Manuales en Español
Si a estas alturas es impensable el navegar por Internet sin la instalación de un antivirus y un cortafuegos, más importante debe ser el tenerlos bien configurados, ya que muchas veces le damos al típico siguiente, siguiente, siguiente, Esto no nos asegura para nada la máxima protección en nuestro sistema, porque cada ordenador es un mundo al igual que cada usuario.
Por ello os comunicamos el lanzamiento en español de los manuales de usuario tanto de ESET NOD32 Antivirus como de ESET SMART SECURITY , para poder así sacarle el máximo partido y rendimiento a nuestras soluciones de seguridad .
Desde los siguientes enlaces podréis descargar dicha documentación en formato PDF.
Esperamos os sean de gran ayuda .
R.R
Windows XP Service Pack 3 ¿disponible?
A pesar de que Microsoft anunció la disponibilidad del esperado Service Pack 3 para Windows XP para el día de ayer (29 de Abril) y, de hecho, estuvo disponible durante varias horas para su descarga, finalmente, se decidió posponer este lanzamiento al haberse descubierto una incompatibilidad con una aplicación de la propia Microsoft, concretamente Microsoft Dynamics Retail Management System (RMS).
Esto implica que la versión definitiva no será lanzada hasta dentro de un tiempo y que la que fue descargada ayer por miles de usuarios tiene este error de compatibilidad, si bien, pocos usuarios notarán este fallo.
Aun a pesar de este tipo de incidencias, mantener el sistema actualizado y disponer de un antivirus con capacidad proactiva es fundamental para protegernos de las nuevas amenazas que surgen cada día.
Josep Albors
Infectarse al navegar, sí es posible
Dos tipos de ataques están teniendo un gran auge en las últimas semanas, hablando de infectar a usuarios que naveguen por Internet o realicen búsquedas en sitios como Google. Así es como como con solo navegar por internet podemos quedar infectados mediante la ejecución de códigos javascript o iframes, alojados en servidores web comprometidos y así, redirigirnos a sitios web que intentan ejecutar un código malicioso en nuestro equipo. ¡¡Sí !! extraño pero cierto, sin descargar nada de la red, sin abrir ningún e-mail, sin ver las fotos que nos han pasado por el Messenger, simplemente con NAVEGAR.
El resultado de uno de los ataques, es que las búsquedas realizadas en el famoso Google, pueden contener enlaces a sitios que han sido comprometidos por los supuestos hackers para que descarguen códigos maliciosos en nuestra maquina sin darnos cuenta de ello, para así tratar de infectarnos. Según la información que barajamos pueden ser miles los sitios web comprometidos.
En la siguiente imagen podemos ver uno de los códigos ofuscados que se inyectan en las páginas web comprometidas
Otra clase de ataque, ha comprometido a miles de sitios webs legítimos, a través de vulnerabilidades en los programas utilizados. Esto incluye los ataques a sitios con el archiconocido WordPress, etc. En los dos patrones de ataques, las páginas web afectadas, intentan explotar agujeros en el software que está desactualizado o tiene una vulnerabilidad no descubierta por el fabricante y si lo han hecho los atacantes. Es importante tener muy en cuenta que no estamos hablando solo de los navegadores de internet (i. Explorer. Mozilla Opera) u el propio sistema operativo, sino que también afecta a software de terceros. Esto incluye, RealPlayer, Adobe Reader, Adobe Flash, QuickTime, Sun Java, iTunes, Winamp, el nuevo Safari, entre otros.
Aquí es donde entra en juego el papel del webmaster o el administrador de los servidores que debe de ser consciente de que su servidor de paginas web debe de estar actualizado con todos los parches de seguridad, para no infectar a sus visitantes.
Desde aquí nos gustaría hacer una recomendación muy simple y es no utilizar cuentas con privilegios de administrador , una practica muy extendida y que nos puede traer muchas mas penas que alegrías. Y por supuesto usar software de seguridad actualizado. Esto ya no solo se refiere a un Antivirus si no que también debemos instalar un buen cortafuegos.
R.R
Nuevo ataque masivo de inyección SQL
De nuevo, cientos de miles de páginas web, entre los que se encuentran sitios de organismos oficiales (Naciones Unidas, UNICEF, Department of Homeland Security, Servicio Civil del Reino Unido, etc), prensa (Redmond Magazine, Pocket PC Magazine, etc) o empresas (Aeroflot), han sido hackeadas recientemente, introduciéndoles un código que intenta aprovechar fallos de seguridad en Windows, con la finalidad de instalar códigos malicioso en los ordenadores de aquellos usuarios que las visiten.
