Al comenzar a utilizarse ClickJacking para engañar e infectar usuarios, una de las preguntas que inmediatamente viene a colación es ¿de qué manera podemos prevenir este ataque? Por eso en ESET hemos desarrollado esta pequeña guía de configuración para cada navegador.

La cuestión se centra en deshabilitar algunas funcionalidades en los navegadores como la ejecución de componentes JavaScript, plugins o ActiveX, entre otros. Veamos cómo hacerlo en los navegadores más utilizados.

Firefox

En Firefox, la solución se basa en instalar una extensión llamada NoScript. Para ello, una vez instalada la extensión, en el icono de NoScript ubicado en el extremo derecho de la barra de tareas, debemos hacer clic y permitir el acceso a la página web deseada, tal como se muestra en la imagen:

En el caso que NoScript detecte un ataque del tipo ClickJacking, aparecerá una ventana informando de esta situación al usuario:

Con esta configuración, en el navegador Firefox se evita por completo el ataque de ClickJacking.

Nota: Es muy importante tener en cuenta que una vez instalada, esta extensión restringirá el acceso a determinadas secciones de las páginas web. En consecuencia, se debe permitir sólo el acceso y ejecución de las páginas en las que se confía. En el caso que no se conozca la confiabilidad del sitio es preferible dejar la configuración por defecto de la extensión.

Internet Explorer

Nos dirigimos hacia el menú Herramientas y seleccionamos el ítem Opciones de Internet. En la ventana que se abre, hacemos clic en la solapa Seguridad, seleccionamos Internet y el Nivel de seguridad para esta zona lo colocamos en Alto.

Cabe aclarar que esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegador.

Opera

En este navegador, debemos ingresar a las configuraciones seleccionando Herramientas en la barra de menú, y luego elegir Opciones. En ese momento visualizarán una ventana como la que se muestra a continuación:

Aquí, desde la solapa Avanzado, debemos seleccionar la opción Contenido y luego deshabilitar las opciones que se muestran en la captura. Para aumentar aún más la seguridad de este navegador, podemos deshabilitar algunos parámetros. En la barra de direcciones de Opera, escribimos opera:config, seleccionamos la opción Extensions y deshabilitamos las configuraciones por defecto. A continuación una captura:

Con esta configuración, en el navegador Opera se evita por completo el ataque de ClickJacking.

Safari

De una manera similar podemos fortalecer la seguridad en el navegador Safari seleccionando en la barra de menú la opción Edición y luego Preferencias. Desde la solapa Seguridad debemos deshabilitar las opciones de la sección Contenido web.

Esta configuración no garantiza una protección total contra ataques ClickJacking, pero mejora la seguridad del navegdor.

Chrome

A diferencia de los otros navegadores, Chrome necesita ejecutarse de una forma especial que se debe realizar bajo línea de comandos, lo cual no lo transforma en una de las mejores opciones, más aún porque no permite deshabilitar etiquetas iframe. La línea que se debe escribir es la siguiente:

chrome.exe -disable-javascript -disable-java -disable-plugins

Si fuera necesario se podría realizar un acceso directo con este comando para evitar tener que escribirlo cada vez que se desee ejecutar el navegador.

Nuevamente, esta configuración no garantiza una protección total contra ataques ClickJacking pero mejora la seguridad del navegador.

Como alternativa a los navegadores visuales mencionados, utilizar navegadores en modo texto como Links, Lynx o w3m, podría ser una buena opción, aunque esto es recomendable sólo para usuarios con mayores conocimientos técnicos.

Como puede ver, los diferentes navegadores ofrecen diferentes alternativas y grados de protección que pueden prevenir que seamos víctimas de este tipo de ataques.

Jorge

Promedio: 4.83

• Se comienza a utilizar ClickJacking para engañar usuarios
• Consejos para una Semana Santa sin infecciones
• Drive-by-Download

Categorias: Alertas, Educación, Tutoriales
13 Comentarios »

Hace bastante tiempo que tengo ganas de escribir unas breves líneas sobre una de las técnicas de infección que más se esta utilizando en la actualidad, Drive-by-Download, y de la cual hemos escrito el artículo  drive-by-Download: infección a través de sitios web.

