• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Los “Doce del patíbulo” de la (in)seguridad informática

Cada cierto tiempo es frecuente ver un listado o ranking de aplicaciones y sistemas vulnerables que obtiene mayor o menor repercusión. Estos informes se basan, la mayoría de las veces, en un listado de vulnerabilidades descubiertas en un periodo de tiempo y puede crear corrientes de opinión que pueden dañar seriamente la imagen de una empresa. Uno de estos informes, de reciente aparición, es el llamado “Dirty Dozen” , que ha causado cierto revuelo al ubicar en el primer puesto de las aplicaciones más vulnerables al navegador web de Google, Chrome.

Además de Chrome, los otros tres navegadores más usados (Internet Explorer, Safari y Firefox) también se encuentran en esa lista, lo que ratifica, una vez más, que el vector de ataque en la actualidad está centrado en la web. Algunos se pueden sorprender por el hecho de que Internet Explorer, por la mala fama que ha acarreado siempre, sea el navegador con menos vulnerabilidades de esta lista, pero la verdad es que Microsoft hace tiempo que hizo de la seguridad su objetivo y parece que lo está logrando en las últimas versiones de algunos de sus productos, aunque aun le quede un largo camino por recorrer.

También destacan en esta lista aplicaciones de terceros como los productos de Adobe y Java, cuyos problemas de seguridad ya hemos comentado repetidas veces en este blog. Sin ir mas lejos, Adobe ha publicado recientemente una actualización de seguridad para sus aplicaciones Reader y Acrobat (versiones 9.4 y anteriores) que soluciona graves vulnerabilidades en estos productos.

La presencia de aplicaciones de Apple destaca sobremanera en esta lista. Además de su navegador Safari, otros tres productos de la compañía cierran la lista, lo que indica que la compañía de Cupertino debería invertir más en la seguridad de sus aplicaciones si no quieren ver como Mac OS sufre una escalada de incidentes de seguridad que lo equiparen a los sufridos actualmente en Windows.

Al ser todas las aplicaciones publicadas en esta lista de uso común entre los usuarios, resulta especialmente recomendable tomar las medidas adecuadas para evitar que sus vulnerabilidades afecten a nuestros sistemas. Desde el laboratorio de ESET en Ontinet.com, recordamos que merece la pena invertir una pequeña parte de nuestro tiempo en actualizar periódicamente nuestro sistema y aplicaciones para evitar incidentes de seguridad.

Josep Albors

La Navidad se adelanta… ¿en Google?

Por estas fechas ya comenzamos a recibir algunos correos no deseados relacionados con la campaña navideña, y como no es de extrañar, a nuestro buzón de correo empiezan a llegar suculentas ofertas, descuentos increíbles e incluso premios desorbitados.

En el caso que nos afecta hoy, mostramos un supuesto correo de Google en el que se nos informa que hemos sido agraciados con miles de libras por el mero hecho de que nuestra cuenta fue una de las 20 premiadas. Dicho sorteo, supuestamente, se realizó en el evento del aniversario de Google, siendo nosotros uno de los agraciados, ¡qué suerte la nuestra!

El correo en sí no dispone de muchas más peculiaridades, se envía desde una dirección con dominio ruso. Nos pide que enviemos nuestros datos de contacto cuanto antes para poder disfrutar del supuesto premio, tema que aprovechan para, una vez enviados, añadir nuestra dirección de correo electrónico a una lista de direcciones de correo fiables y así poder vender esas listas a spammers.

Una curiosidad es que han añadido la imagen del Monstruo de Espagueti Volador (Flying Spaghetti Monster). ¿Tendrá algo que ver esta religión con el envío de este correo? ¿O qué sentido puede tener esta imagen en este correo?

Desde el departamento técnico de ESET en Ontinet.com, queremos informar a nuestros lectores sobre el peligro de estos correos, que aparentemente no afectan a nuestro ordenador, pero al contestarlos proporcionamos datos personales como dirección, teléfono, nombre de la empresa donde trabajamos, etc, y que en el mejor de los casos, al contestarlos puede que solo recibamos cientos y cientos de correos no deseados.

