• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (10)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (118)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (153)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (78)
  • Productos (42)
  • ransomware (11)
  • redes sociales (111)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (289)

• Archivos

  • junio 2013 (19)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Peligrosísimas armas cibernéticas

Tengo que reconocer que vivo en un país, España, en el que su derecho está fuertemente influido por el derecho romano, y con unas tradiciones y costumbres propias de una cultura judeocristiana occidental. Puede gustarme o no, pero es así, y en él me he educado y vivo, espero que por muchos años.

Así, la legislación que me rodea, con la que estaré de acuerdo o no, no difiere en mucho de la de los países cercanos y las culturas más próximas. Hay conceptos básicos que no cambian, como por ejemplo, matar a una persona. Eso no está bien, y así se reconoce en prácticamente todas las culturas.

Pero nos encontramos que el teniente general John Hyten, de la Air Force Space Command, ha declarado que se van a considerar armas seis herramientas informáticas. Insisto, cada país legisla como quiere, pero hay normas que francamente, me hacen dudar mucho.

¿Armas? ¿Puede ser una herramienta informática un arma? Si no te sabes defender, seguro que sí. Cuando los españoles llegaron a América, los nativos se asustaron con las armas de fuego, pero en cualquier guerra de la época estaban más que preparados para el uso de esas armas, así que no hay mucha sorpresa.

¿Va a ser delito que una persona tenga almacenada en un ordenador una herramienta que pueda servir para, por ejemplo, buscar vulnerabilidades en un servidor? No paro de pensar en la cantidad de empresas que van a pasar a la ilegalidad por prestar servicios de seguridad a otras empresas.

La noticia no es demasiado clara, y no consigo encontrar el listado de qué “peligrosas aplicaciones” van a ser consideradas armas. No me extrañaría que la lista empezara por el tremendamente peligroso y asustante “Back Orifice”, o por el incontrolable “nMap”, porque al ritmo que van los legisladores será lo más moderno que puedan entender. Seguro que aparecerán Blade Runners exigiendo que dejes despacito en el suelo una memoria USB, sin movimientos bruscos mientras te apuntan con un seguro y pacífico revólver.

Seamos consecuentes, señores. De nuevo, cada país legisla como quiere, incluso países que permiten que los niños anden pegando tiros por ahí con fusiles de asalto. Pero tener una determinada herramienta informática no creo que deba ser un delito nunca, si acaso, el uso que se haga de ella.

¿Llegará el momento en el que tenga que renunciar a mi colección de minerales por ser armas arrojadizas?

Fernando de la Cuadra

@ferdelacuadra

Nuevo Social Media Scanner contra las amenazas que utilizan Facebook

Hoy os presentamos el nuevo Social Media Scanner, aplicación diseñada especialmente para amenazas que utilizan la popular red social Facebook para distribuirse. Esta nueva aplicación es parte del lanzamiento de las nuevas características y funcionalidades ESET NOD32 Antivirus 6 y ESET NOD32 Smart Security 6 que, como sabes, hemos presentado esta misma semana. En el caso particular de esta aplicación, no necesitas ser cliente de las soluciones mencionadas para descargártelo: es gratis. Así que si utilizas Facebook, te recomendamos que la utilices.

 

¿Cómo funciona? Pues a modo de vigilante. Continuamente estará analizando cualquier foto, comentario con links o vídeo que cualquiera de tus amigos compartan a través de su muro, mensajes privados o en últimas noticias o que pretenda compartirse a través del tuyo sin que lo sepas, dado que muchas veces damos permisos a aplicaciones que solicitan comentar en nuestro nombre.

En el momento en el que detecte algo sospechoso, automáticamente actuará de forma inmediata sobre la amenaza enviándote un email notificándote del hecho.

Así, esta herramienta es social de verdad, porque no solo mantiene tu muro limpio de amenazas, sino también el de tus amigos: al avisarte, tú puedes, de forma proactiva, avisar a tus seguidores de manera que ellos también estén a salvo. De esta manera, entre todos evitaremos que Facebook vuelva a ocupar los primeros puestos en cuanto a incidentes de seguridad, puesto de honor que ha conseguido en el año 2012, según los datos de nuestro Informe Anual de Seguridad 2012.

Si usas Facebook, protégete, es gratis . Puedes descargarte ESET Social Media Scanner aquí.