Quizá para muchos de nuestros lectores, quede la sensación de que este tema es muy técnico. Por ende, voy a tratar de remediar ese pensamiento (en caso de que alguno lo haya pensado) y tratar de explicar de manera breve, qué es lo que ven los usuarios menos experimentados cuando se encuentran con uno de estos casos.

Básicamente sucede que el usuario, al acceder a determinada página web, sin importar de qué manera llegó a ella, el navegador se queda “pensando” por unos segundos tardando más de lo normal en cargar la página, o directamente no muestra nada. Algo parecido a lo siguiente:

Bajo estas circunstancias, los usuarios tenderían a cerrar la página y listo. Sin embargo, al mirar el código fuente nos encontramos con lo siguiente:

O cosas como lo siguiente donde al ver el código de la página, se visualizan una serie de script ofuscados:

En ambos casos, las páginas web son maliciosas. Contiene una etiqueta iframe que le permite invocar otra página sin que el usuario se percate de ello; pero además, también tienen script maliciosos que verifican la existencia de vulnerabilidades en el equipo cada vez que el usuario ingrese a la página, infectando de esta manera y en pocos segundos a todos aquellos que accedan a la web.

Salvo que hayan hecho caso a nuestros consejos y hayan actualizado su sistema operativo y sus aplicaciones, incluido ESET NOD32.

No obstante, es recomendable la lectura de de los post ejecución transparente de códigos maliciosos I y II para tratar de cerrar un poco más la idea y asimilar mejor los conceptos.

Cada vez que al ingresar a una web, notan que la misma “piensa” demasiado, duden.

Y si termina de cargar pero no muestra absolutamente nada, acuerdense de estas líneas y también duden. Ser precavidos no significa ser paranoicos, la idea es que para navegar seguros, también es necesario ser cautelosos, y eso depende netamente de nosotros ¿no les parece?

Jorge

Promedio: 4

• Conexión Dial-Up fraudulenta
• ¿Sabemos por donde navegan nuestros hijos?
• ESET te lleva a Canadá con todo pago

Categorias: Educación, Malware, Tutoriales
Dejar un comentario »

En gran porcentaje de códigos maliciosos logran infectar equipos explotando una funcionalidad incorporada en plataformas Microsoft Windows que permite la ejecución de cualquier dispositivo que sea insertado en el puerto USB.

Esta funcionalidad se encuentra habilitada por defecto en la mencionada plataforma, y básicamente lo que hace es buscar en la carpeta raíz del disco y/o del dispositivo que se inserta, un archivo de texto plano denominado Autorun.inf. Cuando el sistema operativo lo encuentra, ejecuta las instrucciones especificadas en el mismo.

Infinidad de malware se vale de este tipo de archivos para diseminarse entre los sistemas, explotando la funcionalidad de Windows y propagándose a través de diferentes dispositivos removibles como pendrives, flash memories, DVDs, CDs, etc.

En consecuencia, es importante implementar medidas de seguridad preventivas al respecto. Una buena manera de prevenir infecciones a través de dispositivos removibles, además de contar con un antivirus con capacidades proactivas como ESET NOD32, consiste en deshabilitar la funcionalidad antes mencionada; de esta manera se minimizará el potencial riesgo de infección.

Para realizarlo, es necesario manipular en el registro del sistema la clave asociada a esta funcionalidad.

El registro es un elemento crítico del sistema operativo y la manipulación incorrecta del mismo puede provocar efectos nocivos en el mismo. Esta explicación fue testeada bajo un sistema operativo MS Windows XP SP2 y la práctica del mismo queda bajo la exclusiva responsabilidad de los usuarios, ya que cualquier cambio en el registro puede dañar el sistema.

De todas formas, no es tan grave como parece. Siempre existe la posibilidad de corregir lo que salió mal (que no será vuestro caso).

