Randy Abrams y David Harley, de nuestro departamento de Malware Intelligence, me recordaron estos días que hoy se cumplen 20 años desde la aparición del Gusano de Morris, también conocido en su época como El Gusano de Internet.

Dicho Gusano fue uno de los primeros códigos maliciosos capaces de reproducirse a través de Internet, de servidor en servidor, aprovechando y explotando vulnerabilidades en los mismos. Su objetivo no fue dañino desde el principio, pero un par de rutinas no tan bien programadas ocasionaban bastante inestabilidad en los sistemas infectados.

Tal fue el alcance de la infección del Gusano de Morris, que para muchos de esa época, la Internet estuvo cerca de apagarse para detenerlo… Claro, era 1988, y no había ni el 0,0001 % de equipos conectados a Internet que existen hoy en día, y aproximadamente 1 de cada 3 había sido infectado por el Gusano.

Han pasado 20 años de aquel primer gusano de Internet y nos encontramos con que muchas de las técnicas que Morris incluyó en su creación, se siguen usando hoy en día, y no por innovadoras, sino porque los que están del otro lado siguen cometiendo los mismos errores.

Por un lado, aquel gusano se aprovechaba de vulnerabilidades en los sistemas operativos más utilizados de entonces. Por el otro, también intentaba obtener privilegios de administrador, tanto a través de ello, como por fuerza bruta, probando contraseñas sencillas basándose en un diccionario propio. ¿Les resulta familiar?

En muchas ocasiones, los códigos maliciosos del pasado nos enseñan qué errores no debemos repetir, pero parece que muchos aún no aprendemos de ellos, y es por eso que hoy vemos que muchos de los malware de mayor propagación aprovechan vulnerabilidades que los usuarios y administradores no parchean.

Tomémonos unos minutos de reflexión y aprendamos lo que el Gusano de Morris tiene para enseñarnos:

• Es esencial actualizar nuestros sistemas a diario para evitar que sean explotadas vulnerabilidades conocidas en ellos
• Es primordial que utilicemos contraseñas fuertes en nuestros sistemas a fin de evitar que las mismas sean fácilmente adivinadas por atacantes

Para los que quieran conocer más en detalle sobre el Gusano de Morris, les recomiendo la lectura del análisis realizado por Eugene Spafford.

También encontrarán algo más de información sobre el mismo en nuestra Cronología de los virus informáticos.

Cuanto más aprendamos de los grandes incidentes de seguridad del pasado, y más tomemos medidas preventivas, así como implementemos soluciones proactivas, mayor será el nivel de seguridad de nuestros equipos y sistemas… y el Gusano de Morris nos ha estado diciendo esto por 20 años. Ya es hora de que lo escuchemos.

Ignacio

Promedio: 5

• Otro viaje en el tiempo: el gusano MyDoom
• Conocer para educar y educar para prevenir (III): Gusanos
• Michelangelo cumple 16 años

Categorias: Curiosidades, Malware, Vulnerabilidades
Dejar un comentario »

Muchas veces nos preguntan sobre alguna forma de probar que los delincuentes informáticos despliegan sus armas en todos los frentes posibles, por ejemplo que promocionan productos farmacéuticos y diseminan malware de distintas formas para infectar usuarios y lograr vender sus productos ilegales.

Un ejemplo de esto lo tenemos con un rogue reciente denominado Antivirus 2009 o Antivirus 2010 o AntiMalware 2010, que son una evolución del conocido Antivirus XP 2008 y detectado por ESET NOD32 como Win32/Adware.Antivirus2009.

En este caso al abrir el sitio web de promoción del producto se despliega también una publicidad para adquirir viagra:

¿Falta alguna otra prueba?

