En nuestro laboratorio y en nuestro departamento de atención al cliente es común recibir consultas sobre detecciones de distintos archivos del sistema (por ejemplo tcpip.sys) como Win32/Patched.XX, donde XX es la variante detectada.

Los productos de ESET en todas sus versiones detectan estos archivos alojados en distintos directorios de Windows debido a que los mismos son archivos no oficiales y modificados de un componente crítico del sistema operativo.

La modificación de archivos originales del sistema pone en riesgo al usuario y a la confidencialidad de su información ya que los archivos han sido modificados maliciosamente por los creadores de versiones no oficiales de Windows.

Si desea resolver el problema de detección, debe reemplazar el archivo detectado por la versión original que puede obtener desde el CD de instalación de Windows o desde una instalación similar en otro equipo.

Es fundamental comprender que el uso de este tipo de aplicaciones es peligroso para los usuarios y las empresas debido a que las versiones modificadas del sistema operativo podrían ser utilizadas para el robo de información confidencial.

Ante cualquier duda, por favor contáctenos para orientarlo en la forma de proceder.

Actualización 13/08/2009: a partir del día de la fecha las amenazas reconocidas como Win32/Patched.BG son detectados como Aplicación Potencialmente Peligrosa y se informará al usuario de dicha situación, dejando al mismo la decisión de su utilización.

Cristian

Categories: Piratería, Productos
7 Comments »

Como ya informamos hace un par de meses, en este momento se encuentra activa otra campaña masiva de sitios e instaladores falsos en español. Estos sitios ofrecen y permiten descargar versiones modificadas de productos gratuitos o pagos, lo cual representa un serio peligro para la seguridad del usuario ya que estas modificaciones pueden incorporar troyanos en el software.

Los delincuentes han creado sitios falsos y en ellos ofrecen programas populares como:

• ESET NOD32: nod32[ELIMINADO].info
• Microsoft Live Messenger: msn-messenger[ELIMINADO] .info, messenger-[ELIMINADO].us, messenger-[ELIMINADO].net, messenger[ELIMINADO].us, messenger-[ELIMINADO].org y messenger[ELIMINADO.]info
• PDF Creator: pdf-crea[ELIMINADO].org
• Macromedia Flash: flash-co[ELIMINADO].com
• Ares: ares-[ELIMINADO].net y ares[ELIMINADO].us
• BitTorrent: [ELIMINADO]bitorrent.us
• Real Player: [ELIMINADO]realplayer.org
• Windows Media Player: [ELIMINADO]windowsmediaplayer.org
• …y muchos otros

También han creado sitios falsos del popular buscador Google (ggooggllee.[ELIMINADO]) y de YouTube (yourtube[ELIMINADO].com).

En este caso muestro uno de los sitios que permite la descarga de ESET NOD32 falso y de una versión antigua:

En el caso del uso de aplicaciones de seguridad falsas, el peligro es aún mayor ya que estas aplicaciones nunca ofrecerán la protección que brinda la aplicación real.

Por eso la mejor opción es descargar las aplicaciones desde el sitio oficial, incluso en su versión de prueba como el caso de ESET NOD32.

Cristian

Categories: Alertas, Malware, Piratería
11 Comments »

En el ambiente informático es bien conocido un viejo mito: “Mac no necesita antivirus”.

Sin embargo, si se pensara que todos los sistema informáticos tienen algo en común, esa frase cae por su propio peso: todos los usuarios somos vulnerables y cualquiera de nosotros puede ser engañado por técnicas de Ingeniería Social.

Este es el caso del troyano OSX.Trojan.iServices.A (o Krowi) que infectó miles de usuarios de Mac en la última semana, al ser descargado desde Torrent en la aplicación Apple iWork 09, previamente troyanizada por los atacantes (archivo iworkservices).

Un comportamiento similar ya lo habíamos visto en el rogue para Mac y, una vez más, las versiones pirateadas sirven de base para infectar a los usuarios.

La aplicación dañina está basada en una presentación realizada en la última Black Hat, donde se demostró una técnica de inyección sobre el sistema operativo Mac OS X. Supongo que esta noticia es falsa, porque los usuarios de Mac no tienen porqué preocuparse por el malware y por eso Apple lanzó una herramienta para eliminar el troyano.

