• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Win32/Duqu: tras los pasos de Stuxnet

Durante los últimos días, los investigadores de malware han dedicado mucho tiempo al nuevo código malicioso identificado por ESET como Win32/Duqu. Los investigadores de nuestro laboratorio Aleksandr Matrosov, Eugene Rodionov y David Harley han analizado su código a fondo y han extraído información más que interesante.

Una de las características que hacen de este malware un ejemplar singular es que se parece bastante a Stuxnet, uno de los gusanos más sofisticados (si no el que más) de los detectados en los últimos años. Ahora nos encontramos en el proceso de diseccionar  los binarios de Duqu.

Tras unos primeros análisis preliminares es evidente que Duqu está basado en el código fuente de Stuxnet. Desde el punto de vista de la arquitectura del malware, Duqu es prácticamente idéntico a Stuxnet: en esencia, hay un driver en modo kernel que inyecta una librería DLL en procesos específicos del sistema. Esta DLL incluye la carga maliciosa en su interior y exporta una serie de rutinas que realizan unas acciones específicas. Además de las similitudes en la arquitectura, los módulos de Duqu son muy similares a Stuxnet desde un punto de vista binario: se usaron las mismas clases y estructuras para compilar tanto Stuxnet como Duqu. Obviamente, estos módulos no son 100% idénticos, pero hemos encontrado patrones idénticos de código.

Desde que los investigadores empezaron a analizar Duqu se han formulado muchas preguntas, muchas de las cuales permanecen sin respuestas. En concreto, no tenemos ninguna información (pública) sobre el archivo que descargaba Duqu ni de cómo y cuándo se instaló en las máquinas infectadas. Esta información es vital a la hora de realizar un análisis forense. Con respecto a la fecha en la que este malware fue  instalado, esta puede encontrarse en el archivo de configuración. Debido a que Duqu tiene especificado permanecer en el sistema solo durante un periodo de tiempo (después del cual se elimina del sistema), creemos razonable asumir que la fecha de la infección se almacenaba en algún lugar del archivo de configuración. No fue difícil averiguar el código responsable de implementar este almacenamiento y, por tanto, determinar qué ubicación se usaba  en los datos de configuración para almacenar la fecha de la instalación.

La fecha en la que Duqu se ejecuta por primera vez en el sistema infectado se almacena en format UTC, en el offset 0×123 desde el principio del archivo de configuración. Basándose en estos datos, es posible determinar la fecha en la que Duqu penetró en el sistema.

En el informe “Duqu: el precursor del siguiente Stuxnet”, el autor menciona que una de las modificaciones de Duqu que ellos analizaron tiene una esperanza de vida de 36 días y, cuando alcanza esa fecha, el malware se elimina a si mismo del sistema.

Para obtener este valor necesitamos descifrar el archivo de configuración con el siguiente criptoalgoritmo personalizado:

Resulta interesante destacar que el array gamma usado para descifrar los datos consiste en 8 elementos, de los cuales solo los 7 primeros son usados. A pesar de que esto puede ser intencionado, consideramos que es más probable que se trate de un pequeño error en su implementación.

Basándonos en el análisis de varias muestras, observamos que la esperanza de vida es diferente según la muestra analizada. Este valor se define en los datos de configuración (palabra en el offset 0x124E). En las imágenes mostradas a continuación se pueden ver fragmentos de archivos de configuración mostrando información acerca de la esperanza de vida.

• Datos de configuración resaltando la fecha en la que infectó el sistema: 11/08/2011 a las 07:50:01 y con una esperanza de vida de 36 días.

Microsoft dispuesta a terminar con la botnet SpyEye

La herramienta de eliminación de software malicioso de Microsoft (MSRT por sus siglas en inglés) lleva desde 2005 ayudando a eliminar código malicioso de familias concretas. No se trata de un antivirus al uso, puesto que no previene de las intrusiones de malware, pero sí que es una buena herramienta de desinfección en entornos específicos y especialmente útil para aquellos usuarios que descuidan su protección y no cuentan con una solución antivirus instalada.