Cristian

Promedio: 4.2

• Haz recibido un nuevo SPAM!!!
• Spam: Desagote su pozo negro
• Spam en archivos comprimidos

Categorias: Malware
1 Comentario »

A lo largo de la vida de este Blog, fueron muchos los spam que bajo la cobertura de provenir de una importante empresa o medio de comunicación,  o bien la promesa de visualizar un video sobre alguna tragedia o noticia importante, fueron creados pensando en usuarios desprevenidos con intenciones maliciosas de propagar malware.

Casos como la falsa actualización de Microsoft, el de Coca-Cola, la supuesta muerte de Verónica Castro, de Felipe Calderón o Fidel Castro, son algunos pocos ejemplos. Ya casi no sorprende ver alguno de ellos, de hecho, los esperamos cada vez que una noticia recorre, en pocos minutos, la mayoría de las cadenas de comunicación a nivel mundial.

En esta oportunidad, la temática elegida fue una amenaza por parte de supuestos narcotraficantes. A continuación les dejo una captura:

Como podrán apreciar, no es más que otro engaño que desde ahora forma parte de la gran lista. El supuesto video que se promete es en realidad un troyano del tipo Banker, detectado por ESET NOD32 como BAT/Qhost.NAM, diseñado para ataques de phishing a través de pharming local.

Lo aconsejable es que aquellos usuarios que reciban correos de este estilo lo eliminen directamente. Jamás se debe hacer clic sobre los enlaces incrustados en el cuerpo del mensaje porque, como se ve en la imagen, se descarga algo diferente a lo prometido.

Jorge

Promedio: 5

• Tickets para obtener servicios gratis
• Propagación de malware que simula provenir de la BBC News
• Supuesto video de TIM Brasil propaga malware (II)

Categorias: Malware
Dejar un comentario »

Lamentablemente el rogue sigue evolucionando en cuanto a sus técnicas de infección, métodos empleados para lograr captar la atención de los usuarios desprevenidos y eficacia si tenemos en cuenta las restricciones que realiza en los equipos comprometidos.

Un claro ejemplo es la versión “futurista” del rogue detectado por ESET NOD32 bajo el nombre de Win32/AntivirusXP 2008 nos advierte sobre futuros problemas en nuestro equipo y al mismo tiempo nos remonta a la época de los temidos BSoD (Blue Screen of Death, en español, Pantalla Azul de la Muerte). Veamos una captura:

Evidentemente la imagen responde a una nueva estrategia de engaño que busca despertar en el usuario un temor que en realidad, existe a medias ¿y por qué a medias? Porque si vemos en nuestro equipo una pantalla muy similar, significa que hemos sido víctimas del malware, lo que significa que deberíamos temer al falso BSoD ya que, efectivamente y tal cual advierte la imagen, tenemos un código malicioso en la PC.

La cuestión es que la versión “2010″ de este falso programa antivirus, al ejecutarse en el equipo y luego de unos pocos minutos, muestra una imagen similar a la mencionada para luego provocar el reinicio del sistema pero con una particularidad.

Efectivamente. El Antivirus 2010 modificó levemente el Boot Screen de nuestro Microsoft Windows XP personalizándolo con una advertencia que nos dice “Your Antivirus 2010 copy is unregistered“, es decir, tenemos una copia no registrada del programa y debemos proceder a registrarlo.

Aquellos usuarios que intenten registrarlo sólo estarán ofreciendo, de manera voluntaria, información confidencial de índole financiero.

Si pretendemos estar prevenidos en todo momento, es sumamente importante estar atentos y confiar la prevención ante códigos maliciosos a un verdadero programa antivirus como ESET NOD32 que detecta esta amenaza desde un principio.

Además, para saber un poco más sobre el funcionamiento de esta amenaza, pueden visitar nuestra sección de Videos Educativos donde encontrarán uno que explica cómo funciona este rogue y cómo prevenirlo.

Jorge

Promedio: 5

• Relación entre el malware y el spam
• Solución del Tercer Desafío de ESET
• Reporte de amenazas de Octubre

Categorias: Malware
1 Comentario »

Evidentemente, los creadores y diseminadores de códigos maliciosos enfocan todos sus esfuerzos en encontrar nuevas maneras de engañar a los usuarios, normalmente a través de Ingeniería Social.

