avast! blog

De manera usual, el malware se expande a través de páginas web inocentes que han sido infectadas porque no han sido protegidas suficientemente. El método de infiltración por anuncios está creciendo en popularidad de manera asombrosa. En estos momentos, estamos frente al que probablemente sea el más grande envenenamiento de anuncios que hayamos visto nunca (todos los servicios importantes pueden estar afectados). Esto significa que tus ordenadores pueden resultar infectados simplemente leyendo un periódico online o haciendo una búsqueda en tu buscador favorito. Hemos llamado al origen de este ataque JS:Prontexi (código javascript que inicia la infección en el ordenador de la víctima usando varias vulnerabilidades como los últimos exploits en documentos PDF).

Todos los usuarios de avast! que tengan las actualizaciones al días están plenamente protegidos contra este ataque. En otras palabras, estamos impidiendo a los chicos malos que puedan acceder a tu sistema. Esto nos permite poder contar cuántos ordenadores están siendo protegidos por nuestro antivirus ante este ataque usando el sistema de inteligencia colectiva que incorpora avast! 5 antivirus.  El siguiente gráfico muestra el número de incidentes que hemos encontrado en los últimos 6 días en una ventana de 4 horas (clic en la imagen para ampliar):

En el gráfico, sólo se muestran con su propia línea los 8 sistemas publicitarios más afectados. Los que cuentan con más infiltraciones son yieldmanager.com (Yahoo) y firmserve.com (FOX Audience Network), los cuales cubren más del 50%. La lista de servicios publicitarios con infiltraciones no está limitado al “Top 8” mostrado en el gráfico, estos dominios también están afectados:

Leer más…

Los programadores de avast! están trabajando en una nueva consola de administración centralizada para avast! 5 enfocada a medianas y pequeñas empresas denominada SBC (Small Business Console). En este post vamos a hablar de lo que los usuarios de avast! podrán esperar de esta nueva herramienta.

¿Qué será nuevo? Pues todo. Los desarrolladores han optado por una reprogramación completa usando nuevas tecnologías para otorgar más flexibilidad a SBC. Ésta incorporará administración remota, nuevo diseño gráfico, más procesos automatizados, y más. Todo esto nos dará como resultado una utilidad tan potente como ADNM, pero mucho más fácil de usar. Nuestra meta más ambiciosa es conseguir una herramienta de “instalar y olvidar”, y si no lo conseguimos del todo al menos esperamos quedamos muy cerca de este concepto.

Una de las nuevas características en las que estamos trabajando es en el “auto-descubrimiento” de ordenadores en el dominio de la empresa. SBC buscará activamente en la red en busca de nuevas máquinas. Una vez éstas son descubiertas, se presentará una opción al usuario para añadirlas al grupo de ordenadores que deben ser protegidos por avast! (o podemos dejar que el sistema lo haga por nosotros).

Leer más…

Acaba de salir una nueva versión de avast! 5, concretamente la número 5.0.418. Para actualizar vuestro actual avast! 5, tan sólo tendréis que ir a la sección Mantenimiento  —>  Actualizar –> Actualizar programa. Los vínculos de descarga de avast! 5 oficiales también han sido actualizados.

Los cambios introducidos en esta release son, principalmente, los siguientes:

- Mejoras en la estabilidad del Escudo de Comportamiento

- Mejorada compatibilidad con Malwarebytes Antimalware Pro en Windows XP

- Mejoras en el escáner de rootkits

- Arreglada vulnerabilidad en el módulo AavmKer4.sys (en Windows XP y 2000)

- Arreglado problema por el cual Acrobat Reader se colgaba cuando se abrían ficheros PDF directamente en el navegador

- Cambios menores en el cortafuegos de avast! Internet Security

- Mejoras en el motor de licenciamiento

- Añadidos nuevos idiomas

Se recomienda a todos los usuarios de avast! que se actualicen lo antes posible.