Los atacantes parecen haber conseguido introducir el código javascript maliciosos en los sitios afectados aprovechando una vulnerabilidad en Microsoft IIS y Microsoft SQL Server. Esto hace que los navegadores de los usuarios que visiten estos sitios afectados sean redirigidos a sitios webs maliciosos. En estos sitios se intenta aprovechar vulnerabilidades conocidas que puedan tener los sistemas de de los usuarios para instalar código malicioso.
La solución a este nuevo ataque pasa, por un lado, porque los administradores de los sitios afectados corrijan las vulnerabilidades aprovechadas en este ataque y, por el lado de los usuarios, que estos extremen las precauciones al navegar por sitios webs (aunque estos sean confiables), actualicen su sistema operativo y las aplicaciones instaladas a la última versión disponible y que instalen un antivirus con capacidad proactiva.
Josep Albors.
Nueva propagación de variantes del Bagle
Durante esta semana hemos visto una nueva propagación del ya veterano código malicioso del tipo gusano Bagle. En esta ocasión los síntomas de la infección eran bastante visibles ya que intentaba detener los software antivirus instalados en el sistema, provocaba reinicios aleatorios y no permitía el inicio en modo seguro de Windows.
La manera de propagarse era distribuyendo n-variantes de un Troyano de la clase downloader empaquetado con Themida (packer que suele ser bastante difícil de analizar). Este troyano se encarga de neutralizar los proceso residentes de los programas antivirus y de descargar de diversos servidores webs unos ficheros con extensión JPG que, en realidad son ejecutables con múltiples variantes del Bagle.
El hecho de que se creasen múltiples variantes en poco tiempo hizo que fuese difícil para las casas antivirus el detectarlas todas mediante la actualización de las bases de firmas. Asimismo, también dificultaban su desinfección.
En casos como este es cuando la heurística avanzada demuestra su verdadera eficacia, ya que se añadió una detección genérica por heurística para ir detectando y eliminando las múltiples variantes que aparecieron (y siguen apareciendo) como Win32/Bagle.gen.zip.
A continuación mostramos una imagen del servicio Virus Radar ofrecido por ESET, donde se pueden observar las oleadas de este gusano a lo largo de esta semana.
Aprovechamos la ocasión para recomendar este servicio que cualquier usuario puede usar para observar el estado de propagación de las amenazas actuales, prácticamente en tiempo real y proporcionado por sistema de alerta temprana ThreatSense.Net.
Josep Albors
Vectores de ataque: Memorias USB
En este blog se ha hablado con anterioridad de códigos maliciosos propagándose usando las memorias USB. En esta ocasión pasaremos a describir las técnicas de ataque usadas en estos dispositivos:
Primera técnica: Dispositivo USB infectado que afecta al sistema.
El dispositivo USB que conectamos a nuestra máquina se encuentra infectado por un código malicioso y se ejecuta gracias a la reproducción automática de dispositivos que viene configurada por defecto en Windows. Este tipo de malware está diseñado para robar información sensible de la máquina infectada, información tal como contraseñas del sistema o de las aplicaciones usadas, contraseñas de correo o sitios webs como foros y banca electrónica, historiales de navegación, números de serie de los programas instalados en el sistema, etc. Por si esto fuera poco, muchos de estos códigos maliciosos crean ademas una cuenta de usuario con privilegios de administrador y un servicio de acceso remoto oculto que permite al creador del malware tomar el control de nuestro sistema.
Todo esto es posible gracias a una vulnerabilidad en Windows que permite la ejecución de aplicaciones directamente desde el dispositivo USB sin dejar rastro alguno. Esto unido a la ejecución por defecto que realiza Windows de estos dispositivos y a la gran cantidad de variantes de códigos maliciosos de este tipo que se lanzan cada día, hace que nuestro sistema se encuentre realmente vulnerable si no tomamos las medidas oportunas. Entre ellas se encuentran los siguientes consejos:
• Ir a inicio, ejecutar y escribir, gpedit.msc, y, en la ventana que se abre, seleccionar en Directiva Equipo Local > Plantillas de administración >Sistema > desactivar reproducción automática >clic derecho > propiedades. Después, marcar en habilitada y debajo seleccionar todas las unidades y aceptar los cambios, que sólo tendrán efecto cuando se reinicie el sistema.