Si bien la mayoría de antivirus hace tiempo que venimos detectando y bloqueando este tipo de malware, este movimiento por parte de Microsoft ayudará a eliminar uno de los códigos maliciosos más extendidos de los últimos tiempos: SpyEye, un malware que transforma a los ordenadores que infecta en parte de una botnet, y que los mantiene a la espera de recibir órdenes de sus centros de comando y control (C&C).

La cantidad de usuarios que forman parte de este tipo de redes varía diariamente, notándose un fuerte descenso cuando se realiza alguna operación que logra desactivar alguno o varios de los centros de control. No obstante, el código de este malware, la manera de gestionar su propagación y los ordenadores infectados se encuentran disponibles por precios muy accesibles, por lo que los ciberdelincuentes siguen usándolo como una de sus armas principales.

La inclusión de la familia de malware SpyEye, junto con la familia de backdoors Poison, en la última actualización de MSRT, denota una apuesta firme por parte de Microsoft para acabar con este tipo de malware, que alcanza ahora la cifra de 165 familias de malware detectadas.

No obstante, desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que la mejor protección es la prevención. Contar con un antivirus actualizado puede evitar que nuestro sistema se vea afectado por estas y muchas otras familias de malware.

Josep Albors

ESET en Virus Bulletin 2011

Durante estos días se está celebrando en Barcelona Virus Bulletin 2011, una de las reuniones más importantes para todos los que trabajamos en el mundo de la seguridad informática. Nuestros compañeros de ESET no podían faltar a esta cita y darán una serie de interesantes charlas sobre las últimas tendencias del malware y cómo combatirlo.

La cantidad y calidad de las charlas que se realizan en este evento suele ser tan elevada que muchas veces tenemos serios problemas para elegir a cuál asistir, ya que se dividen entre las que tienen un componente más técnico, y aquellas con un enfoque más corporativo.

Como patrocinador Platinum del evento, ESET también dispone de un espacio en el que informar a los asistentes de las soluciones de seguridad disponibles. Asimismo, disponemos de una máquina de air-hockey a disposición de todos aquellos que quieran echar unas partidas, ya que vienen muy bien para despejar la mente después de las charlas.

Con la finalidad de informar a nuestros lectores, los miembros del laboratorio de ESET en Ontinet.com que asistimos a Virus Bulletin 2011 recopilamos toda la información acerca de las tendencias del malware más recientes que los investigadores comparten en este evento.

Josep Albors

Entrevista a Yago Jesús (SecuritybyDefault)

SecuritybyDefault es uno de los blogs sobre seguridad más importantes en habla hispana y fue ganador en 2010 del Premio Bitácoras al mejor blog de seguridad. Uno de sus responsables, Yago Jesús, tuvo la amabilidad de concedernos una entrevista que publicamos a continuación

¿Cómo surge la idea de crear SecuritybyDefault?

Lo cierto es que siempre nos había rondado por la cabeza la idea de hacer un ‘algo’ donde pudiésemos plasmar ideas y conceptos que comentábamos de una forma más informal. Un día dijimos ¿abrimos un blog? Y ahí empezó todo.

¿Cómo os definís y en qué os diferenciáis con respecto a otros blogs de seguridad?

En España hay muchos y muy buenos blogs sobre seguridad, pero tal vez la mayoría están enfocados más a publicar trabajos de investigación cada cierto tiempo, sin una continuidad definida. Nuestro objetivo fue añadir a eso, más enfoques que permitiesen llegar a un ritmo de publicación diario. Nosotros hacemos mucho I+D, hemos publicado decenas de herramientas, publicado investigaciones llevadas a cabo por nosotros, pero además también tenemos espacio para novedades y noticias que nos resultan interesantes.

Un punto fuerte y uno débil de vuestro lado más bloguero

La parte fuerte tal vez sea el compromiso y esfuerzo en el proyecto, y el punto débil que SbD es un blog relativamente nuevo, no pertenece a la hornada de blogs pioneros como Microsiervos o error500 que son los decanos del blogging en España

Sois el Premio Bitácoras al Mejor Blog de Seguridad de 2010, ¿ha cambiado en algo a SbD?

