En la red existen un gran número de herramientas para administradores de sistemas que verdaderamente son de gran utilidad para los responsables de redes informáticas, pero también pueden ser utilizadas de una forma inversa para, claro está, otros fines mas oscuros. Entre dichas aplicaciones podemos encontrar sniffers, keyloggers, analizadores de puertos/servicios y controles remotos. Se denominan “aplicaciones potencialmente no deseadas” por fabricantes de software de seguridad , dado que pueden ser usadas tanto en forma legitima por administradores de redes como de una forma un tanto delictiva por atacantes o intrusos.

• Los keyloggers son aplicaciones que una vez instaladas en un equipo informático, monitorizan todo lo que se teclea en el mismo, lo almacenan y pueden remitirlo a una persona en forma remota a través de distintos medios como correo electrónico, FTP, etc. Un ejemplo es el perfectKeylogger

• Los Scanners de Puertos permiten monitorizar un equipo informático y detectar qué puertos y servicios están abiertos, para conocer así de qué manera es posible conectarse al mismo. Por ejemplo el NetScan

• Los Sniffers son programas capaces de monitorizar el tráfico de la red y pueden ser utilizados para extraer información como usuarios y contraseñas de servicios internos y externos de la empresa. Famosísimo Cain o el wireshark

• Los Controles remotos (Virtual Network Computing) son herramientas que, si están instaladas en un sistema cliente o servidor, brindan la posibilidad de administrarlos de forma remota, teniendo un control casi total sobre el equipo en cuestion. Ejemplos: Radmin, VNC, Etc..

Es normal que un administrador de red utilice alguna de estas herramientas en sus tareas cotidinas, como dar soporte remoto a sus usuarios o analizar el tráfico e la red local en busca de algún problema, por lo que no es para nada raro encontrarlas en una empresa. Sin embargo, no solo pueden ser utilizadas para fines administrativos. En manos de alguien con conocimientos dentro de una red local pueden ser mucho peores a virus, troyanos o cualquier malware de los que circula actualmente por la red, ya que con estas herramientas se puede extraer todo tipo de información, contraseñas incluso visualizar en tiempo real que hace un compañero del trabajo.

De ahí que los Antivirus los detecten como “Amenazas Potencialmente Peligrosas”

R.R

La manera de propagarse era distribuyendo n-variantes de un Troyano de la clase downloader empaquetado con Themida (packer que suele ser bastante difícil de analizar). Este troyano se encarga de neutralizar los proceso residentes de los programas antivirus y de descargar de diversos servidores webs unos ficheros con extensión JPG que, en realidad son ejecutables con múltiples variantes del Bagle.

El hecho de que se creasen múltiples variantes en poco tiempo hizo que fuese difícil para las casas antivirus el detectarlas todas mediante la actualización de las bases de firmas. Asimismo, también dificultaban su desinfección.

En casos como este es cuando la heurística avanzada demuestra su verdadera eficacia, ya que se añadió una detección genérica por heurística para ir detectando y eliminando las múltiples variantes que aparecieron (y siguen apareciendo) como Win32/Bagle.gen.zip.

A continuación mostramos una imagen del servicio Virus Radar ofrecido por ESET, donde se pueden observar las oleadas de este gusano a lo largo de esta semana.

Aprovechamos la ocasión para recomendar este servicio que cualquier usuario puede usar para observar el estado de propagación de las amenazas actuales, prácticamente en tiempo real y proporcionado por sistema de alerta temprana ThreatSense.Net.

Josep Albors

El bicho nos llego desde un usuario que creía estar infectado porque al insertar un acento en cualquier texto en vez de uno ponía dos automaticamente ´ ´, la cual cosa le puso en alerta , se puso en contacto con nuestro departamento técnico y aquí se empezó a gestar el Spy.Agent.NFS, El usuario nos remitió unos programas que había descargado de una web aparentemente de confianza , al realizar un primer análisis pudimos detectar que dicho “programa” llevaba una sorpresa oculta. Enviamos la muestra a Virus Total donde un total de 32 motores antivirus la analizaron y cuál fue nuestra sorpresa al ver que ningún Antivirus detectaba nada, sorpresa grande porque las Heurísticas agresivas de algunos de ellos llevan a detectar como una amenaza a la mismísima calculadora de Windows dentro de un Packer.

Lo primero fue el poner alerta al usuario para que bajo ningún concepto realizara movimientos con su banco OnLine. Después manos a la obra a ver que nos deparaba dicho troyano.

El troyano monitoriza las direcciones del navegador de los sistemas infectados, y se activa cuando detecta que el usuario se dirige a la página web de algunas entidades bancarias. Para saber cuándo debe capturar las contraseñas del usuario, el troyano descarga un archivo desde un servidor de Internet donde mantiene los dominios y URLs de los bancos a atacar.