 

Yolanda Ruiz Hervás

 

Certificado de Adobe usado para firmar malware

En un aviso urgente enviado ayer por la tarde por Adobe, la empresa anunció que habían descubierto la existencia de dos herramientas con fines maliciosos que habían sido firmadas digitalmente con un certificado válido de Adobe. Tan pronto como se descubrió este hecho, se lanzó una investigación para descubrir a continuación que uno de los servidores de desarrollo con acceso a la infraestructura de firma de código de Adobe fue comprometido, permitiendo a los atacantes robar el certificado.

Desde Adobe nos indican que han empezado a planificar la revocación del certificado comprometido y la publicación de actualizaciones para el software de Adobe que usa el certificado comprometido. Esto afectaría únicamente al software de Adobe que funciona con ese certificado en sistemas Windows  y a tres aplicaciones Adobe AIR que funcionan tanto en Windows como en Mac.

El motivo del robo de este certificado es claro: usarlo en ataques dirigidos para evadir las medidas de protección que incluyen los sistemas operativos actuales, donde un ejecutable sin firmar debería hacer saltar las alarmas si el sistema está correctamente configurado en materia de seguridad.

De momento se han identificado dos herramientas maliciosas firmadas con este certificado robado. La primera de ellas es pwdump7 v7.1, usada principalmente para extraer hashes de contraseñas en sistemas operativos Windows y que, en ocasiones, también es usada como un archivo único que enlaza con la librería libeay32.dll de OpenSSL. Esta muestra contenía dos archivos separados firmados individualmente.

Con respecto a la segunda herramienta maliciosa descubierta, myGeeksmail.dll, se trata de un filtro malicioso ISAPI (ficheros dll que pueden ser usados para modificar y mejorar la funcionalidad proporcionada por Internet Information Server de Microsoft).

Mientras se prepara la revocación del certificado comprometido, prevista para el próximo jueves 4 de octubre, Adobe recomienda a los administradores de sistemas que gestionen estaciones de trabajo Windows que generen una política de restricción de software (SRP usando las políticas de grupos) que desactive la ejecución de las herramientas maliciosas y las bloquee basándose en el hash de los archivos dañinos.

Desde el laboratorio de ESET en Ontinet.com recomendamos ir con cuidado con los archivos firmados por Adobe que ejecutemos en nuestro sistema, especialmente si el ejecutable ha sido firmado después del 10 de julio de 2012. Aplicar las políticas de restricción de software que recomienda Adobe puede evitar también muchos quebraderos de cabeza a los administradores de sistemas en las empresas.

Josep Albors

@JosepAlbors

Cazadores de mitos: si el ordenador me va lento, estoy infectado

Durante años y aún hoy en día, uno de los comentarios más oídos por parte de los usuarios es el de “el ordenador me va muy lento, seguro que me ha entrado un virus”. Esta afirmación tiene su razón de ser, puesto que el malware, llamémosle “clásico”, en muchas ocasiones se hacía notar en exceso e incluso mostraba mensajes para que el usuario supiese quién le estaba infectando.

Con la llegada del malware con fines lucrativos a mediados de la década de los 2000, esto empezó a cambiar, puesto que resultaba mucho más interesante para los ciberdelincuentes un sistema infectado durante más tiempo, por lo que se debía evitar que el usuario se diese cuenta de la infección. Así pues, a día de hoy tenemos varios tipos de malware, unos más discretos que otros, pero esa máxima de pasar desapercibido se intenta aplicar casi siempre.

El ejemplo más claro son las botnets y los miles de ordenadores que controlan. Obviamente, al administrador de una de estas redes zombis no le interesa que el usuario se dé cuenta de que su sistema se encuentra infectado, para así poder seguir usándolo para su provecho durante más tiempo. Se han dado casos incluso de diferentes tipos de malware que detectaban si el sistema al que querían afectar estaba infectado por otro código malicioso y lo han eliminado antes de infectarlo ellos.

Ejemplo de panel de control de una Botnet Citadel

Otro ejemplo son muchos de los casos de troyanos y spyware actuales. Especialmente a estos últimos les interesa estar espiando el sistema de sus víctimas el mayor tiempo posible y por ello evitan generar sospechas intentando pasar desapercibidos. A un nivel mucho más elevado tenemos los ataques de las llamadas ciberarmas, dirigidos a empresas, individuos o Gobiernos que pueden llegar a evitar ser detectados durante años. Ejemplos tenemos varios, como Stuxnet, Duqu, Flame o el reciente Gauss.

