Propagación de Bagle en ficheros comprimidos
Durante los últimos días venimos recibiendo varios correos con adjuntos infectados que utilizan un método rudimentario para evitar ser detenidos por los filtros antivirus de los servidores de correo. El método usado en esta ocasión es tan simple como comprimir el código malicioso en un archivo con contraseña tal y como vemos a continuación:
El motivo del mensaje también resulta bastante simple a la par que familiar puesto que usa un escueto “I love you” para despertar la curiosidad del usuario que recibe el mensaje. También proporciona la contraseña del archivo infectado en formato de imagen para que se generen de forma automatizada a la par que difículta el filtrado en los sistemas antispam. Si echamos un vistazo al contenido del fichero comprimido encontramos lo siguiente:
Como en muchos otros casos que hemos revisado con anterioridad, encontramos un ejecutable que contiene el código malicioso y que, si intentamos descomprimir, será detectado por nuestro antivirus como una variante de nuestro viejo conocido gusano Bagle.
Estamos ante otro ejemplo más de que, con un método rudimentario y usando la ingeniería social, se puede comprometer la seguridad de aquellos sistemas desprotegidos.
Josep Albors
Infecciones en webs legitimas
Recientemente, uno de nuestros usuarios contactó con nuestro servicio técnico alarmado por la detección de un código malicioso en una web de una conocida productora de cine. El cliente, extrañado de este hecho nos comentó el caso pensando que se trataba de un falso positivo pero, tras analizar el código fuente de la web observamos unas líneas de código HTML que provocaban la descarga de un código malicioso.
Tras ponernos en contacto con los administradores de la web, estos reaccionaron rápidamente y eliminaron esas líneas.
Este ejemplo nos sirve para ilustrar un nuevo vector de ataque que se dedica a infectar paginas webs legítimas. De esta forma, los usuarios se confían mas y bajan la guardia ya que no piensan que estas webs puedan infectarles. Se trata de un aprovechamiento de vulnerabilidades no corregidas en los servidores que albergan estas webs junto con el uso de la ingeniería social para que el usuario no sospeche de las webs que visite normalmente.
Ante este tipo de ataques cabe recomendar a los administradores web que mantengan actualizados sus servidores para evitar que estos sean vulnerables. Así mismo, tal y como sucedió con el usuario que nos alerto de esta amenaza, la utilización de un sistema antivirus actualizado puede prevenir que nuestro sistema quede infectado.
Josep Albors
Ciberdelincuentes compromenten email de Sarah Palin
La candidata a la vicepresidencia de los Estados Unidos fue victima de un ataque a su privacidad cuando unos ciberdelincuentes lograron acceder a su cuenta personal de correo electrónico. En pocas horas, parte de estos correos estaban circulando libremente por Internet, siendo publicados en varios sitios.
Este ataque a una de las personas más influyentes del momento debería hacernos reflexionar acerca de dos aspectos importantes en nuestra seguridad informática.
El primero de ellos es comprobar si nuestras casillas de correo están debidamente protegidas. Muchas veces usamos servicios de correo electrónico web que nos proporcionan un acceso directo a nuestro correo personal en cualquier lugar. Pero para poder efectuar este acceso, es necesario introducir unos datos de registro que pueden caer en malas manos si no tomamos las debidas precauciones. Siempre es recomendable evitar que nuestro navegador recuerde los datos de registro así como configurar nuestro webmail de forma que la comunicación entre nuestro equipo y nuestro servidor de correo sea lo mas segura posible (usando para ello protocolos creados específicamente).
También debemos evitar conservar correos con datos sensibles en nuestros buzones ya que, en caso de que estos sean comprometidos, podrían caer en malas manos y ser usados en nuestra contra. Es mejor conservar los datos en ficheros cifrados y no en nuestro cliente de correo o webmail donde pueden ser fácilmente accedidos si nuestro sistema es atacado.
Muchas veces, estos ataques se realizan enviando ficheros con funciones de troyano para poder acceder a nuestro sistema y robar la información buscada, por lo que nuestra primera línea de defensa (antivirus) debe de ser un antivirus actualizado capaz de detener estas amenazas.
