Ya estamos acostumbrados a recibir postales que descargan malware y en este caso, el tema que nos ocupa es la cantidad de ellas y también la cantidad de variantes del malware al que apuntan.

Esto es importante porque los creadores de malware modifican sus creaciones continuamente (incluso de manera automática) para evitar la detección de los productos antivirus. Es decir, diariamente se propagan millones de correos electrónicos que permiten la descarga de cientos de variantes del mismo malware.

Por ejemplo, la siguiente tarjeta permite la descarga de un malware determinado:

Sin embargo, cada vez que se envía automáticamente desde un equipo infectado, la dirección del troyano que descarga varía, permitiendo que sus creadores lo actualicen continuamente cada vez que un antivirus lo detecta. Aquí, la detección proactiva es fundamental debido a que permitirá detectar las miles de variantes existentes.

Hagamos una prueba… Descargamos el archivo .html al cual apunta la tarjeta y vemos que en el código fuente se apunta a un archivo .scr ( protector de pantalla que es ejecutable):

Ahora intentamos descargar ese archivo ejecutable vía linea de comandos:

Como podemos ver, ESET Smart Security detecta esta amenaza por heurística. Esto sucede porque el archivo descargado es una variante modificada de un troyano determinado. Esta detección permite que el usuario esté protegido desde el mismo momento de instalar el producto, sin necesidad de actualizar el mismo.

Cristian

Categories: Heurística, Malware
1 Comment »

Muchas veces nos suelen consultar si lo que contamos sobre la heurística puede “verse” en forma práctica. Debo reconocer que el concepto es bastante abstracto por lo es necesario recurrir a un par de capturas para demostrar que “esto” es real.

En esta primera captura se aprecia como un archivo dañino es detectado por heurística:

Y en esta otra, como no se necesito actualizar la base de firmas, evitando tener que darle un nombre al malware.

Como puede verse ESET NOD32 detecta la amenaza como “Probablemente desconocida”. Esto se traduce en que:

• no se necesita conectar con un servidor de la empresa para descargar actualizaciones innecesarias
• son utilizados menos recursos porque la bases de firmas es menor
• menos consumo de ancho de banda
• el laboratorio no tienen necesidad de analizar el malware específicamente, sin la consecuente pérdida de tiempo que esto puede acarrear
• lo más importante: no se necesitó una firma del malware para que el mismo fuera detectado, por lo que el usuario estuvo siempre protegido desde antes que apareciera la amenaza.

La heurística siempre ha estado presente en ESET NOD32, sólo hacía falta verla. Espero haber ayudado.

Cristian

Categories: Heurística
No Comments »

Sin duda, una de las cuestiones más consultadas a ESET es aquella acerca de sus capacidades proactivas y específicamente sobre heurística.

Para aclarar el tema David Harley, Security Author and Consultant y Andrew Lee, Chief Research Officer de ESET, han escrito este Análisis Heurístico: detectando malware desconocido en donde se explica el funcionamiento de la tecnología Antivirus, haciendo especial énfasis en el análisis heurístico para la detección proactiva de códigos maliciosos desconocidos.

Que lo disfruten.

Cristian

Categories: Educación, Heurística, Informes
2 Comments »

Bajo esta frase se nos presenta una simpática tarjeta virtual que, a través de un SPAM (correo electrónico no solicitado), intenta descargar un archivo llamado “amor.scr” que pretende simular ser un screensaver (protector de pantalla).

En el post “La curiosidad mató al gato… y el Nuwar infectó tu PC” describí qué sucede cuando la curiosidad anula nuestra capacidad de discernir entre lo peligroso y lo benigno.

En este caso, por más que no conozcamos el idioma portugués, es fácil deducir que el título dice algo como “Alguien te mandó una tarjeta virtual”.

Supongamos que, aún sabiendo que por las características que presenta el mensaje, tenemos un alto grado de desconfianza y sabemos que somos potenciales víctimas de una infección, igualmente hacemos clic sobre el divertido y amoroso gif animado.

Al intentar descargar el ejecutable, nuestra herramienta de protección nos alerta advirtiéndonos que si ejecutamos este archivo, puede provocar cambios dañinos en el sistema.

Al ser una amenaza desconocida, ESET NOD32 advierte sobre un “Probablemente desconocido NewHeur_PE(Virus)” para dar cuenta de la posible amenaza.

En este punto, cabe destacar la importancia de tener instalado en nuestra computadora un buen producto anti-malware con capacidades proactivas que permita prevenir la propagación de todo tipo de malware a través de su heurística. Esta metodología de detección a través de técnicas inteligentes (heurística avanzada) nos permite prevenir que nuestra máquina sea comprometida por algún código malicioso desconocido.

Si bien ya casi nadie se sorprende del spam, hay que tener presente que el correo electrónico es, en la actualidad, el medio más utilizado por los spammer (personas que envían spam) y otros delincuentes informáticos para diseminar códigos maliciosos.

La mayoría del malware requiere de nuestra intervención para lograr su objetivo. Por ello hay que tratar de ser precavido a la hora de abrir nuestros correos y/o navegar por Internet.

Más sobre las capacidades de detección heurística de fín de semana

Jorge

Categories: Heurística, Malware, Spam
No Comments »

Cuando se trata de visitar páginas webs las personas que trabajamos en seguridad solemos recomendar “sólo visitar sitios confiables”, y solemos darle las algunas de las siguiente connotaciones a esa palabrita “confiable”:

• Sitio muy visitado y por ende bastante conocido por el público
• Empresas u organizaciones de seguridad
• Sitios respetados en el ambiente de TI
• Medios de comunicación masivos
• Webs 2.0 con contenido actualizado permanentemente
• Sitios de comunidades virtuales
• Webmails
• Entidades financieras
• Sitios de descarga de software gratuito/shareware

Obviamente cuando ingresamos a estos sitios raramente nos detenemos a pensar que el mismo puede ser dañino y de hecho es probable que ninguno de ellos jamás intente instalarnos programas dañinos porque basan su reputación en ello.

Ahora, ¿qué sucede si uno de esos sitios es vulnerado y en el código HTML del mismo se inserta código dañino? El usuario es dañado por el código y automáticamente el sitio puede perder su reputación e imagen.

Este es el caso que nos ocupa: un conocido sitio de noticias ha sido vulnerado (su servidor) y se ha modificado todas las páginas del sitio web insertando la llamada al código dañino (un iframe):

Como puede verse, al intentar ingresar al sitio ESET NOD32 advierte de la amenaza del exploit. Si lograra descargarse, este script intentaría explotar un viejo fallo del navegador Internet Explorer para descargar un archivo ejecutable dañino.

Dado el supuesto caso, este archivo sería detectado por nuestro producto mediante su heurística.

Más alla de eso, esto pone en evidencia que un sitio confiable puede dejar de serlo tán rapido como le cuesta a un delincuente ingresar al servidor y modificar el sitio web.

Una vez más queda en evidencia que la seguridad debe pensarse desde:

• el servidor: los administradores deben actualizar y controlar las aplicaciones que brindan al público
• desde el cliente: los usuarios también deben actualizar sus aplicaciones y protegerse mediante productos con capacidades proactivas que puedan detectar las amenazas nuevas que aparecen a cada instante.

De otro modo seguiremos siendo carne de cañon de los delincuentes actuales.

Cristian

Categories: Heurística, Malware
No Comments »