No obstante, siguen habiendo códigos maliciosos que se hacen notar, bien porque forma parte de su estrategia de infección o porque contienen errores de programación que los delatan. En el primer grupo tenemos a los catalogados de Ransomware, con el conocido como “Virus de la policía” a la cabeza. Obviamente, este tipo de amenazas necesita causar miedo en el usuario para que este responda según sus instrucciones, por lo que no escatima esfuerzos en bloquear el sistema y mostrar pantallas amenazantes como la que vemos a continuación:

Los códigos maliciosos con efectos secundarios no previstos por el creador de esa amenaza tampoco son extraños de ver. Alguno de los ejemplos incluyen el “virus de  la doble tilde”, tan extendido hace unos años, o algunas de las herramientas de control remoto creadas principalmente por gente sin muchos conocimientos (script kiddies) que se limitan a seguir las instrucciones publicadas en cualquier foro de supuestos hackers.

Entonces, ¿cómo conseguimos detectar una infección si los síntomas no son tan evidentes? Lo primero es ser previsor y conocer nuestro sistema a fondo. Existen muchos mecanismos de autodefensa incorporados en los sistemas operativos más usados (Windows, Mac OS y GNU/Linux), pero algunos no vienen activados por defecto y otros son desactivados por los usuarios por los “molestos” mensajes de alerta que emiten.

También es importante contar con una solución de seguridad antivirus capaz de detectar las amenazas nada más estas intenten infectar nuestro sistema, y si ésta cuenta con un cortafuegos bidireccional, mucho mejor. De esta forma seremos capaces de detectar aquellas aplicaciones que intenten conectarse para enviar o recibir datos sin nuestro consentimiento.

Como complemento al software de seguridad convencional existen otras muchas herramientas (la mayoría de ellas gratuitas) que pueden ayudar a aquellos usuarios más avanzados a determinar si su sistema sufre alguna infección y eliminarla de forma manual. Entre estas herramientas recomendamos la suite de utilidades de SysInternals, que engloban todo tipo de herramientas para detectar procesos o comunicaciones sospechosas. La propia Microsoft proporciona tutoriales y vídeos donde se explica cómo usar estas herramientas para eliminar malware.

Rootkit Revealer, una herramienta esencial para detectar y eliminar rootkits

Este tipo de medidas, junto con la monitorización de la red en busca de conexiones sospechosas o la revisión de archivos sospechosos que estén actuando de forma extraña, son de ayuda para detectar y eliminar las infecciones. No obstante, no debemos olvidar otra serie de medidas, como deshabilitar los servicios y cuentas que se hayan visto afectadas por la infección y cambiar todas las contraseñas, ya que es probable que se hayan visto comprometidas. Todo esto sin olvidarnos de tener una copia de seguridad actualizada de nuestro sistema por si la infección hubiese dañado gravemente nuestro sistema o los archivos almacenados.

Como vemos, el malware que genera síntomas que pueden hacernos sospechar que somos víctimas de una infección sigue existiendo. No obstante, hay otras muchas amenazas que pasan desapercibidas a los ojos de la mayoría de usuarios, por lo que no debemos afirmar alegremente que el pobre rendimiento de nuestro ordenador se debe a una infección, y sí que debemos dedicar más tiempo a analizar nuestro sistema a fondo con las herramientas adecuadas en busca de malware oculto.

Josep Albors

@JosepAlbors

Foxxy Software: Hosting malicioso a la carta

La profesionalización del malware en los últimos años ha provocado también la aparición de cierto tipo de servicios, llamémosles “profesionales”, que proporcionan herramientas y facilitan la vida de los ciberdelincuentes a la hora de realizar sus actividades delictivas. En los diversos laboratorios que ESET tiene repartidos por todo el mundo, nos dedicamos a analizar todo tipo de amenazas, incluyendo aquellas URL en las que observemos nuevas tendencias en campañas de malware.

Nuestro compañero, Sébastien Duquette, del laboratorio de ESET en Montreal, acaba de publicar el resultado de una investigación en la que ha analizado un grupo de URL que seguían un patrón similar. Cuando nuestro compañero investigó más a fondo encontró que estas URL apuntaban a copias de web legítimas que incluían un applet de Java dentro de su código.