David Sánchez

Microsoft bloquea los enlaces activos en MSN 2009 para evitar propagación de gusano

Probablemente, cuando lean esta entrada, muchos de nuestros lectores ya se habrán dado cuenta de un aviso que viene apareciendo desde hace días en la versión 2009 del sistema de mensajería instantánea más usado en todo el mundo, Windows Live Messenger. Este aviso nos indica que alguna de las características de este programa podrían no estar disponibles y se muestra tal que así:

La característica a la que se refiere es la de los enlaces activos, aquellos enlaces que podemos insertar en una conversación para que los usuarios con los que estemos hablando puedan acceder a su contenido con solo un clic. Desde hace bastantes años, este tipo de enlaces han supuesto un alto riesgo para los usuarios de Messenger y no son pocas las campañas de propagación de malware que se han aprovechado de los mismos. El mecanismo de propagación es sencillo y consiste en que el sistema infectado envíe sin conocimiento del usuario enlaces maliciosos a todos sus contactos, estos pulsan sobre ellos, se descargan y ejecutan el malware , se infectan y pasan a formar parte de esta cadena.

En esta ocasión y según informan los expertos de ESET Alexis Dorais Joncas y Pierre-Marc Bureau, en colaboración con John Scarrow de Microsoft, esta campaña de propagación de malware está propagando el gusano Win32/Slenfbot.AKD (Win32/Kryptik.HPD según la nomenclatura de ESET). Este gusano, como ya hicieron algunos con anterioridad, usa geo-localización para comunicarse con la víctima en su propio idioma e incluso puede llegar a enviar mensajes relacionados con noticias y sucesos ocurridos en el país de la víctima. Con estas técnicas, resulta mucho más fácil engañar a los usuarios para que pulsen en el enlace malicioso.

A continuación vemos un ejemplo de lo que sería un enlace malicioso propagado por este gusano. Si nos fijamos bien observaremos que se está usando un acortador de direcciones URL. Con este método, el gusano evita que se pueda saber, con tan solo un vistazo, a que dominio redirecciona el enlace, no pudiendo el usuario determinar si este es sospechoso con solo verlo.

Cuando la víctima abre el enlace, se muestra un falso reproductor de archivos de vídeo y una ventana emergente que nos invita a instalar una actualización de Flash Player. Como en otras ocasiones, esta actualización es falsa y lo que realmente descarga es el código malicioso que hemos comentado. Asimismo, el malware se encuentra ubicado, como viene siendo costumbre últimamente, en una página legítima que ha sido comprometida.

Tal y como acabamos de ver, las técnicas clásicas de infección siguen utilizándose para infectar sistemas. No obstante, en esta ocasión Microsoft ha sabido reaccionar a tiempo deshabilitando lo opción que permitía el riesgo de infección con un solo clic. Esta característica ya ha sido modificada en la nueva versión de Windows Live Messenger 2011, que se empezó a distribuir hace unas semanas, y representa un gran avance en materia de seguridad. Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios actualizar a la versión más reciente del programa de mensajería instantánea de Microsoft o deshabilitar la opción que permite pulsar sobre cualquier tipo de enlace en versiones anteriores.

Josep Albors

Llamadas desde el falso soporte técnico

Las técnicas usadas por los creadores de malware para esparcir sus creaciones no conocen límites. Buena prueba de ello son los ya familiares falsos antivirus, aplicaciones que se camuflan de soluciones de seguridad y que no hacen más que infectar al usuario y robarle los datos de su tarjeta de crédito si este se decide a comprarlas. Este tipo de malware es uno de los más comunes en la actualidad y son muchos los usuarios que caen en esta trampa.