Los pasos son los siguientes:

1. Ir a Inicio/Ejecutar: En el campo teclear regedit para abrir el registro del sistema (se deben tener permisos de Administrador)
2. Luego, a través del panel izquierda, se debe navegar hasta encontrar la siguiente clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3. Se encontrará una clave llamada NoDriveTypeAutoRun, en la que se debe hacer clic derecho y elegir la opción Modificar. Tal como se muestra en la siguiente imagen:

• Se abrirá una pequeña ventana que permite modificar el valor de la clave. Por defecto, este valor suele estar en 91, se debe modificar a 95, aceptar el cambio y luego reiniciar el sistema.

De esta manera se evitará en gran medida, la ejecución automática de los dispositivos que se insertan en el puerto USB a través del archivo autorun.inf.

Es importante destacar que el archivo autorun.inf no es infeccioso y que simplemente enlaza a un archivo ejecutable que sí lo puede ser y, en ese caso, este último debería ser detectado como dañino.

En el artículo llamado propagación de malware a través de dispositivos USB podrán encontrar más información al respecto.

Actualización 08-09-2008: otro método igualmente efectivo es agregar la siguiente clave en el regisro de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf colocando el valor @SYS:DoesNotExist

Jorge

Promedio: 4.67

• Gusano Medellín
• Exploración desatendida con ESET Smart Security
• Zlob y los códec falsos

Categorias: Educación, Malware, Tutoriales
13 Comentarios »

Al igual que con el bloqueo de sitios peligrosos, ESET Smart Security ofrece, a través de su Firewall, la posibilidad de informar sobre los cambios de cualquier aplicación modificada en el sistema.

Esta funcionalidad es sumamente efectiva en caso de que un malware haya modificado, sin nuestra intervención, una aplicación, con los daños que ello podría ocasionar.

Cuando se detecta la modificación de una aplicación, ESET Smart Security informa del suceso al usuario y el mismo puede optar por autorizar la ejecución de la aplicación o bloquear la misma en caso de sospechar algún daño en el sistema.

La utilización de esta función no requiere ninguna configuración en el producto y es una opción de protección por defecto que ESET Smart Security ofrece a sus usuarios.

Cristian

Vota primero

• Update malicioso
• Bloqueo de GMail a los correos de CNN y MSNBC
• Mensajería instantánea y malware

Categorias: Productos, Tutoriales
2 Comentarios »

En ¿Sabemos por donde navegan nuestros hijos?, Jorge hizo referencia a la forma de bloquear determinados sitios web desde ESET NOD32 y ESET Smart Security con el objetivo de proteger a los menores al navegar por Internet.

Traigo esto nuevamente a colación por la gran cantidad de preguntas que nos llegan al respecto sobre el bloqueo de cualquier tipo de sitios.

En efecto, ESET NOD32 y ESET Smart Security permiten el bloqueo de los sitios que deseemos y parafraseando a Jorge remarco esta característica. La funcionalidad que nos permite realizar el control en cuestión se llama Direcciones bloqueadas y se accede a ella desde Configuración > Configuración avanzada (o presionando F5) > Protección de tráfico de Internet > HTTP > Direcciones bloqueadas.

De esta manera, la funcionalidad nos permite bloquear determinadas direcciones web, agregándolas una por una o desde un archivo .txt, e incluso podríamos bloquear direcciones a partir de determinadas palabras como por ejemplo xxx, sexo, crack, etc.

Cristian

Vota primero

• Bloqueo de aplicaciones modificadas
• Stop…badware!
• Bloqueo de GMail a los correos de CNN y MSNBC

Categorias: Productos, Tutoriales
2 Comentarios »

Ya sea por prevención o por sospechar que nuestro equipo ha sido víctima de algún código malicioso, una buena práctica para mantener el equipo libre de amenazas es explorarlo de manera profunda y completa cada determinado lapso de tiempo.

Esta situación conlleva a que para realizar dicha exploración el usuario deba ejecutarla en forma manual,  lo que implica estar frente a la PC para realizar el procedimiento en cuestión.