Es muy común que para propagar malware, ya sea a través de spam o de algún sitio web empleando técnicas Drive-by-Download o como el caso de los blog con contenido malicioso, se recurra a mentiras como la promesa de visualizar el video de alguna celebridad similar a la que se muestra en la siguiente captura:

Cada tanto se toma como referencia la imagen de algún famoso como en la que se basa este engaño donde la protagonista es Paris Hilton y, por lo general, suele ser explotada por un tiempo.

En este caso, lejos de la promesa de acceder a un video, “antes de que lo censuren”, el usuario descargará un archivo ejecutable. Un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.FakeAlert.MN, un troyano diseñado para robar información del usuario y desplegar ventanas pop-ups con falsa alertas de infección.

Si bien no es un método innovador, sigue causando efectos muy peligrosos para los usuarios desprevenidos. Siguiendo con Paris Hilton, veamos una captura más:

En este otro caso, también bajo la excusa de visualizar un video se descarga un malware. El mismo código malicioso.

Como verán, las trampas son muchas y peligrosas por lo que debemos actuar en consecuencia, es decir, mantener nuestro ESET NOD32 o ESET Smart Security actualizados, estar atentos, ser cautelosos al descargar y/o visitar determinados sitios web y no confiar en todo lo que nos ofrecen.

Jorge

Promedio: 4

• ¿Murio Fidel Castro?
• Correos falsos de famosas desnudas
• El spam y la Ingeniería Social

Categorias: Ingeniería Social, Malware
Dejar un comentario »

Ayer jueves 23, Microsoft lanzó, fuera del ciclo que corresponde al segundo martes de cada mes, la actualización MS08-067 (958644) clasificada como crítica ya que una vulnerabilidad en el protocolo RPC permite la ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo.

En palabras sencillas, alguien puede ejecutar el código que desee en nuestro sistema (Windows 2000, XP, 2003, 2008, Vista) sin que nosotros nos enteremos de esa acción.

Esta actualización se lanzó debido a que ya se había publicado una PoC (Proof of concept) para la vulnerabilidad, con lo cual se sabía que no tardaría en aparecer un código dañino que la aproveche para infectar masivamente millones de usuarios (generalmente un gusano).

Esta suposición no tardó en confirmarse ya que en este momento existe al menos un gusano que se está aprovechando de la vulnerabilidad para infectar sistemas. El ejecutable detectado por ESET NOD32 como Win32/Gimmiv.A, registra una DLL (%SystemDir%\wbem\sysmgr.dll) en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento.

Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado.

El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser:

• Usuarios y contraseñas de Microsoft Live Mesenger (MSN)
• Usuarios y contraseñas de Microsoft Outlook Express
• Contraseñas almacenas en Microsoft Internet Explorer
• Cookies y otros métodos de autenticación
• Archivos deseados por el atacante

La forma de programación del malware es genérica lo cual indica que no ha sido diseñado para un objetivo determinado sino para infectar masivamente a cualquier usuario, por lo que es altamente recomendable actualizar de inmediato y utilizar un sistema antivirus capaz de detectarlo, como ESET NOD32.

Cristian

Promedio: 5

• Reporte de amenazas de Octubre
• Malware en archivos PDF
• Troyano en MySpace simula ser una actualización de Microsoft

Categorias: Alertas, Malware
2 Comentarios »

Si Shakespeare leyera este título seguro se enojaría mucho

Pero a pesar de ello, seguramente entendería que es muy alusivo a la ambigüedad que en la actualidad vivimos frente a los códigos maliciosos y la confianza.