• O modificar la siguiente clave de registro: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbstor\start
Segunda técnica: Sistema infectado que afecta a la memoria USB
Esta técnica utiliza aplicaciones conocidas como USB Dumper que, una vez instalada en nuestro sistema Windows, copia toda la información sensible o susceptible de contener datos valiosos que pudiese haber en nuestro dispositivo USB, al disco duro de la máquina infectada. Versiones mas elaboradas de este tipo de malware son capaces de enviar esta información robada desde nuestro dispositivo al creador del código malicioso usando el servicio de envío de correo (SMTP) de la máquina infectada. Por último también son capaces de infectar nuestro dispositivo USB y así extender la infección a todas aquellas máquinas en las que lo conectemos.
Ante estas amenazas, resulta vital disponer de un antivirus actualizado y que sea capaz de reaccionar proactivamente ante las miles de variantes que aparecen cada día de estos códigos maliciosos.
Josep Albors
Amenazas + Usuarios = Colaboración
A finales de la pasada semana llego hasta nuestro laboratorio una muestra de un troyano dirigido a los usuarios de entidades bancarias de diversos países, entre los que destacan Alemania, España, EEUU y Reino Unido. El espécimen está especializado en capturar las credenciales de acceso a la banca Online, lo que permite a los atacantes suplantar la identidad de los usuarios infectados y realizar transferencias desde sus cuentas.
El bicho nos llego desde un usuario que creía estar infectado porque al insertar un acento en cualquier texto en vez de uno ponía dos automaticamente ´ ´, la cual cosa le puso en alerta , se puso en contacto con nuestro departamento técnico y aquí se empezó a gestar el Spy.Agent.NFS, El usuario nos remitió unos programas que había descargado de una web aparentemente de confianza , al realizar un primer análisis pudimos detectar que dicho “programa” llevaba una sorpresa oculta. Enviamos la muestra a Virus Total donde un total de 32 motores antivirus la analizaron y cuál fue nuestra sorpresa al ver que ningún Antivirus detectaba nada, sorpresa grande porque las Heurísticas agresivas de algunos de ellos llevan a detectar como una amenaza a la mismísima calculadora de Windows dentro de un Packer.
Lo primero fue el poner alerta al usuario para que bajo ningún concepto realizara movimientos con su banco OnLine. Después manos a la obra a ver que nos deparaba dicho troyano.
El troyano monitoriza las direcciones del navegador de los sistemas infectados, y se activa cuando detecta que el usuario se dirige a la página web de algunas entidades bancarias. Para saber cuándo debe capturar las contraseñas del usuario, el troyano descarga un archivo desde un servidor de Internet donde mantiene los dominios y URLs de los bancos a atacar.
El listado de dominios al que se dirige es el siguiente:
53.com
bancaja.*
bancajaproximaempresas.com
bancopopular.es
banesto.es
banesto.es
banking.*.de
bankofamerica.com
bankofamerica.com
barclays.co.uk
cahoot.com
cbonline.co.uk
chase.com
citibank.com
citibank.de
citizensbankonline.com
comdirect.de
dresdner-privat.de
e-gold.com
ebank.hsbc.co.uk
fiducia.de
gruposantander.es
halifax-online.co.uk
lloydstsb.co.uk
lloydstsb.com
nationalcity.com
norisbank.de
openbank.es
paypal.com
suntrust.com
tdcanadatrust.com
unicaja.es
usbank.com
vr-networld-ebanking.de
wachovia.com
wamu.com
wellsfargo.com
ybonline.co.uk
Dependiendo de la entidad el troyano llega incluso a modificar en tiempo real la página web del banco, presentando campos adicionales en los formularios de autenticación. Es decir, en vez de solicitar únicamente usuario y clave de acceso, el troyano puede hacer aparecer en la página web de la entidad un tercer campo solicitando la clave necesaria para confirmar las operaciones. De esta forma los atacantes consiguen todos los datos necesarios para suplantar la identidad de la víctima y realizar transferencias desde sus cuentas.
Los troyanos especializados en la captura de credenciales bancarias no son una novedad, sino todo lo contrario, a día de hoy destacan como una de las familias más prolíficas entre el malware orientado al fraude. Es por ello que la industria antivirus está en constante evolución, incorporando técnicas de detección proactivas para prevenir su amenaza. Sin embargo, este nuevo troyano se ha caracterizado por no ser detectado por ninguno de los más de 30 antivirus probados en el momento de su distribución, lo que lo convertía en prácticamente invisible.
