No obstante, siempre que hablamos de las medidas anti copia que emplean las consolas de videojuegos olvidamos que, aparte de estar diseñadas para evitar que los usuarios carguen copias ilícitas de los juegos, también se implementaron para evitar que se pudiese ejecutar código arbitrario que pudiese dañar el sistema operativo que gobierna la consola. Aunque pueda parecer alarmista, ya se han visto casos de malware en este tipo de plataformas como los que comentamos a continuación:

• Tanto Nintendo DS como Sony PSP fueron el blanco de varios ataques lanzados aprovechando archivos infectados introducidos en las copias de juegos que la gente se descargaba. Estos ataques modificaban el firmware de la consola dejándola completamente inservible, aunque, en el caso de la PSP, se podía recuperar accediendo al modo debug y restaurando los valores de serie usando diversas técnicas. Obviamente, los primeros sospechosos de crear este tipo de malware fueron las propias compañías desarrolladoras de las consolas o los juegos aunque, el hecho de que el código para realizar estos ataques fuese ampliamente conocido, hizo que cualquiera con unos mínimos conocimientos pudiese realizarlos.

• En el caso del malware al que estamos acostumbrados, más concretamente las redes botnet, también hemos visto amenazas que podían infectar algunos estos sistemas e informar de tal infección a su correspondiente centro de mando y control. Como ejemplo, veamos esta imagen tomada de un panel de gestión de uno de los exploits packs mas usados:

Si nos fijamos en la cantidad de máquinas infectadas y su sistema operativo observamos como las plataformas Windows están a la cabeza pero también hay otras plataformas que, hasta hace poco, se consideraban inmunes a este tipo de amenazas. Es destacable la aparición de varios sistemas pertenecientes a dispositivos móviles y, al final de la lista, la presencia de los sistemas integrados en las consolas Playstation 3 y Nintendo Wii. Esta infección es posible, en el caso de Playstation 3, por la opción de instalar un sistema Linux en el disco de la consola y, en el caso de Nintendo Wii, seguramente por el uso de algún archivo infectado cuando se modifico la consola para cargar copias de juegos originales.

Aunque inicialmente, podamos pensar que solo se usa la capacidad de proceso de la consola para realizar ataques DDoS, no debemos olvidar que también introducimos datos sensibles, como los pertenecientes a nuestra tarjeta de crédito para descargar nuevos juegos o contenidos descargables para alargar la vida del los que ya hemos terminado.

Considerando que las consolas de videojuegos actuales hacen un uso masivo de las características online y, por ende, requieren una conexión a Internet, son un terreno muy apetecible para los desarrolladores de malware porque ofrecen muchas posibilidades, sobretodo si tenemos en cuenta que la tendencia va orientada a la descarga digital de juegos.

Desde el laboratorio de ESET en Ontinet.com nos gustaría hacer reflexionar a los usuarios sobre el hecho de que, tras modificar una consola de videojuegos para cargar software sin firmar, se abren una serie de posibilidades que no disponíamos inicialmente, pero también se abren las puertas a la ejecución de código que no podemos controlar. Casos recientes como los acontecidos con el iPhone y su Jailbreak nos deben hacer pensar en que, si bien en la actualidad es poco probable, en un futuro puede suponer un riesgo para la seguridad tener una consola de videojuegos
modificada y sin una seguridad adecuada.

Josep Albors

El archivo adjunto es un archivo ejecutable, camuflado bajo un icono de Microsoft Word, que oculta una infección detectada por ESET, llamada Win32/Oficla.ID. Este troyano intenta insertar código en procesos de ejecución para así descargar y ejecutar código arbitrario, al igual que variantes anteriores de este mismo troyano.

Esta variante modifica el registro del system.ini agregando lo siguiente: Shell=explorer.exe rundll32.exe yise.ero mpgyjp, además, un proceso llamado taskeng.exe alojado en la carpeta c:\Windows\System32 intenta conectase a Internet para descargar ese código malicioso.