Josep Albors
Ataque al colisionador de Hadrones
Si hace poco nos hacíamos eco de un virus que infectó algunos de los ordenadores de la Estación Espacial Internacional, esta vez le ha tocado al recién inaugurado Colisionador de Hadrones. Con motivo de la puesta en marcha la semana pasada de esta gran obra de ingeniería, unos atacantes lograron penetrar el sistema informático del mismo, introduciendo el siguiente mensaje en la web del Centro Europeo de Investigaciones Nucleares:
En este mensaje advertían de la poca seguridad presente en los sistemas que controlan el mayor acelerador de partículas del mundo, estando solo a unos pasos de acceder al sistema de control del acelerador. Esto les hubiese permitido interrumpir buena parte de los sistemas necesarios para la realización de los experimentos.
Con esta noticia nos damos cuenta que cualquier sistema informático es vulnerable si no se implementan las medidas de seguridad correspondientes, independientemente de si se trata de un usuario doméstico o de un gigantesco laboratorio con recursos prácticamente ilimitados.
Josep Albors
Amenazas a supuestas descargas ilegales
Si recientemente comentábamos el caso de correos que amenazaban con denunciar a los usuarios que supuestamente enviaban correos no solicitados con virus, en el día de hoy hemos recibido una variante que sigue el mismo patrón. Primero recibimos un correo como este:
En el mismo se nos acusa de haber descargado contenidos con derechos de autor de forma ilegal, a la vez que se nos indica que, en el fichero adjunto se encuentran los registros de nuestras actividades ilegales en los pasados 6 meses. Si picamos el anzuelo y abrimos el fichero nos encontraremos con lo siguiente:
En lugar de un fichero de registros encontraremos un ejecutable que, si intentamos extraer o ejecutar hará saltar nuestro antivirus de la siguiente forma:
Es un caso muy parecido al que comentábamos hace unos días. Tan solo cambia el motivo de las amenazas para intimidar a los usuarios y hacer que caigan en la trampa. Viendo que este tipo de propagación de malware tienen un éxito razonable no es de extrañar que veamos mas variaciones de este tipo en un futuro.
Es por ello que siempre debemos protegernos con un antivirus actualizado por si estamos con la guardia baja e intentamos abrir el archivo adjunto.
Actualizacion 17/09/2008: Al observar que este tipo de malware esta siendo bastante difundido estos días nuestro laboratorio nos proporciona más información al respecto de esta amenaza.
Se trata de un Trojan/Goldun con función rootkit que al ejecutar el archivo user-EA49943X-activities.exe crea dos ficheros en el directorio de sistema de Windows:
C:\WINDOWS\system32\cabpck.dll
C:\WINDOWS\system32\krnlcab.sys
También crea diversas entradas en el registro de Windows para asegurarse la ejecución de cabpck.dll como parte del Winlogon y de krnlcab.sys como driver en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\Control
Si realizamos un análisis completo de este código malicioso, vemos que recibe instrucciones de los servidores con los que conecta, en concreto con:
social-bos.biz
osliki.net
Cuando se conecta con ellos envía información de la máquina infectada, pero también puede recibir información, como por ejemplo comandos para descargarse otras muestras de malware. En la siguiente imagen se puede observar la comunicación que realiza el troyano de forma oculta obteniendo a cambio las URLs de donde descarga nuevos componentes de malware como se observa a continuación:
Josep Albors
Tarjetas electrónicas que provocan infecciones
Es bastante común recibir entre el correo no deseado ofertas de servicios, descarga de programas o, como en este caso, el envío de una supuesta tarjeta electrónica. Estos correos suelen llegar con una composición tal y como mostramos a continuación:
En ocasiones se adjunta el fichero o, tal y como vemos en este ejemplo, se nos invita a descargarlo desde Internet. Si pulsamos sobre los enlaces proporcionados, se nos abrirá una ventana de nuestro navegador invitándonos a descargar el archivo.
En el caso de que aceptemos la descarga y ejecutemos el fichero, nuestro sistema se encontrará infectado, a menos que lo tengamos protegido por un antivirus actualizado, en cuyo caso se nos alertará de la amenaza que intentamos descargar.