El listado de dominios al que se dirige es el siguiente:

53.com
bancaja.*
bancajaproximaempresas.com
bancopopular.es
banesto.es
banesto.es
banking.*.de
bankofamerica.com
bankofamerica.com
barclays.co.uk
cahoot.com
cbonline.co.uk
chase.com
citibank.com
citibank.de
citizensbankonline.com
comdirect.de
dresdner-privat.de
e-gold.com
ebank.hsbc.co.uk
fiducia.de
gruposantander.es
halifax-online.co.uk
lloydstsb.co.uk
lloydstsb.com
nationalcity.com
norisbank.de
openbank.es
paypal.com
suntrust.com
tdcanadatrust.com
unicaja.es
usbank.com
vr-networld-ebanking.de
wachovia.com
wamu.com
wellsfargo.com
ybonline.co.uk

Dependiendo de la entidad el troyano llega incluso a modificar en tiempo real la página web del banco, presentando campos adicionales en los formularios de autenticación. Es decir, en vez de solicitar únicamente usuario y clave de acceso, el troyano puede hacer aparecer en la página web de la entidad un tercer campo solicitando la clave necesaria para confirmar las operaciones. De esta forma los atacantes consiguen todos los datos necesarios para suplantar la identidad de la víctima y realizar transferencias desde sus cuentas.

Los troyanos especializados en la captura de credenciales bancarias no son una novedad, sino todo lo contrario, a día de hoy destacan como una de las familias más prolíficas entre el malware orientado al fraude. Es por ello que la industria antivirus está en constante evolución, incorporando técnicas de detección proactivas para prevenir su amenaza. Sin embargo, este nuevo troyano se ha caracterizado por no ser detectado por ninguno de los más de 30 antivirus probados en el momento de su distribución, lo que lo convertía en prácticamente invisible.

Este caso pone de manifiesto que la colaboración de los usuarios se presenta vital para poder identificar y prevenir de forma temprana nuevas formas de malware que puedan aparecer. Por lo que desde aquí agradecemos la colaboración de los usuarios y animamos a que continúen con su actitud preventiva, ayudándonos a mejorar , si Ud cree estar en el mismo caso, envíenos la supuesta muestra dentro de un archivo comprimido con contraseña a virus@nod32-es.como bien desde nuestra Enclopediavirus.

R.R

Sabedores del uso masivo de estos códecs, los creadores de códigos maliciosos han invadido multitud de páginas con falsos archivos de video que, cuando se intentan reproducir, solicitan la instalación de un codec, tal y como se observa en la imagen:

Tanto si el usuario pulsa sobre el botón Aceptar como en el de Cancelar, el código malicioso intentará descargarse en el sistema, hecho que conseguirá a menos que un antivirus con heurística proactiva como NOD32 lo intercepte.

La mayoría de códigos maliciosos distribuidos de esta forma son variantes de gusanos o troyanos ya conocidos como el Zlob, que, una vez infectada nuestra máquina, procederán a incorporarla a una Botnet.

Aconsejamos a los usuarios que desconfien de sitios web que les ofezcan instalar codecs sin garantías, descargando estos siempre desde la web del desarrollador, mantener actualizado su sistema para evitar que se aprovechen vulnerabilidades conocidas y, sobretodo, disponer de un sistema de seguridad que incorpore un antivirus con capacidad heurística, un cortafuegos y sentido común para evitar caer en las trampas de la ingeniería social.

Josep Albors

La Heurística es la capacidad que tiene una solución antivirus de clasificar como “amenaza” a una muestra sin tener designada una firma específica para la detección de la misma. Ahora lo mismo, pero aplicado a la vida real, la heurística es muy fácil de entender.

Imagina que vas de noche por una calle, de repente un reflejo te hace percibir que alguien te está siguiendo, lo miras y te parece un tipo sospechoso que actúa de una forma un tanto inusual, aquí es cuando tu organismo se pone “en Alerta” detecta que algo extraño esta sucediendo ,esto es la heurística, un simple análisis de comportamientos, que puede llegar a ser complicadísimos algoritmos.

El análisis Heurístico consiste en la búsqueda de parámetros “sospechos” a partir de su comportamiento. Los antivirus basan su detección principal en las bases de firmas. A partir de las firmas almacenadas se busca en la maquina trozos de código que coincidan con dichas firmas (comparación de codigo).

Ventajas de la Heurística, supongamos que por problemas de conexión o cualquier otra, su antivirus no se actualiza correctamente y no recibe nuevas firmas de virus, peligroso, ¿no?

Pues gracias a la Heurística avanzada no estarías del todo vendido ya que muchas de estas nuevas amenazas se detectarían por comportamiento heurístico.

No por ello debéis de dejar de actualizar vuestro antivirus. La próxima vez veremos un caso mas práctico de la detección de códigos maliciosos por Heurística

R.R