Lo cierto es que esa experiencia fue altamente positiva, ver cómo semana tras semana encabezábamos el ranking de votaciones era algo realmente emotivo. En la fase final (por votación de jurado) esperábamos que el premio fuese para alguno de los otros blogs nominados (Kriptopolis y ‘el lado del mal’) cuando salimos nosotros, ni siquiera teníamos un discurso preparado. Fue toda una sorpresa

En términos generales, ¿cómo ves el cibercrimen?

El cibercrimen, como muchas otras disciplinas, está sujeto a un tipo de ‘darwinismo’ muy acelerado. Evoluciona de una forma muy rápida y sofisticada. Mirando hacia atrás, recuerdo discursos de hace 5 años donde se enumeraban las amenazas informáticas del momento con frases tipo ‘increíblemente sofisticadas, casi de ciencia ficción’. Hoy, después de relativamente poco tiempo, todo lo que se relataba en ese momento ya está obsoleto y ampliamente superado por nuevas ciber-amenazas

¿Qué piensas del estado de la seguridad en España, desde el nivel usuario a la gestión de infraestructuras críticas?

No creo que España se diferencie, en líneas generales, a cualquier otro país europeo en cuanto a amenazas hacia los usuarios. Respecto a infraestructuras críticas, creo que España tiene a su favor no estar bajo la misma presión que otros países más representativos internacionalmente. Evidentemente EEUU, Inglaterra o Irán y Rusia sí son objetivos marcados ‘en rojo’

¿Cómo ves el nivel de los investigadores españoles?

Cada vez más arriba dentro del panorama internacional, el nivel técnico ha subido exponencialmente y ya no es nada raro encontrar Españoles dando charlas en los foros más importantes a nivel mundial

¿Algún consejo para aquellos que quieran encaminar sus estudios a este campo?

Yo creo que hemos pasado de una fase más ‘underground’ donde los conocimientos se adquirían de una forma autodidacta a un momento en el que ya existe formación reglada y certificaciones oficiales.

Los principales peligros actuales, en materia de seguridad informática, para SbD… ¿cuáles son?

A nivel usuario, el principal problema puede llegar por algún fallo en alguno de los muchos servicios ‘en la nube’ que empleamos habitualmente. Ya no es suficiente con la auto-protección, ahora también hay que tener cuidado con el tipo de servicios que empleamos. Por ejemplo, WhatsApp es una aplicación muy popular y de la que nosotros ya hemos publicado varios fallos que permiten robar cualquier cuenta. Ante eso poco se puede hacer por parte del usuario.

A nivel empresa, las principales amenazas son los ataques elaborados con objetivos bien definidos. En este momento ese tipo de amenazas parece que son solo un problema para empresas grandes como Google o EMC, pero no tardaremos en ver incidentes hacia empresas menos conocidas.

Tu sueño, en materia de seguridad informática, es……

Supongo que, una sociedad donde ser profesional de la seguridad no sea visto como un ‘bicho raro’, o asociado a películas tipo ‘Operación Swordfish’, sería un avance positivo

¿Y personalmente?

Me atrae mucho la idea de integrarme profesionalmente en algún equipo orientado al I+D en seguridad.

¿Crees que en algún momento estaremos seguros en la Red?

Se avanzará, de eso no me cabe duda, pero no tengo muy claro si a costa de amenazar ciertas libertades personales. Creo que mucha gente intenta ‘regular’ la red y una de las excusas dadas es para ‘proteger’ a los usuarios

Para finalizar, ¿cual es tu top 3 de consejos de seguridad?…

• Intentar limitar la exposición en servicios que no gestionas tu (correo, redes sociales, almacenamiento remoto…)

• Pensar de una forma ‘defensiva’ y asumir los menores riesgos posibles

• Aplicar el sentido común

Josep Albors

Spam de Twitter usado para promocionar farmacias online

No es la primera vez que observamos cómo se utiliza el nombre de redes sociales para propagar enlaces que redirigen a empresas de dudosa legalidad como las farmacias online. En este mismo blog, sin ir más lejos hemos analizado casos que suplantaban a Facebook o, más recientemente, Google+ para promocionar este tipo de empresas.

