En La tienda avast! queremos ayudar a nuestros clientes, tanto particulares como empresas, para que la cuesta de Enero sea mucho menos dificultosa y les resulte más fácil la protección de sus ordenadores.

Oferta para clientes corporativos/empresariales

Por nuestros clientes con infraestructura cliente/servidor, recuperamos una de nuestras promociones más exitosas: 3×2 en avast! Business Protection y en avast! Business Protection Plus.

Dicho de otra manera: cuando alguno de nuestros clientes adquiera o renueve sus licencias de avast! Business por 2 años, automáticamente le añadiremos un año adicional de regalo. Así, se obtienen 3 años de servicios por el precio de 2.

Para aprovechar esta oferta, sólo hay que dirigirse a nuestra tienda virtual de avast! y comprar avast! Business Protection o avast! Business Protection Plus, eligiendo el número de licencias deseadas y marcando la opción de 2 años. El cliente recibirá su producto con 3 años de actualizaciones de manera automática.

Esta oferta no está disponible para compras de licencias por 1 año, y acabará el día 31 de enero (inclusive).

Oferta para clientes particulares/pequeño negocio

Por otra parte, prorrogamos la oferta de Navidad referente a avast! Internet Security. Como decíamos en un anterior post:

Esta oferta consiste en un descuento del 30% sobre el precio venta público de dicha referencia. En otras palabras, ¡podréis adquirir un pack de 3 licencias de avast! Internet Security al mismo precio que un pack de 1 licencia!

En nuestra tienda virtual de avast! ya está activo dicho descuento, así que tan sólo tendréis que iniciar la compra de la manera habitual y veréis que el precio para este pack es de 48.59 euros (IVA incluido) en vez de la tarifa normal de 69,41 euros (IVA incluido). Esto supone un magnífico ahorro para vosotros de un total de 20,82 euros.

Si queréis acceder a la página de compra directa de avast! Internet Security, podéis ir aquí.

En pocos días entraremos en el nuevo año, con todos los nuevos propósitos que suele conllevar este hecho. Las predicciones sobre el próximo 2012 no son positivas en su mayoría: como sabéis, se dice que el mundo acabará el 21 de Diciembre (en base al Calendario Maya). Afortunadamente para todos, esta teoría ha sido desacreditada

En Avast confiamos en que tendremos otro gran año protegiendo a millones de felices internautas de las amenazas que estarán presentes, aunque nunca está de más recordar las 5 que se supone “triunfarán” en 2012 y explicar cómo poder evitarlas.

1. Seguridad en plataformas móviles

Mientras que las redes de ordenadores siguen siendo los objetivos principales de los ciberataques, el creciente número de dispositivos móviles a través de los cuales se busca información en internet y se hacen transacciones financieras está conllevando un aumento importante en el interés de los criminales en estas plataformas. Aplicaciones de ámbito económico como los “wallets” digitales (programas para almacenar contraseñas, en muchos casos de bancos y e-mails) están en el punto de mira, así como los códigos QR (imágenes que recuerdan a un código de barras que se pueden escanear con la cámara del móvil). Los hackers pueden redirigirte a sitios que contienen virus u otras aplicaciones maliciosas con la intención de recopilar datos importantes, como información de tarjetas de crédito y cuentas bancarias, sin olvidar la posibilidad de realizar seguimientos de localización o el envío automatizado de mensajes a servicios premium con un sobrecoste importante. Los programas para móviles pueden ser peligrosos también. Por ejemplo, recientemente Google retiró 60 aplicaciones del Android Market que contenían software malicioso. Algunos de ellos enviaban información personal a terceros o incluso llegaban a destruir datos almacenados.

¿Qué podemos hacer?

Proteger tu smartphone de los ciberataques y ladrones con avast! Mobile Security para Android. Nuestro nuevo producto gratuito combina tecnologías antivirus, antirrobo y cortafuegos para parar a los hackers. Al igual que nuestros productos para protección de ordenadores de escritorio, el Escudo Web de avast! Mobile Security escanea cada URL que se carga y te avisa si dicha dirección contiene malware. También tiene opción de escaneos bajo demanda de todas las aplicaciones instaladas y el contenido de la tarjeta de memoria, además de incorporar escaneo en tiempo real de cada aplicación que se instala en tu dispositivo.

2. Social media

La propagación de información personal vía Facebook, Twitter, Foursquare, etc. continuará siendo origen de numerosos ataques. Se espera que haya amenazas virales que tendirán a infectar a todos aquellos que estén en la lista de amigos del afectado. Un perfil o comentario en redes sociales da a los hackers información personal para que puedan trabajar en sus esquemas de ingeniería social, diseñados para robar o borrar la información personal. Por ejemplo, un comentario desafortunado de un empleado puede revelar información corporativa importante, incluso revelando brechas de seguridad aprovechables por gente malintencionada

¿Qué podemos hacer?

