Como ya hemos hecho en otra oportunidad, en este post hablaremos del ya conocido packer UPX. Sin embargo, en esta ocasión nos focalizaremos en sus características más importantes, para tener una idea de por qué sigue siendo el packer más utilizado por los creadores de malware.

Entonces, repasemos, ¿qué es UPX? Las siglas significan Ultimate Packer for eXecutables. Es un compresor de código abierto y de gran performance, que soporta archivos ejecutables y objetos de Windows que respeten la especificaciones de Microsoft PE (Portable Executables) y COFF (Common Object File Format), como por ejemplo archivos de extensiones EXE y DLL. A la vez, soporta archivos ejecutables de varios sistemas operativos como pueden ser Linux (ELF), Linux Kernel, ejecutables Mac OS X, FreeBSD, NetBSD y Playstation 1, entre otros. También permite una gran tasa de compresión, reduciendo el tamaño de los ejecutables en hasta 60% de su tamaño original. De hecho, en general es mejor compresor que WinZIP/ZIP/GZIP:

Su versión actual es la 3.07 y está disponible para varias arquitecturas. Las versiones oficiales se utilizan desde línea de comandos, pero también existen interfaces GUIs no oficiales para el que guste utilizarlo desde interfaz gráfica. Una de estas interfaces gráficas es GUiPeX, la cual se pueden descargar desde su pagina oficial.

Otra característica de UPX es que no solo sirve como empaquetador, sino que también da la posibilidad de desempaquetar archivos previamente empaquetados con versiones de UPX no modificadas de una manera muy sencilla. En el caso de malware empaquetado con UPX, esta opción en general no se puede utilizar ya que la mayoría de los códigos maliciosos existentes utilizan versiones modificadas de este packer, haciendo uso de sus beneficios de compresión y a su vez haciendo un poco más difícil su desempaquetado.

Como dijimos anteriormente, este es un packer de código abierto, lo que permite que existan muchas versiones derivadas del mismo. Las más conocidas son UPXScrambler, UPXFreak, UPXSh!T, UPXCrypter y UPXModifier. Además de estas, existen cientos de versiones personalizadas que no tienen nombre propio.

En cuanto al análisis de malware empaquetado con UPX o sus derivados, este packer no representa un desafío muy grande a la hora de desempaquetarlo, más bien es muy fácil y los creadores de malware lo saben. Se preguntarán, ¿por qué si es tan fácil de desempaquetar es tan utilizado? La respuesta es simple: los creadores de malware buscan eficacia en cuanto a compresión y velocidad de ejecución. Además, otros packers utilizados exclusivamente por los creadores de malware, suelen ser detectados directamente por soluciones antivirus.

Por todas las características arriba mencionadas y más que nada por su gran versatilidad, UPX y sus variantes lideran el ranking de packers utilizados en malware, situación que al parecer permanecerá así por mucho tiempo.

Juan Esteban Forgia
Analista de Malware

Categories: Herramientas, Informes, Malware
4 Comments »

Para los lectores frecuentes del blog, sabrán que hace unas semanas que venimos hablando sobre la fuga de información, una amenaza para los usuarios y organizaciones de todo el mundo, que salió a primera plana luego del famoso incidente de Wikileaks, donde se publicó información correspondiente al gobierno estadounidense en la web. De esta forma, un problema ya conocido desde años, ocupó la atención de la comunidad, que puso el foco en pensar cómo es posible cuidar la información, y resguardarla con la confidencialidad que le corresponde.

Aquí tienen un pequeño resumen del artículo “Fuga de información: ¿una amenaza pasajera?”, escrito por nuestro Gerente de Educación e Investigación, Federico Pacheco:

La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para que no suceda una fuga y se deben tener en cuenta medidas en el caso desafortunado que así ocurra.