Una eficaz manera de solventar esta situación es programar ESET Smart Security o ESET NOD32 Antivirus para que realice esta tarea en forma automática y de esta manera el usuario se asegura que no sea necesario que se encuentre frente a la PC para ejecutarla y que la tarea se activará cuando no se encuentre trabajando en el equipo.

Veamos entonces de qué manera podemos programar exploraciones desatendidas en nuestro equipo con ESET Smart Security:

En principio tenemos que abrir nuestro ESET Smart Security o ESET NOD32 Antivirus y en las opciones que se encuentran en el sector izquierdo seleccionar “Tools”.

Si no se visualiza esta opción es por que el producto se encuentra configurado en el modo de visualización estándar. Para modificarlo, se debe hacer clic sobre la opción “Display: Standard mode” que se encuentra en el ángulo inferior izquierdo. Se desplegará un menú en el cual seleccionaremos la opción “Toggle Advanced mode”.

Una vez que hayamos accedido a esta pantalla, tenemos que hacer clic sobre el botón “Add…”. Se abrirá una nueva ventana en la que debemos elegir la opción “On-Demand computer scan”.

En la siguiente pantalla, escribimos el nombre que tendrá la tarea y luego seleccionamos cuándo queremos que se realice la exploración desatendida. En el ejemplo se visualiza que se configuró para que la exploración se realice semanalmente.

En el siguiente paso configuramos a qué hora ESET Smart Security o ESET NOD32 Antivirus comenzará a explorar las unidades de nuestro equipo. Del mismo modo, elegimos el día.

En caso de que por algún motivo ESET Smart Security o ESET NOD32 Antivirus no puedan ejecutar la tarea prevista (la PC se encuentra apagada) se debe configurar que la exploración se realice en un momento alternativo.

A tal efecto las opciones disponibles son:

• Esperar hasta la próxima tarea.
• Ejecutar la tarea lo antes posible.
• Ejecutar la tarea inmediatamente después de exceder el intervalo de tiempo especificado.

En nuestro ejemplo, lo configuramos para que realice la tarea luego de 24 hs.

Inmediatamente después, nos mostrará información sobre la configuración que acabamos de realizar; si estamos de acuerdo hacemos clic sobre el botón finalizar para poder avanzar al siguiente paso donde debemos seleccionar las unidades que ESET Smart Security o ESET NOD32 Antivirus analizarán.

De esta manera, habremos configurado nuestro ESET Smart Security o ESET NOD32 Antivirus para que analice el equipo de manera automática sin la necesidad de tener que hacerlo en forma manual cada vez que lo necesitemos.

Jorge

Promedio: 3

• Lanzamiento de ESET Smart Security
• La mejor forma de protección es la prevención (III)
• Premio para ESET Smart Security

Categorias: Educación, Productos, Tutoriales
1 Comentario »

Hace unos días, en el post ESET SysInspector, les mostramos de qué se trata esta herramienta y cómo utilizarla para verificar la existencia de anomalías en nuestro sistema operativo.

Ahora, para aquellos que prefieren ejecutar todo bajo línea de comandos, vamos a enseñarles cómo manipular y generar reportes sobre el estado del sistema operativo pero bajo línea de comandos.

1. Visualizar reportes almacenados:
Con ESET SysInspector podemos generar reportes (logs) con información relacionada al estado actual (al momento de ejecutar la utilidad) y guardarlos en archivos .xml, de esta manera podremos acudir a ellos cada vez que los necesitemos.

Para poder visualizar estos archivos .xml bajo línea de comandos debemos escribir lo siguiente:

C:\SysInspector.exe c:\esi-report.xml

De esta manera ESET SysInspector mostrará la información almacenada en el archivo “esi-report.xml”.

La visualización de la información no se produce bajo línea de comando sino que se carga la información en ESET SysInspector.

2. Generar nuevos reportes:
También podemos generar los reportes directamente bajo línea de comandos, para ello debemos ejecutar lo siguiente:

C:\SysInspector.exe c:\new-report.xml

Al terminar de almacenar la información necesaria, ESET SysInspector genera un archivo llamado “new-report.xml” y lo almacena en la ruta especificada, en nuestro ejemplo lo guarda en “C:\”.