Veamos un reciente encuentro que tuve en un sitio web cuyo nombre no se refiere en lo más mínimo a poseer algún componente malicioso y que quizá no levantaría sospechas, por lo menos en un primer momento. La cuestión es que, al ingresar al sitio web www.quick[ELIMINADO].com, se ofrece la descarga de un archivo:

Si bien a simple vista parecería ser una página “confiable”, existen al menos tres características que la hacen sumamente desconfiable y a las cuales, como usuarios, debemos estar atentos para poder identificar el engaño.

En primer lugar, en la barra de estado podemos leer que el nombre de la página, como decía en un principio, no hace alusión a nada malicioso. Sin embargo, el segundo punto es que, lo primero que vemos en la ventana es “setup.exe” más la leyenda “Fresh Free Hardcore Movies“, muy común de encontrar en sitios web con contenido pornográfico. ¿Qué tiene que ver el nombre del sitio con este contenido? Nada.

En tercer lugar, el segundo recuadro marca la supuesta verificación de que el archivo a descargar se encuentra, en teoría, libre de códigos maliciosos ya que, aparentemente ha sido previamente verificado por un programa antivirus según la leyenda “100% checked by Antivirus”.

Con ello se busca ganar la confianza del usuario creando en él una falsa sensación de seguridad ¿usted depositaría toda su confianza en lo que dice la ventana de descarga? Yo creo que no.

Cada vez es más común encontrar este tipo de métodos de engaño donde un porcentaje realmente alto de usuarios caen en la trampa; por lo tanto, es importante adoptar medidas preventivas como la implementación de un programa antivirus, como ESET NOD32, que permita detectar las amenazas. En este caso, se trata de un rogue detectado bajo el nombre de Win32/Adware.Antivirus2008.

Con respecto a este malware en particular, quienes deseen saber más sobre él, pueden leer el artículo Rogue: Falsos antivirus gratis que explica su funcionamiento y/o ver el Video Educativo el cual muestra lo qué deberíamos hacer para evitar su infección.

Jorge

Promedio: 5

• Ingeniería Social: lobo con piel de cordero
• Malware simula ser WinRAR
• ¿Empresas antivirus que infectan usuarios?

Categorias: Ingeniería Social, Malware
1 Comentario »

En esta ocasión, nuestro Laboratorio ha encontrado un nuevo caso mediante el cual se aprovecha un sitio web para la propagación de códigos maliciosos. Se trata de una página que ofrece la descarga del conocido cliente de descarga de archivos para redes P2P, eMule. A continuación pueden ver una captura de la falsa web, que simula ser la oficial:

Los usuarios desprevenidos que accedan a la descarga del archivo en cuestión, descargarán en realidad un código malicioso que tanto ESET NOD32 como ESET Smart Security detectan bajo el nombre de Win32/Adware.NaviPromo. Un malware que, además de ejecutar constantemente ventanas emergentes con publicidad, posee propiedades de rootkit mediante el cual oculta su proceso malicioso.

Es importante que los usuarios que habitualmente utilizan las redes P2P para la descarga de archivos, sean conscientes que representan uno de los vectores más aprovechados para la propagación de diferentes códigos maliciosos, por lo que debemos actuar y prevenir en consecuencia. En nuestro artículo el malware en las redes P2P podrán encontrar más información sobre la relación que une a los códigos maliciosos con este tipo de redes.

Pero, miremos este malware con más detalle. Si comparamos los instaladores, es decir, el descargado desde el sitio web oficial del proyecto eMule y el descargado desde el sitio malicioso, notamos algunas leves diferencias como: cambia el nombre y el archivo malicioso es más pesado. Veamos una captura:

Al momento de la instalación, también se observa una leve diferencia:

El tema es que, una vez ejecutado, el malware instala el verdadero programa eMule pero, paralelamente, también instala el malware en cuestión activando un proceso malicioso llamado “ftddkbah.exe“, además se asegurar su ejecución en cada reinicio al agregar una referencia en la clave Run del registro.

