos los antivirus
• ¿Indectable por cuánto tiempo? supongamos que por siempre o por el tiempo que dure una supuesta licencia o por el tiempo que paguemos o hasta que aparezca una nueva versión.

Entonces, realmente ¿ese programa es indetectable? La respuesta es no. No existe (al menos hasta hoy) un software que no pueda ser detectado y quien decida afirmar lo contrario debería leer las conclusiones de Fred Cohen en su tesis doctoral.

Así como no existe un programa que pueda asegurar detectar el 100% de los códigos dañinos, para cualquier programa se puede encontrar un algoritmo que diga si el mismo es dañino o no.

Dejando la teoría de lado y yendo a la práctica, para una compañía antivirus es tan sencillo como ingresar al sitio web que promociona el supuesto troyano indetectable, descargar el mismo, analizarlo y obtener una firma para su detección (o un algoritmo heurístico para las versiones siguientes). Por ende, un programa de este tipo será “indectectable” sólo por cierto tiempo.

Por último, existe una gran diferencia entre esos troyanos y aquellos que aseguran un código indetectable para sus clientes y cada vez que el mismo es detectado, le envían al usuario una nueva versión modificada, reempaquetada y no detectable (nuevamente por X tiempo). Es común que algunos troyanos comerciales utilicen esta técnica:

Ahora ya lo saben: Hotmail no es hackeable al menos para cualquiera y los troyanos indetectables son un engaño.

Cristian

Promedio: 4

• Virus indetectable
• El negocio de los códigos maliciosos
• Creando una Bot en dos clics

Categorias: Educación, Malware
Dejar un comentario »

Hace bastante tiempo que tengo ganas de escribir unas breves líneas sobre una de las técnicas de infección que más se esta utilizando en la actualidad, Drive-by-Download, y de la cual hemos escrito el artículo  drive-by-Download: infección a través de sitios web.

Quizá para muchos de nuestros lectores, quede la sensación de que este tema es muy técnico. Por ende, voy a tratar de remediar ese pensamiento (en caso de que alguno lo haya pensado) y tratar de explicar de manera breve, qué es lo que ven los usuarios menos experimentados cuando se encuentran con uno de estos casos.

Básicamente sucede que el usuario, al acceder a determinada página web, sin importar de qué manera llegó a ella, el navegador se queda “pensando” por unos segundos tardando más de lo normal en cargar la página, o directamente no muestra nada. Algo parecido a lo siguiente:

Bajo estas circunstancias, los usuarios tenderían a cerrar la página y listo. Sin embargo, al mirar el código fuente nos encontramos con lo siguiente:

O cosas como lo siguiente donde al ver el código de la página, se visualizan una serie de script ofuscados:

En ambos casos, las páginas web son maliciosas. Contiene una etiqueta iframe que le permite invocar otra página sin que el usuario se percate de ello; pero además, también tienen script maliciosos que verifican la existencia de vulnerabilidades en el equipo cada vez que el usuario ingrese a la página, infectando de esta manera y en pocos segundos a todos aquellos que accedan a la web.

Salvo que hayan hecho caso a nuestros consejos y hayan actualizado su sistema operativo y sus aplicaciones, incluido ESET NOD32.

No obstante, es recomendable la lectura de de los post ejecución transparente de códigos maliciosos I y II para tratar de cerrar un poco más la idea y asimilar mejor los conceptos.

Cada vez que al ingresar a una web, notan que la misma “piensa” demasiado, duden.

Y si termina de cargar pero no muestra absolutamente nada, acuerdense de estas líneas y también duden. Ser precavidos no significa ser paranoicos, la idea es que para navegar seguros, también es necesario ser cautelosos, y eso depende netamente de nosotros ¿no les parece?

Jorge

Promedio: 4

• ESET te lleva a Canadá con todo pago
• Conexión Dial-Up fraudulenta
• ¿Sabemos por donde navegan nuestros hijos?