3. Generar nuevos reportes comprimidos:
En este caso, ESET SysInspector genera el reporte y lo comprime automáticamente en un archivo con extensión “.zip“. Para crear debemos ejecutar el siguiente comando:

C:\>SysInspector.exe /gen=c:\report.zip /privacy /zip

Realizando esta acción logramos crear un archivo comprimido con el nombre “report.zip” en la ruta que hayamos especificado que puede servir, por ejemplo, para enviar tal reporte por correo electrónico.

En la siguiente imagen podemos apreciar de qué manera se debe ejecutar cada comando:

4. Sobre los parámetros:
Los parámetros que se utilizaron en los ejemplos realizan las siguientes acciones:

• /gen: Genera el informe sin levantar el entono gráfica.
• /privacy: Genera el informe excluyendo información sensible.
• /zip: Genera el informe en un archivo comprimido.

Jorge

Vota primero

• ESET SysInspector Release Candidate
• Identificando procesos maliciosos en sistemas Windows
• ESET NOD32 Antivirus: corrigiendo errores

Categorias: Educación, Productos, Tutoriales
Dejar un comentario »

Teniendo en cuenta que los clientes de mensajería instantánea representan potenciales canales de infección, los riesgos asociados al mismo se tornan extremadamente altos si no adoptamos medidas básicas de seguridad.

En consecuencia, vamos a explicar qué tan sencillo es aumentar el nivel de seguridad con ESET Smart Security o ESET NOD32 Antivirus en los clientes de mensajería instantánea más utilizados en la actualidad, la familia Messenger de Microsoft.

Simplemente se debe configurar en el cliente de mensajería instantánea la ruta hacia el archivo “ecls.exe”. Para clarificarlo un poco más, veamos paso a paso la configuración:

En primer lugar y en cualquiera de los Messenger que utilice, se debe acceder al menú Herramientas, luego a Opciones, y por último a la opción Transferencia de archivos.

En el campo Examinar los archivos en busca de virus usando: (se lo debe seleccionar mediante un tilde en caso de que no se encontrase activado) debe elegirse la siguiente ruta:

“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe”

Suponiendo que ESET Smart Security o ESET NOD32 Antivirus se encontrase instalado en el disco “C:\” y luego hacer clic sobre el botón Aceptar.

Adicionalmente, si se desea obtener un registro de los archivos explorados por ESET Smart Security o ESET NOD32 Antivirus, se puede agregar al final de la línea el parámetro “–log-file=log.txt“, quedando de la siguiente manera:

“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe” –log-file=log.txt

De esta forma, en la ruta “C:\Archivos de programa\ESET\ESET NOD32 Antivirus\” se creará un archivo llamado “log.txt” que contendrá toda la información de cada archivo explorado por ESET Smart Security o ESET NOD32 Antivirus en busca de amenazas que intenten comprometer la seguridad de nuestro equipo a través de códigos maliciosos.

Jorge

Vota primero

• Sobre INF/Autorun
• La mejor forma de protección es la prevención (III)
• Exploración desatendida con ESET Smart Security

Categorias: Educación, Tutoriales
22 Comentarios »

En alguna oportunidad puede suceder que por algún motivo, nuestro ESET NOD32 Antivirus nos muestre mensajes que deriven en confusión y que den la sensación de que todo funciona mal.

Sin embargo, que se den situaciones de este tipo no significa que el antivirus funcione mal. Esto es algo común que sucede con cualquier tipo de programas. El tema radica en que si ese error es causado por una falla del programa o si, a pesar de ello, el programa continúa funcionando correctamente.

Veamos puntualmente un caso y cómo solucionarlo. A continuación pueden observar una captura que refleja un supuesto problema en ESET NOD32 Antivirus. Aparentemente, el programa no se encuentra brindando la Máxima protección debido a que no se puede actualizar la base de firmas.

No obstante lo anterior, la base de firmas se encuentra debidamente actualizada. Este tipo de errores se pueden dar por varios factores, pero principalmente, se podría deberse a intentos fallidos de actualización como consecuencia de entradas negativas en el caché.