Así que ya saben: si tienen ganas de leer un artículo completo con los principales aspectos relacionados a esta temática, les recomiendo descargar y leer “Fuga de información: ¿una amenaza pasajera?”, para así poder tener una visión completa de esta amenaza que debe ser considerada en cualquier esquema de protección, sea este hogareño o corporativo; y donde también podrán encontrar los 10 consejos para evitarla.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación, Fuga de información, Gestión, Informes
5 Comments »

Nuestros lectores más frecuentes sabrán que día a día estamos anunciando las amenazas informáticas y códigos maliciosos más importantes, para alertar a la comunidad sobre los principales cuidados que hay que tener, para estar protegidos de los ataques digitales. Sin embargo, de vez en cuando también es bueno mirar hacia atrás y ver qué ha ocurrido, tal como hicimos este último fin de año, publicando el resumen de amenazas 2010, donde describimos cuáles han sido los hechos más relevantes del último año.

Bien, en esta oportunidad quiero comentarles que ya hemos agregado los sucesos del 2010 a nuestro informe “Cronología de los virus informáticos: la historia del malware“, por lo que ahora podrán ya leer el informe completo con la evolución completa de los códigos maliciosos, desde su genésis hasta hace unos pocos días nomás.

¿Qué pueden encontrar en el informe? La historia completa de los virus informáticos, ahora devenidos en malware. Si nunca escucharon hablar de Von Newman, de Alan Turing, Frederick Cohen o de Robert Morris, podrán saber quiénes fueron para el surgimiento de los virus o los gusanos informáticos. Si se acuerdan que hace unos años existieron amenazas como Michellangelo, Netsky, Melissa o Nimda, podrán conocer en el informe cuándo aparecieron y cuáles eran sus principales características. Si son jóvenes y conocen a Conficker o a Stuxnet, es una buena oportunidad para que también conozcan a Creeper, a Rabit o a Brain, códigos maliciosos que seguramente muchos de ustedes aún no habían nacido cuando infectaban computadoras.

En resumen, el informe “Cronología de los virus informáticos: la historia del malware” está a disposición de la comunidad para que puedan tener una visión completa de cómo ha evolucionado la amenaza del malware a lo largo de la historia.

Les recuerdo que, si además del pasado quieren “ver el futuro”, pueden ver nuestro informe “Tendencias 2011: las botnet y el malware dinámico“, con las predicciones del equipo de ESET Latinoamérica para las amenazas informáticas en el año que empezamos.

Así que amigos, ahora es su turno, hagan clic en los enlaces, si quieren impriman y… ¡a leer!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Informes
1 Comment »

Finalizamos con esta entrega esta triada de post donde compartí con ustedes las principales tendencias en (in)seguridad para el 2011, las cuales recuerden que pueden ver completas en el informe “Tendencias 2011: las botnet y el malware dinámico“. Luego de haber mencionado las tres tendencias más importantes para el 2011 (redes botnet, malware multi-plataforma y BlackHat SEO Social), vale destacar que otras “tendencias” lo serán también, no por lo novedoso o explosivo de sus estrategias o metodologías, sino simplemente por ser la continuidad de algunas técnicas o metodologías que ya han sido tendencia en años anteriores.

Aquí están, estás son, las tendencias de siempre:

• Vulnerabilidades de software: los gusanos que aprovechan vulnerabilidades de software seguirán siendo, sin lugar a duda, uno de los vectores de infección más importantes, ya que permiten la ejecución de código sin la intervención del usuario, y por lo tanto la infección puede pasar desapercibida para la víctima hasta que no aparezcan síntomas en el sistema. En este contexto, las vulnerabilidades del tipo 0-day (sin parche de seguridad disponible) representan una oportunidad para los atacantes, y que seguirá siendo aprovechada a medida que estas aparezcan. En casos ocurridos durante 2010, como el del gusano Stuxnet, ESET Latinoamérica detalló la cronología del ataque, indicando sus analistas que se concretaron “16 días desde la publicación de la vulnerabilidad hasta la existencia de un parche definitivo por parte del fabricante, ventana de tiempo durante la cual varios códigos maliciosos aprovecharon, causando numerosos problemas a entornos informáticos y atentando contra la seguridad de la información”. Solo aquellos usuarios que utilizaron software antivirus con capacidades proactivas de detección, como ESET NOD32, estuvieron protegidos durante esa “ventana de tiempo” en que la vulnerabilidad estuvo a disposición de los atacantes para propagar sus amenazas.Sin embargo, no solo las vulnerabilidades 0-day son aprovechadas por los atacantes, sino también cualquier tipo de estas es una oportunidad para los desarrolladores de malware. Por ejemplo, el gusano Conficker está en actividad desde octubre del 2008, y más de dos años después sigue en actividad, ocupando los rankings realizados por ESET Latinoamérica en cuanto a los códigos maliciosos más detectados mes a mes:

  

Ver m�s… »

Categories: Informes
No Comments »

El último día martes hicimos la presentación oficial del informe “Tendencias 2011: las botnet y el malware dinámico“, a través de un seminario gratuito en linea al cual asistieron cientos de personas de todo Latinoamérica. Ya publicado el informe, estaremos compartiendo con ustedes a través de sucesivos post durante esta y la próxima semana, las diversas tendencias que presentamos a lo largo del mismo.

El aspecto que hemos considerado como más relevante para el próximo año, son las botnet: redes de computadoras infectadas que son controladas remotamente por un atacante. Si consideramos las estadísticas brindadas por ThreatSense.Net, el servicio de Alerta Temprana de ESET NOD32 Antivirus, el malware del tipo bot ha aumentado notoriamente durante el año 2010, y es de esperarse que esta tendencia continúe y se afirme durante el próximo 2011. En la siguiente tabla podrán observar cómo diversas firmas (las más populares de este tipo) han visto aumentado el porcentaje de detección entre el año 2009 y 2010, según las estadísticas de detecciones indicadas por ThreatSense.Net:

Claramente todas las firmas han tenido un crecimiento relevante, muy superior a la cantidad de detecciones del año anterior. Tomando algunas estadísticas mensuales, por ejemplo, si se compara el mes de octubre de 2009 con el mismo del 2010, se puede observar cómo la familia de códigos maliciosos identificada bajo la firma IRC/SdBot, que representó el 0,24% del total de las detecciones de malware de ESET NOD32 durante octubre del 2009, un año más tarde representa para el mismo mes el 0,49%. Es decir que mientras en 2009, durante un mes determinado, 1 de cada 400 usuarios recibían dicha amenaza en su sistema, para el 2010 ya son 1 de cada 200 usuarios los que vieron dicha variante de botnet en su sistema, siendo detectada a través de su software antivirus.

Estadísticas de terceros corroboran esta información, como es el caso de la brindada por la fundación dedicada a la estadísticas de botnet Shadow Server, que indica que a diciembre de 2010 son detectadas unas cinco mil quinientos botnet activas (habiendo llegado durante el año a seis mil en meses como mayo o julio), contra los pocos más de cuatro mil a finales del año anterior. Según las estadísticas de la fundación, en los últimos dos años ha habido un crecimiento aproximado de un 85% en la cantidad de botnet activas. A partir de estos valores, es posible esperar para el próximo 2011 más de siete mil redes botnet activas. Esto representa millones de usuarios afectados por esta amenaza. Este valor es obtenible tan solo si se toman simplemente tres de las botnet que han sido dadas de baja durante 2010: Waledac (80 mil usuarios afectados), Mariposa (13 millones) y Bredolab (30 millones).

Por otro lado, el negocio delictivo detrás de las botnet justifica y explica el crecimiento de estas. En la siguiente imagen pueden ver cómo es posible encontrar en un foro ruso (se muestra la traducción al español para mejor comprensión) conseguir por costos bajos (25 dólares diarios) realizar ataques de denegación de servicios. De esta forma, los atacantes venden los servicios de las botnet, y logran ganancias cada vez más importantes, como fue el caso del troyano Koobface que luego de que sus servidores fueran comprometidos se comprobó que entre junio del 2009 y junio del 2010 los administradores de la red obtuvieron más de dos millones de dólares de ingresos en servicios delictivos:

Además, en el informe completo hemos marcado también como tendencias las nuevas formas de administración de redes botnet, como es el caso de administración vía Twitter presentada durante este año en este mismo espacio; así como también observaremos con mayor frecuencia las noticias relacionadas al desmantelamiento de redes botnet, como hemos publicado este año

Para conocer más sobre esta y otras tendencias, los invito a leer el informe completo “Tendencias 2011: las botnet y el malware dinámico“. En el próximo post estaremos hablando del malware multi-plataforma, otra de las tendencias enunciadas en el paper.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Informes
4 Comments »