Este tipo de infecciones y sus variantes son bastante frecuentes y todos tienen en común que requieren de la aprobación del usuario para descargarse y ejecutarse. Es por eso que recomendamos asegurarse de la fiabilidad de todo aquello que intentamos descargar desde Internet antes de ejecutarlo sin más.
Josep Albors
Correos amenazan usuarios infectados
Dentro de los intentos de engaño que recibimos a diario con el fin de que descarguemos y ejecutemos códigos maliciosos en nuestro sistema, nos ha sorprendido recibir un correo electrónico como el que mostramos a continuación:
En este correo (en inglés), un supuesto usuario se queja de que esta recibiendo diversas amenazas desde nuestra dirección. Continua su mensaje indicando que tomará acciones legales contra nosotros a menos que abramos el fichero adjunto que contiene los registros de comunicación donde supuestamente se demuestra que hemos enviado archivos infectados. Para finalizar, nos insta a que contactemos con nuestro proveedor de Internet para que proceda, con los supuestos datos proporcionados, a solucionar nuestro problema o nos denunciará a las autoridades.
El tono usado en el mensaje es bastante brusco y puede hacernos picar el anzuelo si no estamos seguros de que nuestro sistema no haya sido comprometido. Pero veamos que contiene el supuesto fichero adjunto:
Dentro del fichero no encontramos ningún fichero de texto que pudiese contener los registros comentados en el correo. Tan solo vemos un fichero ejecutable que nos debería hacer sospechar acerca de las verdaderas intenciones de quíen nos remite el mensaje.
Si descomprimimos o ejecutamos el archivo, vemos como ESET NOD32 nos lo detectará como una nueva variante de la familia Agent:
De nuevo, vemos como la ingeniería social intenta engañarnos para que nos infecte una amenaza bastante antigua detectada por nuestro sistema antivirus sin problemas.
Josep Albors
Falsos videos aprovechan huracan Gustav para propagar malware
Aprovechando la importante cobertura mediática que ha tenido estos últimos días el huracán Gustav a su paso por el Caribe, Golfo de Mexico y algunos estados Estadounidenses hemos visto como se han propagado masivamente una serie de correos electrónicos con códigos maliciosos como adjuntos. Podemos ver un ejemplo a continuación:
El adjunto viene en un formato comprimido para evitar que este sea eliminado a su paso por diferentes servidores de correo con filtros antivirus y antispam. Si el usuario decide abrir el fichero adjunto, esté abrirá la utilidad de descompresión donde podremos comprobar el contenido del archivo. Si nos fijamos, ya podremos deducir que se trata de una trampa ya que el fichero contiene una doble extensión. La primera es .avi para hacerse pasar por un fichero de video pero, si nos fijamos en la extensión, observaremos que en realidad se trata de un fichero ejecutable.
Al intentar extraer o ejecutar este archivo nuestro antivirus mostrará una alerta avisándonos de la amenaza que contiene el fichero.
No hay nada destacable en esta nueva propagación de malware, que usa técnicas simples ya usadas con anterioridad pero demuestra que, si se siguen usando, es porque funcionan y los usuarios caen en las trampas de la ingeniería social y su propia curiosidad. Cualquier usuario con un antivirus actualizado y un poco de sentido común no debería tener mayores problemas para deshacerse de este tipo de amenazas.
Josep Albors
Convocatoria concurso al mejor trabajo periodístico en seguridad informática
Con el objetivo de reconocer la labor periodística en tecnología, ESET anima a todos aquellos autores de trabajos relacionados con la seguridad informática publicados en España y America Latina a participar en esta convocatoria.
El ganador recibirá un viaje con todos los gastos pagados al CeBIT 2009 que se realizará en la ciudad de Hannover, Alemania.
Todos aquellos de nuestros lectores que se animen a participar encontrarán las bases del concurso y toda la información correspondiente al mismo en el enlace preparado para la ocasión.
Esperamos que esta iniciativa cuaje entre nuestros lectores y podamos ampliar la participación de nuestros usuarios en futuros concursos.
Josep Albors