avast! blog

Según podemos leer en esta noticia de IDG, los antivirus gratuitos resultan ser los más usados.

Opswat… han concluido que, a pesar de que marcas como Symantec o McAfee son muy conocidas, sus soluciones de seguridad no dominan necesariamente el mercado en lo que a instalaciones se refiere. El 42 por ciento del mercado, según el informe, está compuesto por productos gratuitos…

Así, programas gratuitos dominan los cuatro primeros puestos en lo que a soluciones de seguridad se refiere. Avast Free Antivirus, con el 11,45 por ciento; Avira AntiVir Personal Free Antivirus, con el 9,19 por ciento; AVG Anti-Virus Free, con el 8,6 y Microsoft Security Essentials con el 7,48 por ciento…

El artículo también habla de la posible influencia de la crisis económica en el hecho de que cada vez más usuarios opten por utilizar programas gratuitos de seguridad. Y vosotros, ¿qué creéis? ¿Es la recesión económica actual la que hace que más gente use antivirus gratis o el hecho de que estos productos se han ganado la confianza necesaria?

El tema de los falsos positivos es algo recurrente en el mundo de los antivirus. Hemos hablado varias veces de ello, incluso nuestro querido avast! no ha sido inmune a esta circunstancia. Esta vez ha sido McAfee la empresa víctima de un error que ha dejado dañados un número inmenso de ordenadores que tenían su solución antivirus instalada.

Según podemos leer en esta noticia de Infospyware, el “Miércoles 21 de Abril del 2010 seguramente será recordado como un Miércoles Negro para la multinacional compañía de seguridad Antivirus McAfee, al igual que para los cientos de millones de compañías y usuarios finales que utilizan este producto. Tras la actualización 5958 liberada por la empresa el día de hoy, McAfee Antivirus detecto por error un virus llamado W32/Wecorl.a que dejó a todos sus usuarios de Windows XP SP3 con problemas en sus PCs.

El falso positivo hizo saltar las alarmas del Antivirus e intentó eliminar al intruso. En realidad, lo que estaba eliminado era el archivo “svchost.exe”, importante para el funcionamiento del sistema Windows XP, causando el inmediatamente reinicio del sistema y aunque puede volver a arrancar, seguirán recibiendo cada cierto tiempo que debe reiniciarse debido a un error grave del sistema.

… Numerosos usuarios han denunciado a través de Twitter la anomalía y sus dificultades para acceder a sus equipos. Aunque todavía no hay una confirmación de cuántos equipos han sido tumbados, pueden ser miles o cientos de miles, e incluso algunos sitios especializados de internet apuntan a millones. Gizmodo apunta que en una única empresa británica hay al menos 100.000 equipos  afectados, al igual que por la red se pueden encontrar varias instituciones, Universidades, departamentos de Policía, Particulares y hasta Hospitales con problemas en sus equipos tras este fallo.”.

Podéis leer el artículo completo aquí.

Tal y como podemos leer en la Wikipedia: “ILoveYou (o VBS/LoveLetter) es un gusano informático escrito en VBScript, que en mayo de 2000 atacó a aproximadamente 50 millones de computadores alrededor del mundo, provocando una pérdida de más de 5.500 millones de dólares en daños.” (más info aquí).

La encriptación/ofuscación de Javascript o HTML puede ayudar a proteger el trabajo del diseñador de una página web, de manera que se dificulta la copia de la misma. Pero esta actuación está bajo una gran controversia: como norma general, la encriptación y la ofuscación son propios de scripts maliciosos. En avast! procedimos a añadir la detección de un extraño script que encontramos recientemente, que bautizamos como JS:LoverCrypt-A [Trj].

El principio y el fin de dicho script lo mostramos más abajo en la imagen, y podréis ver las partes importantes subrayadas en rojo. Estamos ante una ofuscación bastante inusual: la cadena “ILOVEYOU” se usa para reconstruir la cadena “eval” usando la secuencia substring -> split -> reverse -> join -> toLowerCase –> replace. Raro, muy raro. Pero no es lo único desconcertante en este script. El script original está oculto bajo una larga cadena, que consiste en un número limitado de caracteres que son desencriptados usando la última secuencia de llamadas a función (se muestra en la última línea de esta imagen, clic para ampliar):

¿Quién usaría esto para un objetivo legítimo? En principio, no es posible creer que algo así sea utilizado por una gran empresa, ¿verdad? Pues bien, hemos tenido que eliminar esta muestra de nuestra base de datos porque este script pertenece a un portal de noticias de la República Checa (es parte de su nuevo sistema de anuncios). Y todavía estamos esperando una respuesta a estas preguntas:

Leer más…

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Leer más…

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Leer más…

Según podemos leer en Dealer World:

Diseñado inicialmente como una broma dirigida a una pequeña comunidad de moteros de la región central de Eslovaquia, el gusano Win32/Zimuse.A y Win32/Zimuse.B ha alcanzado notoriedad en todo el mundo. Se trata de una amenaza que sobrescribe todos los MBR de los discos disponibles con sus propios datos, haciendo inaccesibles los datos almacenados en el equipo del usuario. Además, la restauración de los archivos afectados es complicada, y requiere el uso de software especializado o la intervención de un experto. Por otra parte, si no se utiliza el método de desinfección adecuado, el gusano activa su modo destructivo, que consiste en la paralización total del equipo al que ataca.