Ahora parece que esta estrategia ha evolucionado, también, fuera del ciberespacio y, desde hace meses, venimos observando casos de llamadas telefónicas que se realizan ofreciendo un falso servicio de soporte técnico. Este servicio se publicita como si de una empresa legal se tratase, suplantando nombres de empresas autenticas como Microsoft, Adobe o incluso ESET y otras casas antivirus. Si se consigue ganar la confianza del usuario que recibe la llamada, es muy probable que este acepte el servicio y proporcione los datos de su tarjeta de crédito o instale algún software malicioso guiado por las instrucciones del operador telefónico.

David Harley, experto investigador de ESET, ha hablado largo y tendido sobre este tipo de engaños, llegando incluso a recibir una llamada por parte de uno de los operarios que ofrecen este falso soporte. Como él mismo comenta, esta técnica de ingeniería social se aprovecha de la creciente necesidad de los usuarios inexpertos de recibir soporte técnico cuando ocurre alguna incidencia con su ordenador. Actualmente, somos mayoría quienes usamos un ordenador de forma más o menos frecuente pero, desafortunadamente, no todos disponemos de los conocimientos necesarios para afrontar diferentes problemas que puedan aparecer, como la eliminación de un malware o la instalación de unos drivers, por poner solo dos ejemplos.

Si algo bueno podemos sacar de este nuevo tipo de engaño es que los delincuentes se adaptan a lo que buscan los usuarios y, tanto con los falsos antivirus como en estos casos de ofrecimiento de falso soporte técnico, se demuestra que la concienciación sobre la seguridad de nuestros sistemas es ahora mayor que hace unos años. Desde el laboratorio de ESET en Ontinet.com, animamos a todos aquellos usuarios que deseen aumentar sus conocimientos sobre seguridad informática, a mantenerse informado con blogs como este y a utilizar únicamente soluciones de seguridad legítimas para proteger sus sistemas.

Josep Albors

Nuevas vulnerabilidades en dispositivos móviles

Tal y como ya hemos comentado varias veces en este blog, parece que el protagonismo de los dispositivos móviles en materia de seguridad va a incrementarse en los próximos meses. Si la semana pasada informábamos acerca de múltiples errores en el diseño del kernel del sistema Android, hoy no podemos dejar de reseñar otras incidencias acontecidas en los últimos días.

La primera de ellas trata sobre la publicación de código que, de ejecutarse en terminales con versiones de Android vulnerables (2.0, 2.1) puede hacer estos dispositivos vulnerables a ataques remotos. La versión más reciente de Android (2.2) no es vulnerable a este tipo de ataques, aunque las versiones anteriores aun son usadas en un alto porcentaje y hay terminales en los que no se permite instalar la versión 2.2 de forma oficial.

El código publicado se aprovecha de una vulnerabilidad ya existente en uno de los componentes (WebKit) de varios navegadores de Internet. El navegador que incluye el sistema operativo Android también es vulnerable y se puede generar un exploit que se active cuando el usuario visite una web maliciosa diseñada para aprovecharse de esta vulnerabilidad.

La otra vulnerabilidad que ha afectado al sistema Android recientemente es ocasionada por fallos que, de ser aprovechados pueden llegar a instalar aplicaciones maliciosas en el dispositivo sin consentimiento del usuario. Estos agujeros de seguridad se encuentran en el navegador y no en el kernel del sistema, lo que las hace diferentes a las descubiertas hasta el momento.

Como prueba de concepto, el investigador Jon Oberheide generó una aplicación falsa simulando ser una ampliación de niveles del popular juego “Angry birds” y la publicó en el Android Market. Esta aplicación, una vez instalada, descargaba e instalaba a su vez otras tres aplicaciones sin consentimiento del usuario. Google ya ha eliminado esta aplicación del Android Market y, aunque esta prueba de concepto resulta inofensiva, demuestra lo que un usuario malintencionado puede llegar a hacer.