Desde el departamento técnico de ESET en Ontinet.com advertimos a los usuarios de este nuevo intento de infección haciendo uso de la ingeniería social. Esta infección se encuentra en el Top 5 de infecciones detectadas en la última semana, tal y como pueden observar en nuestra página Virusradar.com.

David Sánchez

Desde la propia página de TweetDeck, al darse cuenta de ello, publicaron un nuevo artículo, en la zona de soporte, en la cual informaban sobre este hecho, indicando que dicha actualización era falsa y contenía malware, además indicaban a los usuarios que las actualizaciones de TweetDeck solo están disponibles en TweetDeck.com.

El anuncio de esta falsa actualización provenía de la página proveedora de enlaces cortos: http://alturl.com en el que se descargaba un archivo con el siguiente nombre: TweetDeck-08302010-update.exe.

También informaban que las falsas actualizaciones mostraban los siguientes textos:

• TweetDeck will work until tomorrow, udate now!
• Download TweetDeck udate ASAP!
• Update TweetDeck!
• Hurry up for TweetDeck update!
• Sorry for offtopic, but it is a critical TweetDeck update. It won’t work tomorrow!

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios que utilicen la herramienta TweetDeck, hacer caso omiso si reciben un mensaje o tweet avisando de una urgente actualización de la misma, y como con cualquier otro aviso de actualización, comprobar si la dirección del supuesto archivo de actualización es fiable. En el caso de tener cualquier duda, aconsejamos contactar directamente con los desarrolladores de la aplicación para que nos indiquen si la actualización recibida es fiable o no.

David Sánchez

Esto es debido a que, mientras los desarrolladores de malware trabajan y pulen una nueva amenaza bajo Windows, el uso de la misma puede provocar diferentes fallos en el sistema, como con la ejecución de cualquier otra aplicación. Es en ese momento cuando el sistema de errores de Windows pide que se envíen los detalles del mismo, y según comenta el señor Heckman, muchos de ellos, de forma sorprendente, pulsan en el botón de enviar los detalles del error y con ello el código de la aplicación en la que estaba trabajando el ciberdelincuente.

“La gente nos ha enviado sus códigos maliciosos cuando están desarrollándolos y fallan sus sistemas”, dijo Heckman. “Es increíble la cantidad de código que recibimos.”

Heckman también indicó que los desarrolladores deben considerar todos los datos introducidos por un usuario como nocivos hasta que se demuestre lo contrario.

De este sorprendente anuncio por parte de Heckman podemos sacar la conclusión de que los desarrolladores de malware, al igual que la mayoría de usuarios, también comenten sus propios errores. Bien sea a la hora de desarrollar el malware, como hemos podido comprobar en este artículo, o cuando este se pone en funcionamiento, ya que, si el código no está correctamente terminado, puede dar errores como el típico doble acento, errores al ejecutar el navegador, etc…

Laboratorio de ESET en Ontinet.com

Esta nueva familia de robots de DDos está operativa desde mayo y desde entonces en sus sistemas sandbox se han detectado más de 70 ejemplares de la misma.

Algunas características de este código malicioso son las siguientes:

• No utiliza un empaquetador
• El archivo suele ser un ejecutable de 37,888 bytes de tamaño
• Uso de diferentes MD5

Las funciones más interesantes que realizan son las siguientes:

• Guarda una copia oculta del propio ejecutable en la ruta C:\Windows\System32 con un nombre aleatorio pero que siempre empieza por “A” seguido de 8 a 10 letras al azar en minúsculas.
• Se crea en el Startup de Windows una copia de ese archivo con un nuevo nombre que empieza siempre por la cadena “360”.
• Se ejecuta de forma automática la consola “cmd.exe” y se procede a la eliminación del archivo principal y se cierra.
• El segundo proceso, creado en el directorio de Inicio, establece e inicia las comunicaciones con el servidor.
• El tercer proceso crea un ejecutable por lotes MS-Dos llamado 9.bat y alojado en el directorio raíz C:\. Este ejecutable contiene los comandos para crear un nuevo servicio asociado al ejecutable oculto creado en C:\Windows\System32, además el servicio está configurado para ejecutarse automáticamente.
• Un cuarto proceso se inicia como consecuencia del último servicio y detecta algoritmos de exclusión mutua y los aborta.
• En este punto, el programa malicioso se instala como un servicio (que se inicia automáticamente al momento del arranque), así como un archivo normal que residen en el directorio de Inicio del usuario, que también se ejecuta automáticamente al iniciar sesión.