El gusano utiliza dos vías de infección, bien a través de su inserción en webs legítimas, en forma de archivo ZIP autoextraíble o de programa de prueba, o bien a través de dispositivos, como las memorias USB. El hecho de que utilice dispositivos USB para propagarse es el responsable de su rápida diseminación, que se espera aumente todavía más.

Hasta la fecha, las dos variantes del gusano difieren en el método de difusión y en el tiempo de activación. Mientras que la variante Win32/Zimuse.A necesita 10 días para comenzar a distribuirse a través de dispositivos USB, la variante Win32/Zimuse.B necesita sólo 7 días para hacerlo. Además, el tiempo necesario para la ejecución de sus rutinas destructivas también se reduce en la variante Win32/Zimuse.B, desde los 40 días de la variante original, a sólo 20 días.

Como siempre en estos casos, recomendamos que el usuario se asegure de tener tanto su sistema operativo como su software antivirus lo más actualizados posible para hacer más difícil la entrada a estos virus tan peligrosos.

Hoy hemos conocido otro caso de falso positivo en un antivirus, concretamente en Kaspersky. Este famoso software de seguridad, usado por una cantidad ingente de personas en todo el mundo, ha creado gran alarma entre sus usuarios al identificar como infectadas con un troyano páginas web que mostraban publicidad de Adsense (Google), dándose el caso de que este sistema es usado en millones de sitios de internet.

Evidentemente, el mayor problema de este caso de falso positivo es la alarma creada, ya que lo usuarios no avanzados (una gran mayoría) han podido creer que páginas web de las que son asiduos visitantes representaban una amenaza para ellos.

Según informaciones de la propia Kaspersky, el problema fue solucionado unas 12 horas después de que se produjera la actualización de las bases de datos de virus que produjo tal situación.

Hace relativamente poco, avast! también fue noticia por un caso de falso positivo (ver aquí y aquí). En realidad, estas situaciones son más habituales de lo que la gente pueda pensar y no hay ningún antivirus famoso que no las haya sufrido en sus carnes en alguna ocasión. Aunque las empresas desarrolladoras hacen todo lo que está en sus manos para que no se produzcan falsos positivos, el alto índice diario de aparición de malware hace que los equipos de los laboratorios tengan que ir muchas veces contrarreloj. Pero no todo son efectos adversos: en el caso de avast!, sirvió para que ciertos procesos internos fueran mejorados y reforzados en vistas a que no pueda volver a suceder algo así, tal y como contábamos en este post.

Todo el equipo humano de Alwil Software y La tienda avast! deseamos a todos nuestros clientes, distribuidores, usuarios y lectores una muy feliz Navidad.

Recientemente hemos suscrito un acuerdo con el portal Renov-arte, página web de referencia en cuanto a energías renovables y arquitectura bioclimática.

Mediante este acuerdo, las empresas que estén registradas en este portal obtendrán un descuento en la compra de su antivirus avast!. De esta forma, queremos poner nuestro grano de arena para ayudar a hacer de este mundo un lugar más verde.

Si además tenemos en cuenta que hasta final de año está vigente la promoción 3×2 (tres años de actualizaciones por el precio de dos), las compañías que se dedican a las energías renovables tienen una oportunidad única para proteger sus equipos a un precio imbatible. Porque cuantos más recursos puedan dedicar a I+D, más nos beneficiamos todos.

Recientemente, Symantec ha publicitado dos test realizados por lo que ellos denominan “el respetado e independiente Laboratorio Dennis Technology”. El primero es una comparación de Norton 2009 Antivirus y la beta de Microsoft Security Essentials (MSE), en el cual se concluye que Norton es muy superior al producto de Microsoft. El segundo es una comparativa de 10 productos antivirus (incluyendo avast! Home) para determinar cuál es el mejor en detectar 40 páginas web infectadas, siendo otra vez Norton el mejor (en su versión Internet Security). No hace falta decir más, estos informes y sus resultados son altamente sospechosos.

¿Por qué encargan las compañías antivirus estos test? Usualmente porque no pueden conseguir los resultados que ellos quieren de probadores independientes. ¿Por qué los laboratorios de pruebas hacen estos test? Porque cobran por ello. ¿Por qué las compañías antivirus no hacen sus propios test y publican sus resultados? Porque saben que nadie creería los resultados.

Los dos informes de los que hablábamos al principio de este post han tenido mucha cobertura tanto en los medios tradicionales como en los blogs. En algunos casos son descritos como “subvencionados por Symantec”, en otros como “independientes” sin mencionar el patrocinio de dicha empresa.

Vincent Steckler, CEO de avast!, se intrigó porque no había oído hablar nunca del Laboratorio Dennis Technology, a pesar de que en las notas de prensa que distribuyó Symantec era descrito como “independiente” y “respetado”. Sí que sabía de la existencia de otros como “West Coast Labs”, “AV-Comparatives”, y otros laboratorios que sí son “reputados” e “independientes”. Así que decidió investigar sobre ese laboratorio en Google… y no encontró nada (refiriéndonos al laboratorio en sí y no a los informes). Finalmente, lo encontró en la lista de miembros de la Organización de Estándares para las Pruebas de Anti-Malware (http://www.amtso.org/members.html), AMTSO, que es una organización de la que avast! y muchas otras compañías de seguridad son miembros.

Así pues, Vincent hizo click en el enlace que le aparecía, esperando ver la página web del Laboratorio Dennis Technology. Y aquí es a donde llegó:

Leer más…