Siendo Twitter otra de las redes más usadas, no era de extrañar que también apareciesen mensajes de este tipo, y así ha sido, recibiendo en nuestro laboratorio mensajes como el que mostramos a continuación.

Como en casos anteriores, se intenta suplantar a la empresa utilizando una plantilla para el mensaje prácticamente idéntica a la original, indicando además que los mensajes que presuntamente hemos recibido provienen de una cuenta administrativa de Twitter.

Curiosamente, en este caso, el enlace principal redirige a Twitter, tal y como anuncia, solicitándonos que nos registremos en nuestra cuenta. Son los otros dos enlaces proporcionados los que, cuando pulsamos sobre ellos, nos redirigen a una de las conocidas farmacias online que venden toda clase de medicamentos sin ninguna garantía sanitaria.

Como ya hemos visto en otras ocasiones, los ciberdelincuentes intentan aprovechar todas las vías posibles para conseguir que sus campañas de spam tengan éxito. Este es otro caso más pero no será el último que veamos, es más, este tipo de campañas son recurrentes y cada cierto tiempo vuelven a invadir nuestras bandejas de entrada de correo.

Desde el laboratorio de ESET en Ontinet.com recomendamos ignorar este tipo de mensajes y nunca seguir los enlaces proporcionados en los mismos. Asimismo, recordamos que es mucho más seguro acceder a nuestras redes sociales escribiendo nosotros mismos los enlaces en el navegador.

Josep Albors

Consejos de seguridad veraniegos

Las vacaciones son un periodo ideal para viajar, visitar otros lugares, leer, practicar nuestro deporte favorito o simplemente descansar. No obstante, también es una época ideal para navegar y relacionarnos por Internet. Además, este verano muchos viajaremos con nuestros dispositivos portátiles para conectarnos donde quiera que vayamos.

Para evitar que nuestras vacaciones se vean afectadas por una pérdida de datos, la infección de nuestro sistema por un molesto virus o el acceso no autorizado a nuestros dispositivos, en Ontinet.com, distribuidor exclusivo de los productos de ESET en España, hemos preparado unos consejos de seguridad para veraneantes.

Esperamos que estos consejos sean útiles y ayuden a los usuarios a pasar unas vacaciones tranquilas y seguras.

Josep Albors

Podcast: Consejos de seguridad para videojugadores

El verano es una época ideal para pasar parte de nuestro tiempo libre jugando a aquellos videojuegos que más ganas les tenemos. Es una época repleta de eventos como la Campus party o la Euskal Party por poner solo dos ejemplos, donde jugones de todas partes se reúnen para compartir experiencias.

No obstante, no por estar jugando debemos descuidar un aspecto como es la seguridad de nuestro ordenador. Es por ello que, desde el laboratorio de ESET en Ontinet.com hemos preparado este podcast donde repasamos las principales amenazas que pueden afectar a los videojugadores.

Esperamos que estos consejos os sirvan de ayuda y podais dedicar vuestro tiempo libre en divertiros jugando y no teniendo que preocuparos de las amenazas informáticas.

Josep Albors

Nuevas filtraciones de datos desde compañías de videojuegos

De un tiempo a esta parte, las empresas relacionadas con el mundo del videojuego han visto como la información de sus usuarios se ponía en el punto de mira de los ciberdelincuentes. El robo masivo de datos a Sony, que contenía información de aproximadamente 100 millones de usuarios entre los servicios Playstation Network, Qriocity y Sony Online Entertainment, ha supuesto una de las filtraciones de datos personales más grandes conocidas y ha dejado la confianza de los usuarios hacia la compañía japonesa seriamente dañada. Justo durante estos días se están empezando a restablecer los servicios afectados y millones de jugadores pueden volver a realizar partidas online, previo cambio obligado de su contraseña de acceso.