Un ejemplo de ello es la siguiente captura de pantalla donde se compara el sitio web original (en este caso, la página web principal del popular juego RuneScape) con su copia. La zona gris que aparece en la web clonada es debido a que el applet de Java se encontraba desactivado cuando se tomó esta captura.

Cuando examinamos el código fuente HTML de los sitios webs clonados encontramos comentarios indicando que las primeras versiones fueron copiadas con HTTrack, una herramienta open-source usada con el objetivo de guardar webs para su posterior lectura offline. En las últimas versiones, el comentario ha sido modificado para poner “FoxxySF Website Copier”. Nos sorprendió comprobar cómo la persona detrás de este asunto se molestó en modificar el comentario en lugar de eliminarlo.

Observamos cómo se incluyó un script y un applet de Java en los sitios web clonados. Esto, por sí mismo, no es nada nuevo: los applets de Java se han usado por un tiempo para instalar malware en los ordenadores. No obstante, usar una copia del sitio web de Runescape es una estrategia bien pensada, ya que el juego en sí es un applet de Java y, por lo tanto, los usuarios pueden estar acostumbrados a ver avisos de seguridad de Java y caer en la trampa.

Este script malicioso fue escondido e incorporaba un contador de impactos albergado en un servidor en otro dominio para mantener un registro del número de visitantes a los sitios web clonados.

Al ejecutarlo, el applet de Java descarga un archivo ejecutable malicioso albergado en varios servicios de almacenamiento de ficheros y lo pone en marcha. Cuando se descompila el applet encontramos que el autor usó HelloESET como nombre de la función.

Tras ejecutar con éxito el archivo descargado, el applet también realizó una llamada al mismo dominio que mencionó el script previamente. Ese dominio parecía un excelente candidato para continuar con nuestro análisis.

Presentamos a FoxxySoftware

Cuando visitamos el dominio con un navegador web, nos sorprendimos al descubrir que estaba alojando en un sitio web desde donde se ofrecía un servicio de distribución de malware.

Esta web contenía una comparativa de las funciones de las diferentes versiones del producto, mencionando características maliciosas como “clonador de sitios web”, “auto propagación”, uso de compresión de archivos ejecutables y análisis con varios motores antivirus para asegurarse de que los archivos no son detectados antes de ser distribuidos. La descripción incluía también la siguiente frase: “FoxxyJava le permite descargar una aplicación a los varios ordenadores de forma rápida y efectiva, sin complicaciones ni frustraciones”.

En el sitio web se incluía un blog y en uno de los artículos del mismo el desarrollador se quejaba de las detecciones que realizaban los productos de ESET. Lo gracioso es que no nos encontrábamos siguiendo el rastro de este malware antes de que empezáramos este análisis (que comenzó después de que publicara su queja) y ni siquiera teníamos una cuenta en este blog.

Además del seudónimo usado en el blog de FoxxySoftware, también teníamos direcciones de email y otra información recopilada de las entradas de WHOIS para los nombres de dominio. Nuestro siguiente paso fue revisar y ver qué información adicional podíamos encontrar en relación con este caso. Esto muchas veces resulta complicado y un considerable gasto de tiempo, porque los autores de malware y ciberdelincuentes suelen tomar precauciones para no proporcionar demasiada información sobre ellos mismos y así poder mantener su vida personal separada de su alter ego maligno. Pero no fue así en esta ocasión.

Conociendo a JHFIRE

La primera información que encontramos fue en foros de hacking, donde nuestro nuevo amigo estaba promocionando su producto, lo cual no debería sorprendernos porque es una práctica habitual. También encontramos posts antiguos donde usaba el mismo seudónimo y estilo de lenguaje y donde se pavoneaba de usar trampas en juegos online. Este es, posiblemente, el inicio de su “carrera” de ciberdelincuente. Buscando un poco más descubrimos que tenía incluso cuentas de Twitter donde anunciaba su producto.

También realizó una pregunta en el foro de programación StackOverflow, pidiendo ayuda con parte de un código Javascript.

Asimismo, también encontramos quejas suyas en los foros de Dropbox sobre su interfaz de programación de aplicaciones (API), la cual era usada para descargar los ejecutables del malware a los ordenadores de sus víctimas. Nos gustaría destacar el hecho de que Dropbox no estaba al tanto de este abuso de su sistema y respondió de forma eficaz y profesional cuando se lo notificamos.

En la página Web of Trust, servicio que permite clasificar sitios web como seguros o peligrosos, se quejaba de que su página había sido etiquetada como maliciosa.