Categorias: Educación, Malware, Tutoriales
Dejar un comentario »

Ya me cansé de recibir correos de CNN y MSNBC así que ahora lo tomo como un juego y sobre todo luego de GMail los bloqueara.

Me puse a jugar con las variantes de este agente detectado por ESET NOD32 como una variante de Win32/Agent.ETH y que tiene como objetivo descargar el instalador de Antivirus XP 2008 de diferentes sitios.

En este juego lo primero que me preocupó es el porcentaje de antivirus que no detectan esta amenaza, ya que sólo del 60 al 70% (según la variante) lo hace efectivamente según VirusTotal. Esto da una idea de lo dinámico que es este código (se modifica continuamente) y de lo eficiente que debe ser la heurística que detecta cada una de estas variantes.

Para probar esto cree una “firma” para detectar estos archivos y creo haber logrado algo bastante aceptable, ya que las variantes actuales son identificadas correctamente por mi firma:

¿Qué quiero demostrar con esto? Que cuando los creadores de este malware modifiquen nuevamente sus creaciones mi firma ya no servirá y deberé crear otra nueva, con el tiempo que esto conlleva.

Ahora supongamos que en vez de un malware yo tuviera que crear las firmas de miles… Imaginen el tiempo invertido y generalmente para que la “solución” sea temporal (quizá sólo minutos). Además también pensemos en la cantidad de falsos positivos que podrían generarse, porque no confiaría que mi firma no detecta un archivo del sistema como dañino.

En conclusión, si decidiera lanzar mi firma al mercado, ella sería un fracaso por lo inexacta y por lo temporal de mi solución (y ni siquiera consideremos la velocidad de exploración).

Lo explicado sucede en un Laboratorio de análisis de malware y por eso es necesario que las soluciones sean genéricas, proactivas e inteligentes para que el trabajo invertido sea realmente provechoso y no un juego, como en mi caso.

Cristian

Vota primero

• Rootkits, jugando a las escondidas
• Heurística de fin de semana
• Informe de IBM confirma datos de ESET

Categorias: Educación, Heurística
Dejar un comentario »

Creo que ya no es noticia para nadie que desde hace un par de semanas se está aprovechando a CNN como excusa para propagar malware y que comenzó con la campaña de los videos de famosas desnudas (y no sólo Angelina Jolie).

Por eso en este caso analizaré las técnicas que se están empleando para hacer esta campaña que tiene como objetivo que el usuario descargue el troyano Win32/Agent.ETH que luego descarga el rogue Antivirus XP 2008 que ESET NOD32 detecta a través de su Heurística Avanzada como variante de Win32/TrojanDownloader.FakeAlert.FT y que es objeto de estudio nuestro artículo Rogue: falsos antivirus gratis.

Para propagarse, en el primer caso se envía spam con supuestas noticias y texto llamativos para que el usuario se vea tentado de hacer clic.

Estos correos utilizan una técnica básica de Ingeniería Social y generalmente incluyen logos de algún medio de comunicación (como CNN ó BBC) para lograr mayor impacto y credibilidad. En los últimos casos analizados también se insertan enlaces a noticias reales con el mismo fin. En este ejemplo, se puede ver un supuesto servicio llamado “CNN Alerts” para lograr el efecto deseado:

Cabe mencionar que CNN dispone de este servicio de información CNN E-Mails a través del correo electrónico, pero el usuario debe registrarse previamente para recibir las noticias. Es decir, que este tipo de engaño puede obtener mayor repercusión en usuarios registrados ya que los mismos podrían confundir el correo real con el falso.

Hasta aquí es noticia vieja, ya que es normal que el malware se propague por spam. Lo novedoso de esta campaña es que los creadores de malware también la están difundiendo por la web a través del servicio de Blog de Google:

Como puede verse, la metodología es la misma y a la derecha se pegó la cantidad de posts publicados en ese blog durante su laaaaaaarga vida… desde 1979 año en que había alrededor de 3 computadoras conectadas en el mundo, las usaban los militares norteamericanos e Internet, como la conocemos hoy, aún no existía. Además, evidentemente esta persona conoce la forma de viajar al futuro, al Año 2013 específicamente.