Pero no solo Android es víctima de las vulnerabilidades. iOS, el sistema operativo de Apple presente en iPhone, iPod Touch e iPad también ha visto como los investigadores han descubierto un fallo en el manejo de esquemas de direcciones por parte del navegador Safari. Este manejo incorrecto permite la realización de llamadas telefónicas mostrando un simple aviso si se visita un enlace especialmente preparado. La situación es más grave si en nuestro iPhone tenemos instalado el popular sistema de voz sobre IP Skype puesto que, de ser así, la llamada se iniciará sin mostrar ninguna ventana de confirmación (siempre que el usuario haya permitido a esta aplicación guardar sus credenciales de acceso, como sucede la mayoría de las veces). A pesar de ser Skype el ejemplo más claro, existen otras aplicaciones que también pueden sufrir este fallo.

Viendo como está el panorama en la seguridad de dispositivos móviles, desde el laboratorio de ESET en Ontinet.com recomendamos a nuestros lectores que tengan cuidado a la hora de instalar aplicaciones dudosas o acceder a enlaces sospechosos desde nuestro móvil. Siempre es mejor perder un poco de tiempo buscando referencias sobre esa aplicación o enlace antes que sufrir el robo de los datos almacenados en nuestro móvil.

Josep Albors

El kernel de Android hace aguas

La empresa de seguridad Coverity ha revelado en un informe realizado a varios sistemas de código abierto, entre ellos Android, en el que anuncia que existen 359 defectos de software en el kernel de Android. Los aspectos más relevantes de esta investigación son los siguientes:

• El Kernel de Android reveló 359 defectos de software

• El 25% de las vulnerabilidades detectadas son de alto riesgo, por ello existe la posibilidad de que puedan ser utilizadas para causar varias brechas de seguridad

• Algunos de los defectos comunes que se encuentran en el código fuente abierto siguen siendo: la corrupción de memoria, valor NULL del puntero, y pérdidas de recursos, que pueden causar caídas del sistema o vulnerabilidades de seguridad en los productos

Además de lo indicado en este informe, se han ido publicando algunas de estas graves vulnerabilidades. Hispasec informó hace un tiempo sobre una de ellas, que era explotada por una aplicación llamada “Tap Snake”, descargable desde Android Market, que recolectaba datos sobre nuestra posición GPS y que se hacía pasar por la famoso juego de la serpiente.

Más recientemente se ha informado sobre otra grave vulnerabilidad, publicada por The Register. Esta vulnerabilidad podría permitir a un atacante instalar una aplicación de terceros maliciosa en los sistemas Android, sin que el usuario se percate de ello.

Desde el departamento técnico de ESET en Ontinet.com, quedamos a la espera de la respuesta de la compañía Google al respecto, e informaremos de cómo tienen pensado actuar para reparar estas vulnerabilidades. Mientras tanto, los usuarios de dispositivos con sistemas operativos Android deben ser muy cuidadosos en lo que se refiere a instalar aplicaciones desconocidas o descargadas mediante otros sistemas externos a Android Market.

David Sánchez

Firesheep y la seguridad de las redes inalámbricas

Mucho se ha hablado en las últimas semanas sobre Firesheep, un complemento para Firefox que permite obtener las credenciales de cuentas como, por ejemplo, Facebook, Gmail o Hotmail, en redes inalámbricas inseguras. Técnicamente, no hace nada adicional a lo que otras aplicaciones de análisis de paquetes en una red (como Wireshark) ya venían haciendo desde hace mucho tiempo. Lo que sí hace es simplificar esta tarea en gran medida, permitiendo que gente con apenas conocimientos técnicos pueda obtener este tipo de información de forma muy sencilla.

En las apenas 3 semanas que lleva disponible Firesheep, ya ha superado las 600.000 descargas, lo que demuestra la cantidad de gente que está interesada en obtener este tipo de datos. El problema es especialmente grave si tenemos en cuenta que, con la obtención de los datos de acceso de un usuario a cualquiera de los servicios web más usados, se pueden realizar ataques dirigidos contra esa persona o usarla como vector de propagación de amenazas. Esto es aplicable a prácticamente cualquier escenario, desde una universidad en la que se roban los datos de acceso a Facebook a los estudiantes, hasta el robo de credenciales de servicios de correo web a un directivo de una gran empresa conectado a una red wifi pública en un aeropuerto, por poner solo dos ejemplos.

