El tiempo no se detiene, los años siguen pasando y los ciberdelincuentes aprovechan cada segundo para crear en mayor cantidad y complejidad, nuevas variantes de códigos maliciosos dinámicos cuyo objetivo es armar a través de la infección de computadoras y teléfonos inteligentes, redes de dispositivos zombis destinados a varios propósitos entre los que está el robo de información bancaria mediante el envío y recepción de ciertos comandos remotos.

El párrafo anterior resume a grandes rasgos algunas de las principales amenazas en seguridad informática observadas durante 2011, las que se encuentran explicadas con mayor detalle en nuestra publicación Cronología de los virus informáticos: la historia del malware.

Este documento explicativo tiene como objetivo situar al usuario en varias épocas para detallar los aspectos importantes de cada una de estas en relación a los códigos maliciosos, comenzando de 1800 a 1960, período de tiempo o “génesis” en el que ocurrieron descubrimientos e invenciones que marcarían el curso de la tecnología y por ende el de la informática. Más adelante entre 1948 y 1983, suceden una serie de acontecimientos que cimentaron los inicios del malware actual.

Hasta 2005 era común observar que muchas amenazas se trataban específicamente de virus creados por personas a las que les gustaba demostrar sus conocimientos en programación o tener un momento de fama. De esa motivación netamente de “entretenimiento” se pasó a una delictiva donde prima obtener dinero mediante el robo de información bancaria de la víctima utilizando otro tipo de códigos maliciosos que hasta ese entonces no eran tan comunes como troyanos, gusanos o rogue.

Todos quedan cordialmente invitados a repasar cronológicamente estos y otros acontecimientos del malware descargando nuestro documento Cronología de los virus informáticos: la historia del malware.

Además recomendamos la lectura de otros materiales informativos disponibles en la sección de Informes y Tendencias en el Centro de Amenazas de ESET Latinoamérica

André Goujon
Especialista de Awareness & Research

Categories: Informes
No Comments »

Los códigos maliciosos pueden comprometer seriamente un sistema y de la misma forma a sus usuarios. Por eso, habitualmente siempre estamos hablando del impacto que tienen en las personas. El primer aspecto que tendemos a considerar es el económico, ya que muchas de estas amenazas suelen comprometer las credenciales de acceso que, la mayoría de las veces, son utilizadas para causar prejuicios financieros al usuario.

No obstante, los códigos maliciosos también pueden causar otro tipo de daños que también son muy relevantes y que no necesariamente están vinculados con el dinero. Uno de estos ejemplos es lo ocurrido en Florida, Estados Unidos; donde Randy Chaviano, acusado de cadena perpetua en 2009, es llevado nuevamente a juicio porque un virus destruyó toda la información recolectada por la estenógrafa encargada que además, no contaba con respaldo de los datos. Esto significa que deberán repetirse muchos pasos del juicio en donde los testigos tendrán que ser escuchados nuevamente demorando el proceso e incrementando sus costos.

Otro caso relacionado con los efectos del malware es el ocurrido en un hospital de Georgia, también en el país norteamericano. El Centro Médico Gwinnett fue forzado a rechazar pacientes debido a una vulnerabilidad en sus sistemas, derivando sus nuevos ingresos a otros hospitales de la zona. Esto llevó a que los enfermeros y los médicos estuvieran imposibilitados de acceder a los historiales de los pacientes, así como también a demás recursos de la red dificultando el ejercicio de su tarea.

Ver m�s… »

Categories: Curiosidades, Malware
3 Comments »

Como sabemos los creadores de códigos maliciosos inventan día a día nuevas formas de propagación e infección para sus amenazas. La mayoría del malware que vemos en la actualidad esta orientado a la búsqueda de un beneficio económico para su creador, utilizando estafas, engaños o robos para hacerlo. En menor medida existen códigos maliciosos cuyo objetivo es el de destruir  o molestar. Hace ya muchos años, en épocas del sistema operativo MS-DOS cuando aun no existía internet, los virus se propagaban en diskettes y muchos de ellos tenían como única finalidad el formateo del disco rígido o el borrado de información, por citar solo alguna de sus características.

En este post no mostraremos ninguna técnica novedosa ni de ultima generación sino que veremos como utilizando técnicas Old-School (vieja escuela) un archivo de procesamiento por lotes .bat logra ocultar un archivo ejecutable en texto plano. La muestra que analizaremos llego a nuestro laboratorio enviado por un usuario de nuestro producto.

Al analizar  el archivo.bat se ven en el comienzo instrucciones de la consola de MS-DOS utilizadas para realizar copia de archivos, cambiar atributos y escribir el contenido de un archivo a otro. Se utiliza el comando attrib -s -h -r al archivo autoexec.bat, acción sospechosa ya que el archivo autoexec.bat se ejecuta automáticamente al iniciar la computadora y en este caso se le cambian los permisos de archivo de solo lectura, archivo de sistema y archivo oculto para poder copiar código malicioso en el.