Por supuesto, se trata de la creación masiva de posts en blogs creados automáticamente para engañar a los usuarios. Lo grave de este caso es que si se realiza una búsqueda en cualquier buscador, se pueden encontrar más de 8.000 sitios de este tipo:

Lo realmente peligroso es que el usuario podría ingresar a estos sitios desde el mismo buscador y ser infectado, si no cuenta con la protección adecuada.

Por eso, es fundamental no abrir nada que no se haya solicitado y prestar especial atención a las URL de las búsquedas que se realizan, así como también desconfiar de los servicios a los que no se está suscripto.

Cristian

Vota primero

• La Wikipedia utilizada para propagar malware
• Homero Simpson propaga un troyano
• Falsos correos de FedEx

Categorias: Alertas, Educación, Ingeniería Social, Malware, Spam
8 Comentarios »

En las últimas horas hemos detectado una tasa muy alta de propagación de spam que apuntan a infectar al usuario con el troyano downloader que ESET NOD32 identifica como Win32/TrojanDownloader.FakeAlert.DJ.

El correo recibido tiene el mismo aspecto que en el caso de las famosas desnudas y el de Angelina Jolie, pero se anuncia la supuesta nueva versión de Internet Explorer 7.0:

Lo curioso de este caso es que el troyano (archivo video.avi.exe) descarga el instalador del rogue Antivirus XP 2008 que ESET NOD32 detecta como Win32/TrojanDownloader.FakeAlert.FF y del cual acabamos de publicar el artículo Rogue: falsos antivirus gratis, con todas las actividades que realiza el mismo:

Además, en estas últimas horas los creadores de este rogue han creado decenas de sitios en donde alojan el instalador del falso antivirus. Los dominios son combinaciones de las palabras “antivirus”, “XP”, “free” y “2008″ ya sea .com ó .net y desde los cuales los usuarios resultarán infectados.

Para finalizar hemos publicado un nuevo Video Educativo sobre las actividades mencionadas anteriormente y sobre como debería actuar el usuario para evitar ser infectado.

Espero disfruten del artículo y del video y que los mismos sean de utilidad para terminar con esta pesadilla que promete ser gratis y termina saliendo muy cara para la seguridad del usuario.

Actualización 11/08/2008: acabamos de publicar la forma de eliminar Antivirus XP 2008.

Cristian

Promedio: 2.5

• Eliminar Antivirus XP 2008
• Falsas actualizaciones de Windows XP y Vista
• Serial para Antivirus XP 2008

Categorias: Alertas, Educación, Informes, Malware, Multimedia
11 Comentarios »

A veces no nos damos cuenta de lo que entregamos a cambio de cosas sencillas. Digo esto porque en el ejemplo que sigue estamos dispuestos a entregar nuestra privacidad (por supuesto a veces sin saberlo) a cambio de un simple emoticón.

Este tipo de engaños es muy frecuente en Internet y lamentablemente muchas veces terminamos haciendo el caldo gordo a los delincuentes. En este caso se simula una ventana de chat y en cualquier lugar que el usuario haga clic, será redireccionado a la descarga de un adware:

El adware puede ser cualquiera, pero en este caso se trata de Hotbar, que ya fuera objeto de análisis en ESET Latinoamérica por su carácter invasivo y lo complicado que suele tornarse removerlo del sistema.

Por eso, pensemos lo que estamos dispuestos a entregar a cambio de una simple “carita sonriente”.

Cristian

Promedio: 3.25

• Éxito de la Gira de Seguridad en Chile
• Seminarios de Seguridad Antivirus en México
• Gira antivirus en México

Categorias: Educación, Malware en imágenes
Dejar un comentario »

En gran porcentaje de códigos maliciosos logran infectar equipos explotando una funcionalidad incorporada en plataformas Microsoft Windows que permite la ejecución de cualquier dispositivo que sea insertado en el puerto USB.

