Como sabemos, cada cierto tiempo (cada vez menor) el nivel de sofisticación del malware aumenta. Nuevas técnicas y métodos de evasión y de propagación son desarrolladas por los creadores de malware día a día. Luego de que el famoso gusano Stuxnet fuera descubierto a mediados del año pasado y su complejo funcionamiento e intenciones fueron revelados, ningún otro malware mostró un nivel que se acercara a sus capacidades técnicas.

En esta oportunidad hablaremos del rootkit nombrado por sus creadores TDL4, también conocido como TDSS y detectado por ESET Nod32 Antivirus como Win32/Olmarik.

Los autores de este rootkit implementaron uno de los más avanzados y sofisticados mecanismos para saltear varias medidas preventivas y mecanismos de seguridad del sistema operativo. En la actualidad es la amenaza más compleja conocida.

Consta de varias versiones las cuales fueron variando en complejidad desde su aparición hace aproximadamente 2 años. TDL3, TDL2 y TDL1 son las versiones anteriores de esta amenaza. Aunque todas las versiones comparten características similares, TDL4 podría considerarse como una nueva clase de malware por sus capacidades mejoradas que detallaremos a continuación.

TDL4 es la primera versión diseñada para afectar equipos con sistema operativo de 64 bits como Windows Vista y Windows 7.

Ver m�s… »

Categories: Análisis de malware, Botnet, Informes, Malware
19 Comments »

Ha finalizado oficialmente el concurso al Premio al Mejor Trabajo de Investigación Técnica en Seguridad Antivirus (PMTITSA) impulsado por el Laboratorio de Análisis e Investigación de ESET Latinoamérica. Esta iniciativa surgió para poder darle la posibilidad a todos aquellos investigadores del ambiente de demostrar sus habilidades y conocimientos en materia de seguridad informática.

Considerando que se trato de la primera vez que se realizo este concurso, la respuesta por parte de los participantes fue muy notoria al igual que la calidad de los trabajos presentados.

Para aquellos que no lo recuerdan, el primer premio es un viaje todo pago a Las Vegas, Nevada para participar de la prestigiosa conferencia de seguridad DEFCON, la cual ya se encuentra en su decimonovena edición.

El segundo premio será una entrada a la Eko Party, la cual se realiza anualmente en Buenos Aires, Argentina.

Ahora si, sin más preámbulos, los ganadores:

Primer premio: Santiago Martín Pontiroli por su trabajo “El bueno, el malo, y el ofuscado – Evolución de Malware .NET”

Segundo premio: Fernando José Catoira por su trabajo “Funcionamiento y Técnicas de Evasión”

Felicitamos a los ganadores y aprovechamos para agradecer a todos los participantes y miembros del jurado. Les recordamos que volveremos a realizar el concurso el año entrante por los que les recomendamos que se vayan preparando.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Eventos, Informes
4 Comments »

Señoras y señores, solo quedan 4 días para mandar los trabajos del Premio al Mejor Trabajo de Investigación Técnica en Seguridad Antivirus (PMTITSA). Tienen tiempo hasta el viernes 10 de Junio inclusive, es decir hasta las 23:59hs del mismo.

Hemos recibido varios trabajos con distintas temáticas al igual que enfoques, que es lo que se busca lograr con este premio, pero no queremos que nadie se quede afuera de esta gran oportunidad.

Para aquellos que ya enviaron sus trabajos, queremos contarles que del 13/06/2011 hasta el 24/06/2011 estaremos evaluando los mismos y que el día 27/06/2011 publicaremos el nombre del ganador del premio. El viaje a las Vegas, Nevada (EEUU) será del 01/08/2011 hasta el 07/08/2011.

Para aquellos que aún estén en duda de enviar los trabajos les dejo una foto:

Recuerden que el trabajo es propiedad intelectual de ustedes y que el mismo no será publicado sin el consentimiento del creador.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Eventos, Informes
No Comments »

¿Quién no visitó alguna vez una página con dominio .tk? Bueno, quizás no lo hicieron, pero les cuento que se trata del dominio de Tokelau, una isla situada en el pacífico sur, poblada por 1500 habitantes y dependiente de Nueva Zelanda, más específicamente ubicada aquí:

Se preguntarán qué tiene esto que ver con el cibercrimen. Gracias  a la ingeniosa idea de algunos empresarios locales de ofertar dominios en Internet a partir de una ínfima cuota (e incluso gratis), si se acepta incluir publicidad en el mismo, los dominios .tk han confirmado una fuerte presencia en el mercado que se utiliza para distribuir malware. De hecho, según lo reportado la última semana por el Antiphishing Working Group (APWC por sus siglas en inglés), representan la mayor cantidad de registros maliciosos inmediatamente después de los .com.

La APWC presentó en el congreso CeCOS, en Kuala Lumpur, la semana pasada, su último reporte sobre dominios maliciosos. Allí, confirmaron que los dominios .tk se volvieron tan codiciados que ocupan el tercer lugar dentro de los dominios con ataques en países de alto nivel, solamente precedidos por Alemania (.de) y el Reino Unido (.uk).