Hasta la fecha, han observado más de 180 víctimas de estos ataques DDos, la mayoría de los cuales se encuentran en China, la distribución por países de la víctima direcciones IP es el siguiente:

China – 126
Estados Unidos – 32
Corea del Sur – 9
Alemania – 5
Hong Kong – 4
Egipto – 2
Países Bajos – 2
Taiwán – 1
Rumanía – 1
Bolivia – 1

Desde el departamento técnico de ESET en Ontinet.com les aconsejamos ser cautos al abrir correos electrónicos no deseados y acceder a sus enlaces o adjuntos sin disponer de una protección antivirus activa y correctamente actualizada.

Si desean información más completa sobre este ataque y además conocer los detalles de cómo se realiza la denegación de servicios a los distintos host afectados, pueden acceder pulsando aquí.

David Sánchez

En nuestro laboratorio hemos recibido bastantes mensajes con diferentes artistas en el asunto pero siempre con el mismo mensaje en inglés. En ese mensaje se nos informa de que una persona famosa (Madonna, Jeniffer Lopez, Justin Timberlake, Miley Cyrus, etc.) ha fallecido junto con otras 34 personas en un accidente aéreo cuando intentaban aterrizar en el aeropuerto de Dubrovnik, debido a una intensa lluvia y pobre visibilidad. Obviamente, esta noticia es falsa y solo pretende captar la atención del usuario para que ejecute el archivo adjunto.

El archivo adjunto es un fichero .html que, en el caso de que lo ejecutemos, intentará acceder a una web maliciosa alojada en un dominio de México y, una vez allí, descargar un troyano que es detectado como HTML/IFrame.F por las soluciones de seguridad de ESET. En el momento de escribir este artículo, el sitio ya era detectado y bloqueado por la mayoría de navegadores actuales pero algunos sistemas con navegadores antiguos como Internet Explorer 6 podrían no alertar al usuario de esta amenaza.

La propagación de este tipo de amenazas, camufladas en archivos html es una tendencia bastante frecuente en los últimos meses. Al no ser una extensión de las que los usuarios consideran peligrosas, la posibilidad de que pulsen sobre estos archivos es bastante mayor que en correos con otro tipo de ficheros adjuntos. Asimismo, a muchos filtros antispam aun les cuesta detectar amenazas en estos archivos puesto que el código malicioso suele encontrarse en un enlace preparado con ese fin y no en el correo. Las soluciones de seguridad de ESET detectan a los archivos adjuntos html como un troyano JS/TrojanDownloader.Pegel.BZ.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a los usuarios que no se dejen llevar por el morbo que suelen provocar estas falsas noticias propagadas por email o, más recientemente, redes sociales como Facebook, Tuenti o servicios como Twitter. Los creadores de malware siempre intentarán aprovecharse de la curiosidad de la gente para propagar sus creaciones, así que lo mejor es no seguirles el juego. Adicionalmente, la descarga e instalación de un antivirus capaz de frenar este tipo de amenazas es una defensa esencial para mantener nuestros sistemas protegidos cuando nuestra curiosidad nos juega una mala pasada.

Josep Albors

Así pues, ¿como de grave es que un ordenador encargado de gestionar actividades críticas como la arriba mencionada esté infectado con malware?¿pudo ser una causa determinante en este trágico accidente?. Las investigaciones desveladas hasta el momento apuntan a que, si bien fue una negligencia tener un sistema tan crítico infectado con malware, no hay motivos para pensar en una consecuencia directamente relacionada por esta incidencia. El sumario que, recordemos, en gran medida permanece en secreto por decisión judicial, tiene muchas líneas de investigación y pasará aun mucho tiempo hasta que se desvele quienes fueron los responsables del accidente.