Esta funcionalidad se encuentra habilitada por defecto en la mencionada plataforma, y básicamente lo que hace es buscar en la carpeta raíz del disco y/o del dispositivo que se inserta, un archivo de texto plano denominado Autorun.inf. Cuando el sistema operativo lo encuentra, ejecuta las instrucciones especificadas en el mismo.

Infinidad de malware se vale de este tipo de archivos para diseminarse entre los sistemas, explotando la funcionalidad de Windows y propagándose a través de diferentes dispositivos removibles como pendrives, flash memories, DVDs, CDs, etc.

En consecuencia, es importante implementar medidas de seguridad preventivas al respecto. Una buena manera de prevenir infecciones a través de dispositivos removibles, además de contar con un antivirus con capacidades proactivas como ESET NOD32, consiste en deshabilitar la funcionalidad antes mencionada; de esta manera se minimizará el potencial riesgo de infección.

Para realizarlo, es necesario manipular en el registro del sistema la clave asociada a esta funcionalidad.

El registro es un elemento crítico del sistema operativo y la manipulación incorrecta del mismo puede provocar efectos nocivos en el mismo. Esta explicación fue testeada bajo un sistema operativo MS Windows XP SP2 y la práctica del mismo queda bajo la exclusiva responsabilidad de los usuarios, ya que cualquier cambio en el registro puede dañar el sistema.

De todas formas, no es tan grave como parece. Siempre existe la posibilidad de corregir lo que salió mal (que no será vuestro caso).

Los pasos son los siguientes:

1. Ir a Inicio/Ejecutar: En el campo teclear regedit para abrir el registro del sistema (se deben tener permisos de Administrador)
2. Luego, a través del panel izquierda, se debe navegar hasta encontrar la siguiente clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3. Se encontrará una clave llamada NoDriveTypeAutoRun, en la que se debe hacer clic derecho y elegir la opción Modificar. Tal como se muestra en la siguiente imagen:

• Se abrirá una pequeña ventana que permite modificar el valor de la clave. Por defecto, este valor suele estar en 91, se debe modificar a 95, aceptar el cambio y luego reiniciar el sistema.

De esta manera se evitará en gran medida, la ejecución automática de los dispositivos que se insertan en el puerto USB a través del archivo autorun.inf.

Es importante destacar que el archivo autorun.inf no es infeccioso y que simplemente enlaza a un archivo ejecutable que sí lo puede ser y, en ese caso, este último debería ser detectado como dañino.

En el artículo llamado propagación de malware a través de dispositivos USB podrán encontrar más información al respecto.

Actualización 08-09-2008: otro método igualmente efectivo es agregar la siguiente clave en el regisro de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf colocando el valor @SYS:DoesNotExist

Jorge

Promedio: 4.67

• Gusano Medellín
• Exploración desatendida con ESET Smart Security
• Falsos perfiles de MySpace explotados por sitios chinos

Categorias: Educación, Malware, Tutoriales
13 Comentarios »

Tal y como mencionamos cuando describimos el robo de información a través de MSN y en el robo de direcciones de correo, existen personajes que facilitan este tipo de acciones a personas sin tantos conocimientos técnicos y ponen en manos de cualquier persona este tipo de herramientas (por cierto dinero, claro).

Este es el caso del sitio web mostrado a continuación, en donde nos ofrecen el servicio para obtener cualquier tipo de correo a un módico precio:

Si bien estos servicios son comunes, no quiere decir que los mismos sean legales y mucho menos éticos y es importante saber que las personas que los ofrecen suelen ser delincuentes que no dudarán en estafar a quien le ofrezca el dinero suficiente.

Por eso, no confíe en este tipo de servicios.

Cristian

Vota primero

• Rastreo de correos con imágenes
• Falso correo con la captura de Bin Laden
• Robo de direcciones de correo

Categorias: Educación, Phishing
1 Comentario »