También comentó un artículo en el blog de Kaspersky, donde se quejaba de la explicación de una descarga “drive-by”.

Buscando en Youtube también encontramos una cuenta relacionada con este personaje. Entre los vídeos que publicó, hay uno que se llama “Hacking a Hacker”, donde se puede observar un nombre que aparece durante breves instantes en el menú de Inicio de Windows. ¡Ups!

Buscando por una de las direcciones de email que extrajimos desde las entradas de WHOIS encontramos el mismo nombre asociado a una cuenta de Skype.

Conclusión

A pesar de que hay una parte cómica, este caso ilustra una tendencia problemática representada en la existencia de servicios de creación y distribución de malware de forma fácil y sencilla. Servicios como la compresión automática de ejecutables, análisis para evitar la detección por parte de los antivirus, alquiler de botnets para el envío de spam o ataques de denegación de servicio. Básicamente, un poco de todo lo que un ciberdelincuente podría necesitar puede ser comprado y usado con solo un par de clics. Y, mientras que la mayoría de estos servicios se anuncian en foros “underground”, el hecho de que veamos cada vez más casos de este tipo en webs públicas presentándose como un negocio legítimos es motivo de preocupación.

También es difícil cerrar este tipo de servicios, incluso ante casos evidentes de abuso como este. Contactamos con los servicios de alojamiento usados por FoxxySoftware con escasos resultados, por lo que el sitio web aun sigue accesible en el momento de publicar este artículo [1]. Por eso, desaconsejamos encarecidamente acudir a este sitio para evitar ser objetivos de un ataque.

[1] Nos gustaría dar las gracias a Dropbox y PublicDomainRegistri por tomar acciones rápidamente tras haber contactado con ellos

Josep Albors

@JosepAlbors

Virus DNSChanger: el próximo 9 de julio se apagarán los servidores que necesitan para navegar los ordenadores infectados

El pasado mes de febrero os informábamos desde este blog acerca del virus DNSChanger, diseñado para redirigir ordenadores infectados a páginas maliciosas controladas por un atacante sin el conocimiento de los usuarios ni su consentimiento. Para ello, este virus manipula la configuración DNS del equipo infectado, que si no se restablece antes del 9 de julio, no permitirá el acceso a Internet.

Y es que después de la investigación que el FBI ha llevado a cabo, han decidido -tras varios aplazamientos de fechas- apagar los servidores que necesitan los ordenadores afectados para navegar y acabar, de esta manera, con el riesgo que supone que se sigan visitando páginas maliciosas. Recordemos que este virus afecta por igual a ordenadores Windows, Mac y Linux.

Por eso es muy importante comprobar, antes de esa fecha, si nuestro equipo ha sido afectado, y en caso positivo, solucionarlo.

Comprobar si mi equipo está infectado

Comprobar si tu equipo ha sido infectado o no es sumamente sencillo y solo te llevará unos segundos, ya que la Asociación de la industria de Internet alemana en cooperación con la Oficina de Seguridad del Internauta (OSI) y el Centro de Respuesta a Incidentes de Seguridad TIC (INTECO-CERT), servicios prestados por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), han puesto a disposición de todos los usuarios una herramienta gratuita y sencilla que ejecuta este análisis y dictamina si estás infectado o no: www.dns-changer.eu.

 

En el caso de que tu equipo esté infectado, es necesario que lo soluciones antes del próximo 9 de julio, ya que si no lo haces antes, llegada dicha fecha no podrás navegar. Lo primero es que instales un buen antivirus (si no lo tienes) o que hagas un análisis en profundidad de tu equipo. Si no tienes antivirus, puedes descargarte gratuitamente cualquiera de la gama de ESET.

Y aunque analices tu ordenador con un antivirus, hay cosas adicionales que hacer. Las instrucciones nos las proporciona OSI y son las siguientes:

• Desinfección para equipos con Windows
• Desinfección para equipos con Mac
• Desinfección para equipos con Linux

Si además el equipo se encuentra conectado a un router y este utiliza las credenciales por defecto, también deberías comprobar la configuración DNS de dicho dispositivo. El servicio DNS es el encargado de traducir un nombre de dominio en una dirección IP, por lo que si esta traducción es manipulada, cuando el usuario introduce una página web en su navegador o accede a cualquier servicio a través de su nombre de dominio, en realidad puede acceder a cualquier página o servicio no legítimo proporcionado por el atacante.