En cuanto a lo relacionado con la seguridad informática, incidencias como está nos deben hacer recordar que la seguridad de aquellos sistemas críticos ha de ser una prioridad. No se trata de cambiar el sistema operativo usado para gestionar esos sistemas, como se ha podido leer en varios de los comentarios de la noticia, puesto que todos los sistemas tienen agujeros de seguridad. Se trata de saber fortificarlos para que sea lo más difícil posible conseguir acceso no autorizado o instalar software malicioso, crear copias de seguridad para poder restaurarlos lo antes posible en caso de fallo y, para aquellos sistemas conectados entre sí o a algún tipo de red, configurar una infraestructura de defensa perimetral que impida cualquier ataque desde el exterior o envío de información confidencial desde el interior.

Hace apenas un mes vimos como una familia de malware conocida como Stuxnet, se aprovechaba de una vulnerabilidad en Windows para propagarse y atacar, específicamente, un tipo de software de gestión de infraestructuras críticas. Ataques de este tipo han existido desde hace bastantes años y es más que probable que continúen existiendo en el futuro. Por eso, desde el laboratorio de ESET en Ontinet.com, creemos necesario tomar conciencia de la importancia que representa mantener estos sistemas seguros, puesto que las infrestructuras o aplicaciones que gestionan son demasiado importantes para que sufran un ataque solo por no haber tomado las medidas oportunas.

Josep Albors

La técnica usada no presenta ninguna novedad con respecto a otras usadas con anterioridad. Se nos envía un correo (bastante mal redactado, todo sea dicho) simulando ser una notificación de la Guardia Civil, instándonos a descargar un archivo desde un enlace proporcionado en el propio correo. Posiblemente, este correo hubiese pasado bastante desapercibido si no fuese por el remitente, suplantado usando técnicas de spoofing para hacer creer a los usuarios que este email proviene de alguien de confianza.

Ante el temor de que este archivo que se nos invita a descargar sea alguna denuncia o multa, es más que probable que muchos usuarios piquen en el anzuelo. No obstante, cuando procedemos a realizar la descarga aparecen pistas que nos pueden hacer pensar que, tal vez, el correo no venga de quien dice ser. Si nos fijamos en la dirección desde la cual se descarga el archivo, comprobaremos que no tiene nada que ver con el dominio de la Guardia Civil. Además, el archivo que se descarga es un ejecutable en lugar de un documento en formato .doc, .pdf o similar. Esto no quiere decir que estos otros tipos de archivos no puedan contener malware, pero es lógico pensar que un archivo .exe poca relación tiene con un documento.

Si optamos por descargar el archivo y lo ejecutamos, nuestro sistema quedará infectado con un código malicioso que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Una vez nuestro sistema esté infectado con este malware, procederá a descargarse más archivos maliciosos sin nuestro conocimiento además de robar información sensible de nuestro sistema como usuarios y contraseñas o direcciones de correo electrónico.

A pesar de que la técnica usada para propagarse no es nada novedosa, el uso de un remitente de confianza sigue siendo útil para engañar a los usuarios. Es por eso que, desde el laboratorio de ESET en Ontinet.com, aconsejamos desconfiar siempre de este tipo de correos y revisar con atención cualquier aspecto sospechoso del mismo (enlaces que no se correspondan al dominio del remitente, descarga de archivos de extensión diferente a la que nos esperamos, etc.). Asimismo, contar con un antivirus actualizado, puede evitar que nos infectemos si pulsamos sobre el enlace malicioso.

Josep Albors

Entre la multitud de emails que diariamente nuestro servidor de correo cataloga como spam, encontramos uno que nos llama la atención. Este correo dice provenir de la entidad Caja Cantabria y nos informa del ingreso de una cantidad (variable dependiendo del correo recibido) en nuestra cuenta.

Independientemente de que el usuario sea cliente de esa entidad, la simple curiosidad por ver si realmente se nos ha ingresado esa cantidad hace picar a más de uno. No es de extrañar que una cantidad nada despreciable de usuarios muerda el anzuelo y acceda a una web preparada para la ocasión. En esta web vemos como la referencia del banco pasa de Caja Cantabria al Banco de España, aunque, si nos fijamos atentamente, el dominio esta albergado en Rusia (pulse sobre la imagen para ampliarla).