Todo esto ocurrió porque Tokelau vendió su nombre de dominio a una empresa holandesa denominada BV Dot TK, que puso el costo “gratuito” a los dominios. Ésta, manifestó estar al tanto de toda esta problemática, y se mostraron “preocupados”, pero aún no han emitido soluciones al respecto.

Además, dentro de los dominios que se utilizan para realizar phishing en Tokelau, el 80 por ciento está direccionado a instituciones financieras en China. Otro dato interesante que aporta el estudio, es que se reportaron 183 dominios de alto nivel con casos de phishing, no obstante 9 de cada 10 de ellos, pertenecen a uno de los siguientes: .com, .tk, .net y .info.

Los cibercriminales están muy atentos para poder continuar con la eficiencia de sus ataques, y este es un claro ejemplo de su ingenio para lograr sus objetivos: una pequeña isla, sin capital y con 1500 habitantes; se convirtió en fundamental para llevar a cabo sus delitos informáticos.

Raphael Labaca Castro
Awareness & Research Specialist

Categories: Informes, Malware
2 Comments »

Mucho se está hablando en estas últimas horas del takedown de la botnet Coreflood, realizado por el trabajo en conjunto del departamento de justicia de EEUU, Microsoft y el FBI. Tal como habíamos anticipado desde el Laboratorio  de Análisis e Investigación de ESET Latinoamérica, otra gran botnet, como sucedió con Rustock a principio de año, ha sido dada de baja.

Una botnet es una red de computadoras controladas remotamente, a las cuales su botmaster (persona o personas que la controlan) les envía órdenes para realizar determinadas acciones.

En el caso particular de esta botnet, todas las computadoras fueron infectadas por el troyano Coreflood, por esta razón la botnet es llamada de esta manera.  Los troyanos, a diferencia de los virus, no se replican automáticamente sino que deben ser ejecutados por el usuario para lograr la infección del equipo.

Coreflood se caracteriza por ser una botnet de bajo perfil, lo que le permitió estar activa por casi una década. En ese lapso llegó a infectar casi 2 millones de computadoras, en su mayoría en Estados Unidos.  En el último tiempo su actividad creció, lo que posibilitó hacer más notoria su presencia.

En sus orígenes comenzó como un bot de IRC cuyo objetivo era infectar a otros usuarios de IRC, luego evolucionó en un proxy TCP para luego finalmente convertirse en un troyano cuya principal finalidad es el robo de información. A lo largo de su vida, pasó de ser una botnet que vendía servicios de ataques de denegación de servicio distribuidos (DDoS) a ser una que vendía servicios de anonimización para realizar fraudes bancarios.

Para lograr el takedown se obtuvo una orden de restricción temporal (en inglés TRO), como parte de una investigación civil utilizada por autoridades norteamericanas para tener el control de las máquinas que servían como Command & Control. Se obtuvo dicha restricción ya que dichos servidores se hallaban  en empresas de hosting dentro de los Estados Unidos. Con esto se logra desactivar temporalmente la botnet, dándoles tiempo a los usuarios para que instalen alguna solución antivirus que detecte y desinfecte su computadora, antes de que el botmaster envíe una nueva actualización del malware, buscando no perder el control de la computadora. En cuanto a los equipos infectados afuera de Estados Unidos,  el FBI se contactará con los respectivos proveedores de internet que posean maquinas infectadas por este troyano para lograr su desinfección.

Este malware es detectado por ESET NOD32 Antivirus como Win32/Afcore, el cual tiene dos componentes: un y el malware que corre como dropperbackdoor. El código del backdoor es inyectado en ciertos procesos en ejecución como: explorer.exe, iexplore.exe, firefox.exe, opera.exe, skype.exe. También se conecta con el servidor remoto para recibir las órdenes del C&C, donde algunos de  estos comandos pueden ser instrucciones para robar contraseñas, atacar otras computadoras, etc. El dropper, al ser ejecutado, crea varios archivos ejecutables y de datos de nombres aleatorios que se almacenan en el disco. Generalmente estos archivos se gurdan en la carpeta c:\windows\system32. En cuanto al registro de Windows, este es modificado para lograr que el troyano se ejecute cuando se inicia la sesión de Windows, cuando el proceso explorer.exe es creado y cuando el Internet Explorer es ejecutado. También este malware es capaz de realizar acciones como: robar certificados privados (utilizados para lograr acceso en páginas de home banking), reiniciar o finalizar procesos en ejecución, monitorear las conexiones de red y conectarse a un host remoto para enviar la información robada.

Las víctimas de este malware son variadas, hasta ahora se sabe que afectó hospitales, redes de empresas, estaciones de policía, entre otras, pero las más rentables para los creadores fueron una compañía de negocios inmobiliarios de Michigan, que perdió 115.771 dólares, y una empresa con contratos gubernamentales radicada en Tennessee, a la cual le sustrajeron 241.866 dólares.

Como veníamos comentando en estos últimos tiempos en este blog, y acorde a las opiniones comentadas por Pierre-Marc Bureau (Senior Malware Researcher de ESET), las grandes botnets están desapareciendo. Seguramente este tipo de acciones se seguirán repitiendo, para alegría y beneficio de todos los usuarios.

Juan Esteban Forgia
Malware Analyst

Categories: Botnet, Informes, Malware
1 Comment »