 

@yolandaruiz

Yolanda Ruiz Hervás on 

Cómo opera la red de ciberespionaje Medre que roba ficheros de AUTOCAD [infografía]

Hace poco os informábamos a través de este blog de ACAD/Medre.A, un gusano que podría ser la punta del iceberg de un supuesto caso de espionaje industrial con un objetivo muy claro: robar ficheros de AUTOCAD de países de habla hispana y enviarlos a direcciones chinas. Todos los detalles los encontráis en el post técnico, pero para facilitar la comprensión de cómo opera este gusano, os dejamos una infografía donde se describe todo el proceso.

Recordad que si sois usuarios de AUTOCAD y queréis estar seguros de que Medre no os ha afectado, hemos puesto a vuestra disposición una herramienta gratuita que detecta la amenaza y la neutraliza de forma automática.

 

Seminario online informativo y gratuito

Nuestros compañeros de ESET Latinoamérica van a ofrecer gratuitamente un seminario online informativo y gratuito sobre Medre y contestarán a todas las preguntas que los asistentes pudieran tener al respecto de este ciberataque y sus consecuencias. Si estás interesado, serás bienvenido. La cita es el próximo jueves, 28 de junio, a las 21,00 horas (hora española) y 16,00 horas (hora de Buenos Aires).

@yolandaruiz

Yolanda Ruiz Hervás on 

Lanzamos nuevos productos: ESET Mail Security para Lotus Domino y ESET File Security para Windows Server Core

Hoy estamos de estreno, ya que lanzamos las  nuevos productos para servidor: ESET Mail Security para IBM Lotus Domino y ESET File Security para Microsoft Windows Server Core.

ESET Mail Security es una potente solución que ofrece protección sin sobrecargar los sistemas en servidores de correo electrónico con alta carga basados en IBM Lotus Domino. Gracias a la completa protección contra cualquier tipo de amenaza procedente del correo electrónico, ESET Mail Security para IBM Lotus Domino ofrece una alta precisión a la hora de gestionar la seguridad del tráfico en servidores corporativos de correo.

ESET Mail Security para IBM Lotus Domino es compatible con ESET Remote Administrator y soporta Lotus Domino Partitions. La solución excluye automáticamente archivos críticos del servidor a  la hora de realizar los chequeos.

Además, incluye como características clave:

• Antivirus y antispyware: elimina cualquier tipo de amenaza, incluyendo virus, rootkits, gusanos y spyare. Protege a las pasarelas de email en los niveles SMTP y NRPC y escanea de forma regular todos los datos almacenados en Domino Server. La solución integra todas las herramientas para una protección global del servidor, incluyendo un escudo residente y un motor de exploración bajo demanda.
• Antispam: retiene mensajes de phishing y spam de forma efectiva. La configuración del motor antispam se puede realizar desde una interfaz muy intuitiva.
• Estadísticas y logs: mantiene al usuario al corriente de la situación del sistema con logs y estadísticas completas y detalladas que incluyen logs de spam y listas grises.

Y como estamos de novedades, hemos pensado aprovechar para lanzar también la nueva versión de ESET File Security para Microsoft Windows Server Core, que ofrece antivirus, antispyware, protección multiplataforma y gestión centralizada compatible con ESET Remote Administrator, ESET SysInspector y ESET SysRescue.

Ambas soluciones están disponibles para su prueba solicitándolas a través de la  web de ESET España.

@yolandaruiz

Yolanda Ruiz Hervás on 

Win32/Duqu: tras los pasos de Stuxnet

Durante los últimos días, los investigadores de malware han dedicado mucho tiempo al nuevo código malicioso identificado por ESET como Win32/Duqu. Los investigadores de nuestro laboratorio Aleksandr Matrosov, Eugene Rodionov y David Harley han analizado su código a fondo y han extraído información más que interesante.

Una de las características que hacen de este malware un ejemplar singular es que se parece bastante a Stuxnet, uno de los gusanos más sofisticados (si no el que más) de los detectados en los últimos años. Ahora nos encontramos en el proceso de diseccionar  los binarios de Duqu.