El problema radica, no tanto en la existencia de esta aplicación, puesto que solo simplifica lo que ya venían haciendo otras, si no en la inseguridad que demuestran por defecto la mayoría de servicios a través de la web, que usamos de forma cotidiana, al no solicitar algún tipo de cifrado al conectarse. También tienen buena parte de culpa la proliferación de redes inseguras por descuido de las personas encargadas de gestionarlas. Es relativamente fácil encontrar redes wifi abiertas en sitios públicos y con una seguridad insuficiente o inexistente. Asimismo, la mayoría de usuarios no están concienciados de los peligros de conectarse a este tipo de redes y de cómo su información confidencial puede estar expuesta a cualquier atacante conectado a esa red.

Una vez analizada la situación, ¿cómo podemos protegernos?. En una situación ideal, solo deberíamos conectarnos a redes seguras con métodos de cifrado eficaces (WPA como mínimo), intentando siempre conectarnos a los sitios web que soliciten nuestras credenciales usando un protocolo seguro. Existen complementos de navegadores que fuerzan el uso de SSL para conectarnos a los servicios webs más frecuentes, así como también otras aplicaciones para mitigar los ataques producidos por Firesheep o aplicaciones similares. Un buen recopilatorio de estas aplicaciones puede encontrarse en el excelente artículo que han preparado los chicos de Security by default. También han aparecido extensiones para nuestro navegador como Blacksheep que permiten detectar si alguien está usando Firesheep en nuestra red, cosa que no impedirá que nos roben nuestras credenciales pero si puede ayudar a que andemos con pies de plomo.

Desde el laboratorio de ESET en Ontinet.com nos gustaría añadir que el robo de información usando redes inalámbricas inseguras ha sido y es uno de los mayores problemas de seguridad desde hace varios años. Esperamos que la repercusión mediática que ha tenido esta herramienta ayude a los usuarios a vigilar en que redes se conectan y a introducir sus credenciales de acceso a la multitud de servicios web que usamos hoy en día usando siempre un protocolo seguro.

Josep Albors

Spam ruso. De las novias por correo a las estufas de leña

Cuando hablamos de correo no deseado, a lo largo de los años se han ido creando tendencias o modas recurrentes, tales como la venta de viagra o medicamentos a una fracción de su precio, replicas de artículos de lujo, ofertas de empleo o, en el caso del spam que proviene de países de Europa del este (especialmente Rusia), proposiciones para establecer relaciones sentimentales por parte de señoritas supuestamente en busca de una pareja. Hasta hace pocos meses era frecuente ver como nuestra bandeja de entrada se llenaba de proposiciones de relaciones por parte de bellas jóvenes. Asimismo, era frecuente encontrarnos con una foto adjunta al mensaje que mostraba a la señorita que buscaba su media naranja fuera de su tierra natal.

No obstante, estos últimos días hemos recibido en nuestro laboratorio un nuevo tipo de correo no deseado desde Rusia que apela a nuestra caridad. Veamos un ejemplo:

Como vemos, el engaño clásico que consistía en entablar una relación a distancia con una joven rusa y, seguidamente, enviarle dinero para que pudiese salir de su país (cosa que nunca se producía) se ha visto sustituido por una historia bastante más dramática. Esto puede ser debido a la disminución del éxito del engaño anterior o a una prueba en el cambio de estrategia. En el mensaje se observan detalles, como la inclusión de una nota que explica el lenguaje usado, el no indicar de que localidad es la afectada, la mención de sucesos recientes como los incendios acontecidos en Rusia este verano y, por último, se juega con el temor al inminente invierno y las gélidas temperaturas que acarrea en esas latitudes.