Este caso pone de manifiesto que la colaboración de los usuarios se presenta vital para poder identificar y prevenir de forma temprana nuevas formas de malware que puedan aparecer. Por lo que desde aquí agradecemos la colaboración de los usuarios y animamos a que continúen con su actitud preventiva, ayudándonos a mejorar , si Ud cree estar en el mismo caso, envíenos la supuesta muestra dentro de un archivo comprimido con contraseña a virus@nod32-es.como bien desde nuestra Enclopediavirus.
R.R
El despertar del Kraken y la tormenta que no cesa
Estos últimos días, varias compañías de seguridad han alertado de la detección de una botnet (red de máquinas zombies) con una cantidad de sistemas infectados superior a lo habitual, según algunas fuentes, la mayor detectada hasta la fecha. Esta información, no obstante, ha de ser tomada con cautela puesto que resulta difícil determinar cuantas máquinas se encuentran realmente a las ordenes del administrador de esta red.
Hay algunas fuentes que informan de que el código malicioso detrás de esta red de máquinas zombies solo es detectado por unos pocos productos de seguridad mientras que otras fuentes indican que la detección de este código malicioso ha mejorado mucho desde que empezó a ser detectado a finales de 2007.
No es el único caso de una gran botnet detectada últimamente que parece dispuesta a rivalizar con la red Storm (Nuwar según ESET) y es probable que, detrás de ellas, se encuentre un código malicioso muy conocido en forma de gusano que se propaga como adjunto en los mensajes de correo electrónico.
Como hemos dicho anteriormente, resulta difícil medir el tamaño exacto de una botnet y, cuando esta información llega a la prensa no especializada tiende a exagerarse. Normalmente estas redes tiene importantes fluctuaciones de forma periódica originadas por el lapso de tiempo que tardan las casas antivirus en detectar el malware que genera la infección y el tiempo que tardan los creadores de este malware en desarrollar una nueva variante o vector de infección.
Por ejemplo, la ya clásica red Storm (Nuwar) ha realizado un cambio de estrategia recientemente ya usado con anterioridad por otras amenazas como el Zlob y que consiste en engañar al usuario (de nuevo aparece la ingeniería social) para descargar un falso codec de video. Si el usuario pulsa sobre el enlace recibido en el correo que genera este malware descargará un fichero ejecutable con el nombre de StormCodec.exe (detectado por ESET NOD32 como Nuwar.GG).
Este cambio de estrategia demuestra que los creadores de malware están siempre atentos para, cuando ven que un tema ya no funciona, cambiar a otro nuevo que sí lo haga. Asimismo, también demuestra que las formas mas sencillas para engañar a los usuarios e infectar sus sistemas, son también las mas efectivas.
Josep Albors.
Frescura Española
Hace unos días llego hasta nosotros una muestra procedente de un usuario el cual nos comentaba que su ordenador estaba “secuestrado”.Una vez con la muestra en el laboratorio pudimos ver que se trataba de un “Ransomware”, menuda palabreja, pero tranquilos que aquí está la descripción.
El Ransomware es un malware generalmente distribuido mediante SPAM y que mediante distintas técnicas imposibilita al dueño de un documento acceder al mismo. El modo más comúnmente utilizado es cifrar con clave dicho documento y dejar instrucciones al usuario para obtenerla, posterior al pago de “rescate”.
Está interesante, un poco de frescura, y hecho en España fue lo primero que salió de la boca de nuestro destripador de malware, la muestra en cuestión está escrita en Visual Basic.
Respecto al propio troyano, crea una copia de si mismo en el directorio de Windows, suponiendo que sea una instalación en estándar en C:\Windows, el troyano se habrá instalado como:
C:\WINDOWS\system32:www.google.com (un nombre extraño.. pero es así tal cual)
Después crea una dll:
C:\WINDOWS\system32:rpsS.dll
Y en el ráiz crea:
C:\aaaaaa.bat c:\worm3.exe c:\sms.exe
El que hace el borrado de información es el .bat
El worm3.exe crea a su vez C:\logon.exe
El sms.exe a su vez crea C:\ad.bac:\windows\Prizee.exe y es el encargado de pedir el chantaje…
Es como una muñequita de esas rusas, que cada vez que abres una te aparece otra dentro , aparte hace unas cuantas modificaciones a nivel registro.