Tras unos primeros análisis preliminares es evidente que Duqu está basado en el código fuente de Stuxnet. Desde el punto de vista de la arquitectura del malware, Duqu es prácticamente idéntico a Stuxnet: en esencia, hay un driver en modo kernel que inyecta una librería DLL en procesos específicos del sistema. Esta DLL incluye la carga maliciosa en su interior y exporta una serie de rutinas que realizan unas acciones específicas. Además de las similitudes en la arquitectura, los módulos de Duqu son muy similares a Stuxnet desde un punto de vista binario: se usaron las mismas clases y estructuras para compilar tanto Stuxnet como Duqu. Obviamente, estos módulos no son 100% idénticos, pero hemos encontrado patrones idénticos de código.

Desde que los investigadores empezaron a analizar Duqu se han formulado muchas preguntas, muchas de las cuales permanecen sin respuestas. En concreto, no tenemos ninguna información (pública) sobre el archivo que descargaba Duqu ni de cómo y cuándo se instaló en las máquinas infectadas. Esta información es vital a la hora de realizar un análisis forense. Con respecto a la fecha en la que este malware fue  instalado, esta puede encontrarse en el archivo de configuración. Debido a que Duqu tiene especificado permanecer en el sistema solo durante un periodo de tiempo (después del cual se elimina del sistema), creemos razonable asumir que la fecha de la infección se almacenaba en algún lugar del archivo de configuración. No fue difícil averiguar el código responsable de implementar este almacenamiento y, por tanto, determinar qué ubicación se usaba  en los datos de configuración para almacenar la fecha de la instalación.

La fecha en la que Duqu se ejecuta por primera vez en el sistema infectado se almacena en format UTC, en el offset 0×123 desde el principio del archivo de configuración. Basándose en estos datos, es posible determinar la fecha en la que Duqu penetró en el sistema.

En el informe “Duqu: el precursor del siguiente Stuxnet”, el autor menciona que una de las modificaciones de Duqu que ellos analizaron tiene una esperanza de vida de 36 días y, cuando alcanza esa fecha, el malware se elimina a si mismo del sistema.

Para obtener este valor necesitamos descifrar el archivo de configuración con el siguiente criptoalgoritmo personalizado:

Resulta interesante destacar que el array gamma usado para descifrar los datos consiste en 8 elementos, de los cuales solo los 7 primeros son usados. A pesar de que esto puede ser intencionado, consideramos que es más probable que se trate de un pequeño error en su implementación.

Basándonos en el análisis de varias muestras, observamos que la esperanza de vida es diferente según la muestra analizada. Este valor se define en los datos de configuración (palabra en el offset 0x124E). En las imágenes mostradas a continuación se pueden ver fragmentos de archivos de configuración mostrando información acerca de la esperanza de vida.

• Datos de configuración resaltando la fecha en la que infectó el sistema: 11/08/2011 a las 07:50:01 y con una esperanza de vida de 36 días.

Control Parental en ESET Smart Security 5

La nueva versión de ESET Smart Security está al caer y, entre las múltiples novedades que presenta, una de las más esperadas es, sin duda, el control parental. Esta funcionalidad es especialmente demandada por aquellos padres y tutores que quieren que sus hijos naveguen de forma segura por la red, evitando que visualicen contenido inadecuado para su edad.

Esta característica permite definir una serie de parámetros dependiendo del usuario que inicie sesión en el equipo. Es importante recordar que cada usuario del sistema debería tener su propio perfil creado para que así puedan aplicarse los permisos necesarios. Si evitamos compartir cuentas de acceso, gestionaremos mucho mejor el contenido al que nuestros hijos pueden acceder.

El control parental de ESET Smart Security 5 viene con tres perfiles pregenerados: Niño, Adolescente y Padre. Esto facilita la gestión para el tutor que quiera vigilar el contenido al que acceden sus hijos. Asimismo, se pueden personalizar todas las categorías que son revisadas.

Esta funcionalidad permite también realizar excepciones en determinadas páginas web, que bien podrían estar clasificadas dentro de una categoría prohibida pero que, por algún motivo, queramos que sea accesible. Por supuesto, todos los accesos a contenidos en la red quedan registrados y almacenados en su correspondiente registro, que puede ser revisado posteriormente si deseamos comprobar que no se ha accedido a sitios inadecuados.

Desde el laboratorio de ESET en Ontinet.com pensamos que la inclusión de esta utilidad ayudará a los padres y tutores a mejorar la experiencia online de sus hijos. No obstante, es importante recordar que una comunicación abierta con nuestros hijos resulta vital para ayudarlos a protegerse de los peligros que pueden acecharles en Internet.
Josep Albors

Artículos Anteriores »