Luego de la gran cantidad malware propagado en el día de los enamorados, la campaña del troyano Waledac y el viagra continúa  y una semana después se puede encontrar los sitios dañinos listados en los buscadores, como por ejemplo en Google:

Es decir que estos sitios han logrado buen posicionamiento en los buscadores y cualquier usuario que busque postales puede llegar al sitio dañino que permite la descarga del troyano:

Si bien todos estos sitios son bloqueados por ESET, algunos de los nombres de archivos que utiliza el troyano Waledac, detectado por heurística por ESET NOD32 como una variante de Win32/Kryptik son:

• card.exe
• ecard.exe
• dev.exe
• install
• love.exe
  
• loveexe.exe
• loveu.exe
  
• loveyou.exe
• luvu.exe
• meandyou.exe
  
• mylove.exe
• onlyyou.exe
• patch.exe
  
• postcard.exe
  
• kit.exe
• readme.exe
  
• run.exe
• save.exe
• you.exe
  
• youandme.exe
  

…y algunos otros, elegidos aleatoriamente al momento de cargar la página.

Como podemos ver una semana después los creadores de este troyano incluso han mejorado su propagación con la utilización de los buscadores.

Actualización 01/04/2009: desde ESET hemos publicado un informe sobre Waledac.

Cristian

Categories: Heurística, Malware
1 Comment »

Es muy común escuchar la frase “Ningún antivirus detecta este virus”. Sin embargo y tal como expliqué en troyanos indetectables, esto es una situación pasajera.

Tomemos por ejemplo el siguiente gusano, no detectado en ese momento por ningún antivirus:

Esto sucede porque es muy común que los desarrolladores de malware prueben sus creaciones una y otra vez contra todos los antivirus (o contra los más comunes) y, cuando logran un nivel importante de no detecciones, deciden propagar su programa dañino.

La ventaja inmediata es obvia, ya que de este modo logran infectar a la mayor cantidad de usuarios posible, sea cual sea la solución de seguridad utilizada por el mismo.

Más allá de eso, como decía anteriormente esta situación es pasajera y los antivirus comenzarán a detectar este archivo ni bien se encuentre infectando a un usuario. En este caso el gusano se propagaba por mensajería electrónica y por supuesto fue detectado inmediatamente por ESET NOD32 como Win32/AutoRun.AAC.

Por eso también es fundamental contar con una solución que provea detección heurística para poder detectar malware desconocido hasta el momento.

Cristian

Categories: Educación, Heurística, Malware
3 Comments »

En las últimas horas y luego del bloqueo de GMail a los correos falsos de CNN, los creadores de malware han cambiado levemente sus técnicas y ahora envían correos con imágenes de famosas desnudas (Britney Spears, Lindsay Lohan, Angelina Jolie, Paris Hilton, etc.) e incluyen en el mismo, un enlace a un sitio o un archivo dañino que ESET NOD32 detecta desde hace tiempo y genéricamente a través de heurística como variante de Win32/Agent.ETH.

En el caso que se trate de un enlace, si el usuario ingresa al mismo, verá un sitio como los que ya estamos acostumbrados, con un supuesto video de famosas desnudas que en realidad es el troyano mencionado anteriormente:

Al igual que ESET, GMail ha respondido nuevamente bloqueando estos correos y aquí puede verse una tendencia actual y algo que siempre remarcamos desde ESET: lo importante es detectar el malware antes que el mismo infecte al usuario y para ello es fundamental contar con las herramientas adecuadas para dar una solución proactiva al problema y no tener que lamentarse posteriormente.

No importa cuantas veces cambien las tácticas de los delincuentes, siempre estaremos ahí antes que ellos detectando proactivamente todas las amenazas relacionadas.

Cristian

Categories: Alertas, Heurística, Malware
2 Comments »

Ya me cansé de recibir correos de CNN y MSNBC así que ahora lo tomo como un juego y sobre todo luego de GMail los bloqueara.

Me puse a jugar con las variantes de este agente detectado por ESET NOD32 como una variante de Win32/Agent.ETH y que tiene como objetivo descargar el instalador de Antivirus XP 2008 de diferentes sitios.

En este juego lo primero que me preocupó es el porcentaje de antivirus que no detectan esta amenaza, ya que sólo del 60 al 70% (según la variante) lo hace efectivamente según VirusTotal. Esto da una idea de lo dinámico que es este código (se modifica continuamente) y de lo eficiente que debe ser la heurística que detecta cada una de estas variantes.

Para probar esto cree una “firma” para detectar estos archivos y creo haber logrado algo bastante aceptable, ya que las variantes actuales son identificadas correctamente por mi firma:

¿Qué quiero demostrar con esto? Que cuando los creadores de este malware modifiquen nuevamente sus creaciones mi firma ya no servirá y deberé crear otra nueva, con el tiempo que esto conlleva.

Ahora supongamos que en vez de un malware yo tuviera que crear las firmas de miles… Imaginen el tiempo invertido y generalmente para que la “solución” sea temporal (quizá sólo minutos). Además también pensemos en la cantidad de falsos positivos que podrían generarse, porque no confiaría que mi firma no detecta un archivo del sistema como dañino.

En conclusión, si decidiera lanzar mi firma al mercado, ella sería un fracaso por lo inexacta y por lo temporal de mi solución (y ni siquiera consideremos la velocidad de exploración).

Lo explicado sucede en un Laboratorio de análisis de malware y por eso es necesario que las soluciones sean genéricas, proactivas e inteligentes para que el trabajo invertido sea realmente provechoso y no un juego, como en mi caso.

Cristian

Categories: Educación, Heurística
No Comments »

Tiempo atrás informamos sobre una gran cantidad de sitios que habían sido modificados por para incluir scripts dañinos.

Hoy, nuevamente hemos llegado a sitios similares en donde los atacantes utilizan una metodología similar, pero en esta oportunidad, los sitios atacados corresponden a sitios educativos y foros entre los que se encuentran algunos muy importantes como el de Unicef, quien ya ha sido informado sobre este tema.

La metodología utilizada en este caso corresponde a agregar comentarios en cualquier tipo de foros o en cuadros de búsqueda de sitios, que principalmente corresponden a universidades con dominios .edu.

Los comentarios insertados corresponden a scripts dañinos que apuntan a URLs que alojan sitios pornográficos, venta de productos farmacéuticos, como viagra y cialis, y malware con diferentes objetivos.

A continuación se hace el seguimiento de un par de casos encontrados. En el primero de ellos se accede a un foro y se puede ver un mensaje del siguiente tipo:

Este script podría ejecutarse automáticamente al cargar la página, pero si no fuera así, el usuario aún puede realizar clic en cualquiera de lo enlaces visualizados ingresado a unos de los sitios mencionados.

En el caso de sitios de publicidad de productos farmacéuticos, el usuario verá algo como lo siguiente:

Al cargar algunas de estas página se puede descargar un troyano alojados en distintos sitios webs. En este caso el mismo es detectado por la Heurística Avanzada de ESET NOD32.

En este momento se pueden encontrar en Google alrededor de 60.000 sitios conteniendo los scripts mencionados. En una segunda entrega, veremos como esta metodología es utilizada en otros foros y en las páginas de descarga de distintas universidades.

Cristian

Categories: Alertas, Heurística, Malware
19 Comments »