Una vez aquí, lo único que se nos permite hacer es descargar un archivo ejecutable también albergado en el mismo dominio ruso. Si nos fijamos en estos detalles antes de descargar archivos de sitios sospechosos, podremos evitar muchas infecciones.

Si descargamos y ejecutamos este archivo, nuestro sistema se verá infectado por un malware del tipo bot, haciendo que nuestra máquina pase formar parte de un ejército de ordenadores zombies a disposición de un botmaster. Las soluciones de seguridad de ESET catalogan a este código malicioso como una variante de Win32/Kryptik.FZS.

Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que, cada día, miles de ordenadores caen en las redes de las botnets por infecciones parecidas. Es necesario que nosotros, como usuarios, estemos educados para prevenir estos engaños y descarguemos e instalemos un antivirus que nos permita bloquear las amenazas en el caso de que nos confiemos y pulsemos sobre ese enlace malicioso.

Josep Albors

Actualización 19/08: Horas después de publicar esta entrada observamos como se están enviando múltiples correos de este tipo pero usando como remitentes a la mayoría de cajas y bancos más conocidos. Aconsejamos eliminar cualquier correo parecido al que hemos analizado en este artículo, aunque como remitente aparezca su entidad bancaria.

Pero no todo iba a ser tan idílico, habiendo muchas ocasiones en la que el archivo que nos descargamos no se corresponde con lo que buscamos y además trae de regalo algún código malicioso. Ya desde los tiempos en los que Emule era la aplicación por excelencia cuando se trataba de compartir y descargar archivos, era frecuente (y lo sigue siendo a día de hoy) que cuando buscásemos algún archivo muy solicitado como el último estreno en nuestras carteleras, la última canción del cantante de moda o ese nuevo juego que tan buena pinta tiene nos encontrásemos alguna sorpresa en forma de malware camuflado como un crack o codec.

Ahora, tras el paso de Emule, Bittorrent y otros tantos programas y protocolos usados para la descarga de archivos, lo habitual es que nos descarguemos aquello que deseemos utilizando los enlaces que otros usuarios han colgado en diversas webs dedicadas a estos menesteres. De esta forma y usando servicios de almacenamiento gratuitos, nos encontramos con multitud de enlaces que nos permiten descargar grandes cantidades de archivos aprovechando las altas velocidades de conexión de las que disponemos hoy en día.

Pero, ¿quién revisa esos enlaces?, ¿cómo sabemos que no contienen nada que pueda perjudicar a nuestro sistema?. La respuesta es sencilla a la par que preocupante. Prácticamente ninguna empresa de las que ofrecen servicios de almacenamiento de archivos gratuitos se hace responsable de lo que los usuarios almacenan en sus servidores. Por tanto, de la misma manera que podemos descargarnos la película, juego o canción del momento, podemos encontrarnos con códigos maliciosos que, tras ejecutarlos de forma confiada, infecten a nuestro sistema.

Aunque muchos usuarios ya están concienciados de los riesgos que corren cuando se descargan archivos de fuentes no confiables, prefieren asumirlo por los supuestos beneficios que les supone. Paradojicamente, hay muchos casos en los que se busca descargar un antivirus de pago pero que haya sido modificado para que pueda usarse gratuitamente, encontrándonos muchas veces con que esta modificación incorpora algún tipo de software malicioso.

Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar a los usuarios que, si bien los servicios de descarga de archivos han mejorado sustancialmente en los últimos años, debemos ir con cuidado con que nos descargamos. Los creadores de malware son conocedores del uso masivo que se les da a estos servicios y los inundan de códigos maliciosos buscando infectar el mayor número de sistemas posibles. Así pues, lo mejor que podemos hacer tras descargar algún archivo es analizarlo con un antivirus y desconfiar siempre de los programas del tipo crack o generadores de número de serie.

Josep Albors