Al finalizar la instalación, ejecuta una instancia del navegador abriendo una página web similar a la que se muestra en la próxima captura, desde la cual ofrece la descarga de un archivo llamado “Instant-Access.exe“. Como se podrán imaginar, se trata de otro malware, en este caso llamado Win32/Dialer.InstantAccess.NAE, un tipo de troyano diseñado para acceder a determinados sitios web, por lo general con contenido pornográfico, a cambio de costosas tarifas telefónicas.

Como podrán apreciar, la propagación de malware se puede realizar, y de hecho se realiza, a través de diferentes vectores como se demuestra en este caso, donde la prevención por parte del usuario radica principalmente en la descarga de programas desde los sitios oficiales.

Estar atento, es una buena medida de protección.

Jorge

Promedio: 5

• Tickets para obtener servicios gratis
• Mi mulita me engaña
• Reporte de amenazas de Octubre

Categorias: Malware
3 Comentarios »

En las últimas horas hemos encontrado dos sitios hermanos (por no decir gemelos) en los cuales se promociona un rogue. Hasta aquí nada novedoso ya que encontramos cientos diariamente.

Lo curioso de este caso es justamente la similitud entre los sitios y que uno de ellos promociona un programa falso de seguridad para Windows y otro, para Mac.

Sitio para Windows

Sitio para MacOS

Aquí se genera el primer problema para el usuario desprevenido, ya que si no se ven juntos, los sitios pueden pasar desapercibidos. Además, como puede verse a continuación los sitios fueron registrados en el mismo lugar, por la misma persona (presumiblemente bajo un nombre falso) y se utiliza el mismo el servidor (dirección IP).

Registro del sitio para Windows

Registro del sitio para MacOS

Direcciones IP

Como es obvio, desde ambos sitios se descarga sendos programa dañinos para cada sistema operativo, detectados por ESET NOD32 como Win32/Adware.WiniGuard.

Ya no importa la plataforma en la cual nos encontremos, lo importante es infectarnos.

Cristian

Promedio: 5

• Falsas actualizaciones de Windows XP y Vista
• Reporte de amenazas de Octubre
• Falsa actualización crítica de Flash Player

Categorias: Eventos, Malware
Dejar un comentario »

Uno de los casos típicos que diariamente ocurren y de los cuales muchos usuarios desprevenidos terminan siendo víctimas de alguna infección, es a través de la descarga de archivos, por lo general, programas tipo keygen, warez y crack. El siguiente caso, encontrado recientemente por nuestro Laboratorio, refleja una de las técnicas más antiguas utilizadas por las personas que propagan malware para atraer la atención de las personas.

Cuando un usuario procede a la búsqueda de programas con la intención de obviar el licenciamiento del mismo, recurre a sitios web donde se ofrecen infinidad de aplicaciones junto a otro archivo (parche o crack) para dejarlo, en teoría, completamente funcional. Veamos un ejemplo:

Aquí se genera un problema importante para el usuario desprevenido, ya que el archivo que se descarga no es lo que aparenta ser y el usuario deja de estar protegido además de incurrir en la piratería.

Cuando se procede a la descarga del archivo, se presenta una ventana similar al de la captura. Quienes lo ejecuten serán víctimas de una infección, provocada por un troyano del tipo downloader identificado por ESET NOD32 como Win32/TrojanDownloader.Zlob.COJ.

Otro caso similar sucede con la descarga de herramientas falsas de seguridad como los rogue, los  blogs con programas falsos o como en este caso, un sitio web que promociona ESET NOD32 para descarga gratuita:

Por eso resulta sumamente importante observar bien desde donde se realizan las descargas y, como ya saben, nuestro antivirus completamente funcional puede descargarse desde nuestro sitio web en la sección de descarga de ESET NOD32.

Jorge

Promedio: 4.96

• Inseguro como antivirus crackeado
• Reporte de amenazas de Octubre
• Piratería vs Protección

Categorias: Malware, Piratería
5 Comentarios »