Tras copiarse/instalarse, lo primero visible para el usuario, pasado un buen rato, es una ventana que pone “FUCK YOU BY DRIGIN”, a continuación suelta el payload que su misión consiste en borrar ficheros, no sólo del disco local, sino también de las unidades compartidas que tenga la maquina infectada ,y entonces viene lo bueno, te muestra la siguiente pantalla de chantaje.
Además de chantaje es un TIMO, porque la página pidiendo que envíes los SMS para evitar tener el PC “secuestrado” la muestra después de haber realizado el borrado de la información.
El borrado que hace es fichero a fichero, no utiliza ningún mecanismo a bajo nivel, ni sobreescribe, etc. Hay que ser mala persona para hacer eso, pero tranquilos con cualquier herramienta de recuperación de datos borrados se puede recuperar muy fácilmente.
NOD32 lo detecta como Win32/TrojanDownloader.Small.OBA
R.R
¿ Estamos infectados (II) ?
Qué hacer si tenemos síntomas de infección
Si notamos que el ordenador tiene síntomas de infección, no nos dejaremos Llevar por el pánico. Esta es una regla primordial que nos ayudará a prevenir la pérdida de datos importantes almacenados en nuestro ordenador.
Desconectaremos el ordenador de Internet, para evitar la fuga de datos o descarga de software malintencionado por parte del Malware ya instalado en nuestro sistema. Si el ordenador pertenece a una Red de Área Local, evitaremos así la propagación de dicho Malware
Si el ordenador no puede iniciarse normalmente desde el disco duro (error al iniciar), intentaremos reiniciar el sistema en el Modo Seguro (prueba de fallos F8) o desde el disco de inicio o instalación del propio Windows.
Antes de emprender cualquier acción de desinfección es realmente importante hacer, una copia de seguridad de todos los datos críticos e información valiosa a una unidad externa (CD, Dico externo USB, etc.).
Realizaremos un análisis completo de nuestro sistema operativo asegurándonos de que nuestro antivirus dispone de las ultimas actualizaciones de bases de firmas de virus. Esto último es realmente importante.
Si no se encuentran virus durante el examen:
Si no se encuentran virus durante el examen y los síntomas que nos alarmaron persisten, tendremos que comprobar todo el hardware y software instalado en el ordenador. Controlaremos que nuestro sistema este al día en cuanto a actualizaciones se refiere. Para ello utilizaremos Windows Update. Desinstalaremos el software instalado recientemente y eliminaremos los archivos temporales de Internet. Asimismo, recomendamos pasar una herramienta de limpieza como el Ccleaner y Regseeker para poner nuestro sistema sistema en orden.
Si se encuentran virus durante el análisis:
Un buen antivirus nos notificará si se encuentran virus durante la verificación de los discos y nos mostrara algun tipo de ventana donde se nos ofrecerán varias opciones para tratar con los objetos infectados.
En la gran mayoría de los casos, los ordenadores están infectados por virus, gusanos, troyanos, y malware en general . En la mayoría de los casos, los datos perdidos pueden ser recuperados con éxito.
1. Nuestro antivirus nos debe proveer de la opción de desinfectar los objetos infectados, ponerlos en cuarentena, borrar los gusanos y troyanos. Un informe (log) proveerá los nombres del software malicioso descubierto en su ordenador asi como donde se encuentran alojados.
2. En algunos casos, podremos necesitar de alguna herramienta especial de desinfección para recuperar datos que han sido dañados . Para ello visitaremos el sitio de nuestro proveedor de software antivirus para buscar información acerca del virus, troyano o gusano que infectó nuestro ordenador. Descargaremos cualquiera de las utilidades especiales si están disponibles.
3. Si nuestro ordenador ha sido infectado por virus que aprovecha del correo electrónico , tendremos que examinar y desinfectar la base de datos del cliente de correo, es bastante común que nuestro antivirus detecte amenazas en la papelera (junk) de nuestro cliente de correo. No hay que olvidar vaciarla de vez en cuando.
4. Lamentablemente, algunos virus no pueden ser eliminados de los objetos infectados (inyectan código malicioso en archivos legítimos). Algunos de estos virus pueden corromper información de nuestro ordenador, y puede ser imposible restaurar esta información. Si un virus no puede ser quitado de un archivo, el archivo debe borrarse y posteriormente restaurarlo desde una copia limpia, como podría ser el caso de algunas DLL infectadas.
Hasta aquí la segunda parte, en la próxima entrada veremos como recuperar los datos después de una infección.
R.R.
Artículos Anteriores »