No obstante, Sony no está sola en relación al robo de datos de videojugadores. Desde hace ya varios años, los datos de acceso a cuentas de juegos online como World of Warcraft o Lineage II por poner solo dos ejemplos, son un bien preciado entre los ciberdelincuentes, quienes elaboran sofisticados casos de phishing o programan troyanos con la única finalidad de robar a los jugadores sus preciados personajes y bienes virtuales.

No es extraño entonces que las compañías que desarrollan videojuegos sean un objetivo atractivo para los ciberdelincuentes y el último caso de robo de datos ha venido de parte de otra de las grandes del sector, Square-Enix. Esta compañía, surgida de la fusión de dos de las empresas desarrolladoras de videojuegos más importantes de Japón, es un referente histórico, sobre todo en el género de los JRPGs (juegos de rol con marcada estética oriental) teniendo en su haber títulos tan famosos como las sagas Final Fantasy o Dragon Quest.

Square-Enix anunció recientemente la filtración de datos a través de la web del estudio británico Eidos (adquiridos por la compañía japonesa en 2009 y creadores entre otros del famoso Tomb Raider) concretamente de su web eidosmontreal.com. Entre los datos a los que se cree que se han accedido se encuentran 350 curriculums de gente interesada en trabajar en la empresa y cerca de 25.000 direcciones de correo, aunque otros investigadores apuntan a que la filtración ha sido mayor. Si bien estos datos por sí solos no parecen tener mucho valor, pueden ser aprovechados, por ejemplo, para redactar correos falsos diciendo provenir de Square-Enix a aquellas personas que enviaron su curriculum y están esperando respuesta, invitándolas a pulsar sobre un enlace preparado para descargar malware.

Si bien las filtraciones de datos son un serio problema para las compañías que los almacenan, los usuarios no hemos de quedarnos quietos cuando se conocen noticias como esta e, igual que en el caso de Sony, es importante cambiar los datos de acceso siempre que sea posible y contactar con la compañía afectada para que nos informe de las medidas a tomar. El ocio electrónico es una industria en auge y que en muchos países ya genera más benéfico que el cine o la música. Esto significa dinero y, donde haya dinero los ciberdelincuentes estarán presentes. Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos no bajar la guardia tampoco en lo relacionado al ocio electrónico para poder disfrutar plenamente de nuestros momentos lúdicos frente al ordenador o videoconsola.

Josep Albors

Diferentes tipos de malware; Vídeo de Bernardo Quintero para Intypedia

Intypedia, enciclopedia de la seguridad de la información, es un proyecto creado por la universidad de Madrid. En esta web se van alojando varios vídeos relacionados con la seguridad de nuestros equipos, nuestros datos y de la red.

En el último vídeo disponible, Bernardo Quintero, experto en seguridad informática de Hispasec, con la colaboración de ESET, nos explica de forma muy clara las distintas clases de malware existentes y su funcionamiento, además de proporcionar una serie de consejos muy útiles para evitarlos en la medida de lo posible.

Desde el departamento técnico de ESET en Ontinet.com, esperamos que este vídeo les sea de utilidad.

David Sánchez.

Encuestas sobre la ley antitabaco o la radiación en Japón activan cuentas SMS Premium

Los anuncios sobre juegos para móviles, tarjetas regalo, descarga de música y bandas sonoras o distintos tipos de test, como por ejemplo los de conducción, pedían un registro por móvil para poder participar o acceder al contenido. Este tipo de anuncios se encontraban normalmente en páginas de juegos online, spam, proxys web o incluso en enlaces externos de redes sociales como Facebook.

Según hemos visto, tras la información ofrecida por tencuidado.es, una página que de supuestos estudios estadísticos, una vez finalizada la encuesta que ofrecen, nos pide una suscripción a un servicio Premium de sms, el cual puede acarrear unos costos bastante elevados en la factura de móvil.

Leer Más

« Artículos Posteriores — Artículos Anteriores »