No se deje engañar, no importa el sistema operativo o la aplicación que usa: todos somos vulnerables.

Actualización 27/01/2009 11:00: Intego anuncia la aparición de otra variante del mismo troyano, pero esta vez en un crack de una versión de Adobe Photoshop CS4.

Actualización 27/01/2009 21:00:MacUpdate ya ha actualizado su herramienta de eliminación.

Cristian

Categories: Malware, Piratería
7 Comments »

Cuando hablamos de crack o warez y software parcheado hacemos referencia a la modificación del código ejecutable o fuente de un software, alterando las funciones para las que fue desarrollado.

Realizar modificaciones en una programa que tiene una funcionalidad especifica, pueden desencadenar en desestabilizar su estructura. Si estas modificaciones además, se realizan en un software de seguridad, las capacidades de protección de dicho software pueden verse afectadas seriamente.

En el caso de un software dedicado a la protección y seguridad de nuestra información, un antivirus por ejemplo, estas modificaciones ocasionan una protección ineficaz, ya que derivan en la eliminación de procesos de comprobación y en posibles fallos del programa logrando así, que la eficacia del antivirus disminuya notablemente.

La correcta funcionalidad y detección de amenazas proviene de la capacidad de actualización del antivirus, tanto de las firmas como de sus componentes. Muchos de los usuarios de software “parcheados” desconocen que las modificaciones realizadas para quitar el limite de evaluación gratuita y extender el tiempo de uso, pueden afectar al software.

Por ejemplo, en las actualizaciones futuras no se incluirán actualizaciones de componentes, herramientas de protección, capacidad de detección proactiva y, por supuesto, tampoco el servicio de soporte técnico que ofrece el fabricante, ya que estas funciones sólo se encuentran disponibles en las versiones completas o comerciales.

La utilización de un software de seguridad modificado hace que nuestros sistemas estén indefensos frente a las distintas modalidades de ataques y al mal funcionamiento del mismo. El uso de un crack o de un parche para modificar un antivirus, deja abierta la posibilidad de descargar un código malicioso en un sistema indefenso y que, luego de modificar nuestro software de seguridad, seguirá vulnerable a nuevas infecciones.

Cuando está en juego la seguridad y la integridad de nuestros datos, no debemos dudar en la implementación de un sistema de seguridad con los mejores índices de detección proactiva como ESET NOD32 con su base de firmas y todos sus módulos de detección heurística actualizados para mantener nuestro sistema libre de amenazas.

Alejandro

Categories: Educación, Piratería, Productos
3 Comments »

Uno de los casos típicos que diariamente ocurren y de los cuales muchos usuarios desprevenidos terminan siendo víctimas de alguna infección, es a través de la descarga de archivos, por lo general, programas tipo keygen, warez y crack. El siguiente caso, encontrado recientemente por nuestro Laboratorio, refleja una de las técnicas más antiguas utilizadas por las personas que propagan malware para atraer la atención de las personas.

Cuando un usuario procede a la búsqueda de programas con la intención de obviar el licenciamiento del mismo, recurre a sitios web donde se ofrecen infinidad de aplicaciones junto a otro archivo (parche o crack) para dejarlo, en teoría, completamente funcional. Veamos un ejemplo:

Aquí se genera un problema importante para el usuario desprevenido, ya que el archivo que se descarga no es lo que aparenta ser y el usuario deja de estar protegido además de incurrir en la piratería.

Cuando se procede a la descarga del archivo, se presenta una ventana similar al de la captura. Quienes lo ejecuten serán víctimas de una infección, provocada por un troyano del tipo downloader identificado por ESET NOD32 como Win32/TrojanDownloader.Zlob.COJ.

Otro caso similar sucede con la descarga de herramientas falsas de seguridad como los rogue, los  blogs con programas falsos o como en este caso, un sitio web que promociona ESET NOD32 para descarga gratuita:

Por eso resulta sumamente importante observar bien desde donde se realizan las descargas y, como ya saben, nuestro antivirus completamente funcional puede descargarse desde nuestro sitio web en la sección de descarga de ESET NOD32.

Jorge

Categories: Malware, Piratería
14 Comments »