Lo que debemos hacer en estos casos, es ejecutar bajo línea de comandos lo siguiente:

C:\>ipconfig /flushdns

Este comando limpia y luego restablece el contenido almacenado en el caché de la resolución de nombres de dominio (DNS).

Luego, nuestro antivirus comenzará a reportarse de manera correcta.

Jorge

Vota primero

• Errores 404 con malware
• Páginas 404 dañinas
• Descarga un troyano gratis

Categorias: Productos, Tutoriales
1 Comentario »

En post anteriores como “Cuando quedan rastros del malware”, “Conociendo lo que hay en nuestro sistema”, “Identificando procesos maliciosos en sistemas Windows”, etc., hemos mencionado algunas maneras sencillas de comprobar la integridad de nuestro sistema de archivos y de verificar la existencia de malware a través de herramientas nativas de los sistemas operativos Windows.

Ahora bien, existe una nueva herramienta de análisis gratuita desarrollada por ESET llamada ESET SysInspector. Esta herramienta se encuentra en su fase beta y nos permite recolectar información sobre cada uno de esos procesos investigativos sobre nuestro sistema operativo, también de manera sencilla y ordenada.

Veamos algunos ejemplos sobre cómo utilizar esta herramienta de manera tal que nos permita saber qué esta sucediendo en el sistema operativo y obtener información sobre cada uno de los procesos críticos.

Partamos del hipotético caso de que hemos sido víctimas de dos códigos maliciosos; por un lado, simulando ser el icono del navegador Internet Explorer, el troyano Spy Banker orientado al robo de información bancaria; y por otro, el troyano Qhost que modifica la información del archivo Hosts para realizar Pharming Local.

Ejecutamos entonces ESET SysInspector y, como un buen detective, nos revela una gran cantidad de información detallada relacionada con los procesos activos, claves puntuales del registro que generalmente son manipuladas por el malware, servicios, conexiones de red, archivos críticos, etcétera.

Procesos maliciosos
Podemos verificar la existencia de procesos maliciosos recolectando información de dónde se encuentra alojado, qué librerías dinámicas utiliza y un resumen de Hash en SHA1 que nos puede servir, por ejemplo, para comparar archivos. Similar a lo explicado en “Identificando procesos maliciosos en sistemas Windows”.

Conexiones de red
La mayoría del malware actual suele, una vez activado, intentar descargar otros códigos maliciosos, o en algunos casos incorporan un servidor SMTP utilizado, por ejemplo, para enviar spam aprovechando la conexión DSL. Este comportamiento es digno de sospecha.

Manipulación del registro
Otra de las actividades típicas del malware actual es manipular determinadas claves del registro que permitan levantar el proceso malicioso cada vez que el sistema operativo es iniciado. ESET SysInspector también nos advierte de esta actividad. En “Cuando quedan rastros del malware” pueden encontrar información más detallada sobre las claves que habitualmente suele manipular el malware actual.

Archivos críticos
El pharming local es una técnica orientada al robo de información confidencial que consiste en desviar el direccionamiento a nivel local, esto se logra a través del archivo Host; ESET SysInspector nos brinda información particular sobre este archivo. De esta manera podemos verificar a simple vista si fue modificado o no.

Esta utilidad es muy importante ya que muchos códigos maliciosos orientados a realizar ataques de phishing suelen modificar la información que contiene este archivo.

Poder explorar cada sector de nuestro sistema en busca de información crítica es muy importante a la hora de chequear lo que realmente está sucediendo en nuestra computadora, y ESET Sysinspector nos ayuda a solventarlo desde una única pantalla, sin necesidad de instalar el software en el equipo y manteniendo la eficacia que caracteriza a los productos de ESET.

Jorge

Promedio: 5

• ESET SysInspector Release Candidate
• ESET SysInspector: generar reportes bajo línea de comandos
• Herramienta para eliminar MebRoot

Categorias: Educación, Productos, Tutoriales
4 Comentarios »