Asimismo, la cantidad solicitada se especifica desde el principio y esta es menor que las solicitadas con los engaños anteriores. Es posible que este tipo de spam sea una prueba estacional, buscando depurar las técnicas usadas en este tipo de engaños, y que los ciberdelincuentes estén lanzando estos correos a modo de sonda, para ver si los beneficios son mayores que usando el método anterior.

De cualquier forma, desde el laboratorio de ESET en Ontinet.com aconsejamos a nuestros lectores que no caigan estos engaños ya que solo buscan apelar a nuestros sentimientos para hacernos caer en la trampa y estafarnos.

Josep Albors

Nueva tentativa para propagar el Troyano Win32/Oficla

Hemos detectado una nueva variante del virus Win32/Oficla que se propaga a través de un archivo, llamado “Resumen.exe”, adjunto en el siguiente correo electrónico:

Otra variante de esta infección fue propagada anteriormente por falsos correos de DHL. Como podemos comprobar, en este caso, se trata de un texto sencillo e incoherente, una foto llamativa y un archivo adjunto que aparentemente contendría el currículo de la remitente.

A modo de curiosidad, cabe destacar que la última línea, en la que se muestra “Car bomb kills 7 in Iraq city”, se utilizó anteriormente para propagar otra variante de esta infección y que parece que olvidaron eliminar en este nuevo mensaje.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos, como siempre, sentido común a la hora de abrir correos electrónicos de remitentes desconocidos, sobre todo con adjuntos sospechosos, ya que en la mayoría de casos son los causantes de que nuestro equipo se infecte.

David Sánchez

El rootkit TLD3 y los sistemas de 64 Bits

Un tiempo después de que apareciera este rootkit llamado TLD3, cuya principal novedad consistía en que por primera vez un rootkit era capaz de afectar a sistemas operativos de 64 bits, queremos dar a conocer a nuestros usuarios más detalles sobre su funcionamiento y características, ya que estamos ante un nuevo tipo de amenaza que supone un gran reto para todas las compañías dedicadas a la seguridad informática.

El rootkit TLD3 es nombrado por la mayoría de casas antivirus como Alureon o Olmarik, y se sospecha que en su creación y desarrollo han participado grupos de ciberdelincuentes muy conocidos por las empresas de seguridad.

Las características principales de este rootkit son las siguientes:

• Inicialmente, afecta a los recursos del driver del minipuerto \systemroot y directamente reemplaza todas las cabeceras IRP. Eventualmente, también comenzó a infectar a drivers al azar en lugar de al minipuerto al que apuntó previamente en la memoria.

• A continuación, se interceptan todos los procesos que se cargan en el kernel32.dll. Una vez hecho esto, la máquina puede convertirse en zombi y ser parte de una botnet.

• El archivo Config.ini, uno de los componentes de la infección, contiene la configuración de la botnet, los comandos a ejecutar, ID de los servidores bot y correo electrónico. Además realiza una conexión SSL con los servidores para evitar los filtros HTTP.

Disponen de más información acerca de TLD3 y cibercriminales en los siguientes enlaces:

• Informe de ESET, creado por Alexandr Matrosov, (Experto en investigación de malware), y Eugene Rodionov, (Analista de Rootkits)
• Conferencia presentada por Joe Jhonson, (Ingeniero en desarrollado de software de Microsoft )

La novedad reside en que se creía con certeza que el núcleo de los sistemas de 64Bits era inexpugnable, creencia que el rootkit TLD se encargó de destruir. Por ello, desde el departamento técnico de ESET en Ontinet.com, además de explicarles a groso modo el funcionamiento de este rootkit tan específico, queremos hacer hincapié en que no existe ningún sistema 100% seguro. Si los creadores de malware o grupos de cirberdelincuentes, ya sea por rentabilidad o interés, ven la oportunidad de explotar un sistema o software específico, seguramente lo consigan.

David Sánchez

« Artículos Posteriores — Artículos Anteriores »