La parte mas interesante es la forma de crear un archivo a partir de todos sus bytes en texto plano y transformarlo en un ejecutable, en este caso como veremos, el archivo creado es el conocido compresor .zip , pkzip de la empresa PKWARE Inc.

Ver m�s… »

Categories: Análisis de malware, Malware
2 Comments »

Como sabemos, cada cierto tiempo (cada vez menor) el nivel de sofisticación del malware aumenta. Nuevas técnicas y métodos de evasión y de propagación son desarrolladas por los creadores de malware día a día. Luego de que el famoso gusano Stuxnet fuera descubierto a mediados del año pasado y su complejo funcionamiento e intenciones fueron revelados, ningún otro malware mostró un nivel que se acercara a sus capacidades técnicas.

En esta oportunidad hablaremos del rootkit nombrado por sus creadores TDL4, también conocido como TDSS y detectado por ESET Nod32 Antivirus como Win32/Olmarik.

Los autores de este rootkit implementaron uno de los más avanzados y sofisticados mecanismos para saltear varias medidas preventivas y mecanismos de seguridad del sistema operativo. En la actualidad es la amenaza más compleja conocida.

Consta de varias versiones las cuales fueron variando en complejidad desde su aparición hace aproximadamente 2 años. TDL3, TDL2 y TDL1 son las versiones anteriores de esta amenaza. Aunque todas las versiones comparten características similares, TDL4 podría considerarse como una nueva clase de malware por sus capacidades mejoradas que detallaremos a continuación.

TDL4 es la primera versión diseñada para afectar equipos con sistema operativo de 64 bits como Windows Vista y Windows 7.

Ver m�s… »

Categories: Análisis de malware, Botnet, Informes, Malware
21 Comments »

Durante el transcurso de estos últimos días, nos hemos volcado a hacer un análisis sobre diferentes amenazas para Symbian, la plataforma móvil más utilizada a nivel mundial. Por este motivo analizamos cuatro muestras diferentes que tenían un punto en común: todas realizaban el envío de mensajes de texto a números rusos.

El envío de mensajes de textos a números pagos es una de las primeras técnicas utilizadas en las plataformas móviles y existen mucho antes de la aparición de sistemas como Android o iOS. Symbian, al estar en el mercado hace más de 10 años, se ha encontrado con varias amenazas que hacen uso de estas a lo largo del tiempo.

En esta recopilación de muestras, buscamos diferentes comportamientos y el uso de las API necesarias para el envío de mensajes de texto. Al hacerlo, fuimos encontrando amenazas muy diversas que van desde una versión para Symbian de Opera hasta una aplicación para obtener contraseñas de cuentas del viejo y recordado ICQ.

Las cuatro familias de malware distintas que analizamos fueron, según las detecciones de ESET Moible Security:

• J2ME/TrojanSMS.Agent.B
• J2ME.TrojanSMS.Konov.K
• J2ME/TrojanSMS.SMSi.AA
• J2ME/TrojanSMS.Swapi.E

Durante la ejecución de las aplicaciones, se realizaba el envío de mensajes de texto a diferentes números de teléfono, dependiendo de la amenaza. Más allá de la técnica utilizada, o de la familia de malware a la que correspondía cada muestra, queremos resaltar una de las tantas maneras de los desarrolladores de códigos maliciosos de obtener una remuneración a partir del desconocimiento del usuario.

El código presente en casi toda las amenazas es semejante al siguiente:

Durante la ejecución de esa porción de código, se genera una conexión para realizar el envío del mensaje de texto a un número de teléfono que cambia según la amenaza analizada. Si bien cada una de las aplicaciones realmente pretende ocultar su comportamiento, ante un análisis del código podemos ver qué es lo que oculta.

El costo que este tipo de amenazas puede llegar a tener para el usuario puede llegar a variar y depende de la región. Como han de imaginarse, este tipo de códigos maliciosos es más habitual en países en donde se toma vodka y hace mucho frío.

A modo de conclusión, vemos una vez más cómo los desarrolladores de códigos maliciosos se aprovechan del desconocimiento de los usuarios para ejecutar sus códigos maliciosos y así poder ganar dinero a expensas de los teléfonos infectados. Esta es una de los principales motivos por lo que es necesario contar con una solución antivirus para dispositivos móviles que pueda advertir al usuario acerca de estas amenazas, si a ello se le suma que el usuario cuente con buenas prácticas para su utilización; la posibilidad de que su teléfono y su bolsillo se vean afectados se minimiza.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware, Curiosidades
No Comments »