Tal y como podemos leer en la Wikipedia: “ILoveYou (o VBS/LoveLetter) es un gusano informático escrito en VBScript, que en mayo de 2000 atacó a aproximadamente 50 millones de computadores alrededor del mundo, provocando una pérdida de más de 5.500 millones de dólares en daños.” (más info aquí).

La encriptación/ofuscación de Javascript o HTML puede ayudar a proteger el trabajo del diseñador de una página web, de manera que se dificulta la copia de la misma. Pero esta actuación está bajo una gran controversia: como norma general, la encriptación y la ofuscación son propios de scripts maliciosos. En avast! procedimos a añadir la detección de un extraño script que encontramos recientemente, que bautizamos como JS:LoverCrypt-A [Trj].

El principio y el fin de dicho script lo mostramos más abajo en la imagen, y podréis ver las partes importantes subrayadas en rojo. Estamos ante una ofuscación bastante inusual: la cadena “ILOVEYOU” se usa para reconstruir la cadena “eval” usando la secuencia substring -> split -> reverse -> join -> toLowerCase –> replace. Raro, muy raro. Pero no es lo único desconcertante en este script. El script original está oculto bajo una larga cadena, que consiste en un número limitado de caracteres que son desencriptados usando la última secuencia de llamadas a función (se muestra en la última línea de esta imagen, clic para ampliar):

¿Quién usaría esto para un objetivo legítimo? En principio, no es posible creer que algo así sea utilizado por una gran empresa, ¿verdad? Pues bien, hemos tenido que eliminar esta muestra de nuestra base de datos porque este script pertenece a un portal de noticias de la República Checa (es parte de su nuevo sistema de anuncios). Y todavía estamos esperando una respuesta a estas preguntas:

Leer más…

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Leer más…

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Leer más…

avast! 5 está a punto de obtener la siguiente actualización y, como siempre, se ofrece esta versión al público para su testeo antes de su lanzamiento oficial. Esta beta es pre-release, esto quiere decir que se trata de un desarrollo avanzado el cual quedará como producto final salvo que surja algún contratiempo que deba ser arreglado. Por ahora todas las noticias que tenemos es que funciona perfectamente y que arregla algunos problemas conocidos con la anterior versión.

Durante toda la vida de este blog no hemos dado demasiado bombo a las versiones pre-release ya que con avast! 4.8 estábamos ante un producto maduro y estable, y no se introducían normalmente cambios lo suficientemente grandes como para recomendar su instalación al usuario clásico (es decir, no avanzado). Sin embargo, al ser avast! 5 un programa de tan reciente creación, las versiones pre-release adquieren una importancia mucho más grande al ir arreglando pequeños (o no tan pequeños) bugs que sí que pueden suponer una diferencia significativa.

En este caso concreto, en esta nueva beta se introducen estos cambios:

- Mejoras en la estabilidad del Escudo de Comportamiento

- Introducidos cambios orientados a arreglar algunos problemas conocidos con Malwarebytes Antimalware en su versión de pago (con módulo residente)

- Mejoras en el escáner de rootkits

- Arreglada una vulnerabilidad en AavmKer4.sys (sólo Windows 2000, XP)

- Pequeño cambio en la configuración del cortafuegos de avast! Internet Security referente a las reglas de paquetes de bajo nivel

- Añadidos nuevos idiomas

Los vínculos de descarga son:

avast! Free : http://files.avast.com/files/beta/5.0.415/setup_av_free.exe
avast! Pro : http://files.avast.com/files/beta/5.0.415/setup_av_pro.exe
avast! Internet Security : http://files.avast.com/files/beta/5.0.415/setup_ais.exe

Si tu avast! te está funcionando sin problemas la recomendación clásica es que esperes a que salga la versión pública oficial. Sin embargo, para aquellos que estén experimentando alguna incidencia no sería mala idea que actualizaran a esta pre-release.