“No es que no confíe en ti, es sólo que no confío en nadie”. Hay que ser muy prudentes a la hora de hacer click en vínculos a páginas externas o cuando ejecutemos una aplicación online, incluso aunque vengan de personas conocidas. Muchas aplicaciones basadas en redes sociales te piden que compartas información personal para usarlas, y los hackers usan esto para acceder a tus datos y distribuir malware a través de ti.

3. Ataques de malware

El malware “día cero” (software malicioso) y los ataques bien planeados van a incrementarse respecto a 2011. Los expertos predicen que los atacantes van a focalizar sus objetivos hacia dispositivos como impresoras y routers, además de los focos tradicionales de atención. En especial, los propietarios de pequeñas empresas y los usuarios domésticos deben proteger su entorno informático, ya que al carecer de personal técnico dedicado suelen ser víctimas fáciles.

¿Qué podemos hacer?

Asegúrate de que tu programa antivirus y/o antimalware estén ejecutándose y actualizados. El laboratorio de virus de avast! recibe más de 50.000 muestras al día para ser analizadas y confirmadas, para posteriormente ser incluida la vacuna en las actualizaciones de la base de datos de virus. Esa voz familiar que dice “La base de datos de virus ha sido actualizada” confirma que esto está pasando. Las pequeñas empresas no deben escatimar en seguridad. Avast! Business Protection está diseñado para empresas de más de 5 PCs que quieran proteger su negocio y sus comunicaciones.

4. Ataques de phishing

El phishing va a continuar, especialmente debido al auge del uso de los smartphones para leer el correo electrónico. El ataque más común viene en forma de e-mail que parece proceder de fuentes legítimas, bancos o empresas, que contienen enlaces que llevan a páginas falsas programadas para capturar los datos de acceso.

¿Qué podemos hacer?

El sentido común es la mayor protección contra el phishing. No des información sensible a nadie (sea por teléfono, en persona o a través de e-mail). Si estás convencido de que la petición es fiable, o necesitas actualizar tus datos personales, accede a la página web destino escribiendo directamente en la barra de dirección de tu navegador. Asegúrate de que tu software antivirus está actualizado y ejecutándose. Todos los productos avast! incorporan el Escudo de correo electrónico que escanea cada mail entrante y saliente en busca de malware adjunto. Además, avast! Internet Security incorpora filtro antispam y antiphishing, analizando cada correo en base a varios criterios para determinar si es legítimo o no.

5. Clickjacking

Esta técnica consiste en engañar al usuario para que haga click en enlaces (presentes en webs que en principio no parecen sospechosas) que llevan a páginas ocultas, pudiendo darse el caso de revelación de información confidencial o que el atacante pueda tomar el control de tu ordenador. En 2011 vimos varios de estos casos, siendo el más notable una brecha en Adobe Flash que permitía al hacker activar la webcam y micrófono para espiar al usuario. Facebook es un sitio en el que esta técnica se usa mucho, por ejemplo a través de vídeos o imágenes curiosas o de famosos que llevan a webs maliciosas.

¿Qué podemos hacer?

Asegúrate de que tu navegador, sistema operativo y programas tienen las últimas actualizaciones y parches de seguridad. avast! WebRep es un componente de avast! que te da información sobre la fiabilidad de una página web en base a la experiencia proporcionada por la inteligencia colectiva formada por los millones de usuarios de avast!.

Otros asuntos de seguridad que deberíamos tener en cuenta:

- Seguridad inalámbrica: el wifi ha crecido espectacularmente en popularidad, y a la vez suelen usarse fuertes tecnologías de autentificación y encriptación, pero al mismo tiempo los hackers se van adaptando a las nuevas medidas. Hoy en día romper una clave WEP es relativamente fácil, así que asegúrate de cambiar la contraseña que viene por defecto en tu router, por ejemplo, y usar protocolos seguros.

- Cloud computing: la famosa “nube” y sus proveedores ofrecen numerosas garantías de protección, pero el hecho de compartir nuestra información más valiosa en máquinas externas a nuestros ordenaores siempre es un riesgo. Hay que intentar usar empresas que ofrezcan las suficientes medidas de seguridad para nuestros datos.

La tienda avast!, distribuidor oficial para España de avast!, quiere celebrar estas fiestas tan importantes ofreciendo un extraordinario descuento en nuestro producto avast! Internet Security (pack de 3 licencias 1 año).

Esta oferta consiste en un descuento del 30% sobre el precio venta público de dicha referencia. En otras palabras, ¡podréis adquirir un pack de 3 licencias de avast! Internet Security al mismo precio que un pack de 1 licencia!

En nuestra tienda virtual de avast! ya está activo dicho descuento, así que tan sólo tendréis que iniciar la compra de la manera habitual y veréis que el precio para este pack es de 48.59 euros (IVA incluido) en vez de la tarifa normal de 69,41 euros (IVA incluido). Esto supone un magnífico ahorro para vosotros de un total de 20,82 euros.

Si queréis acceder a la página de compra directa de avast! Internet Security, podéis ir aquí.

Aprovechamos para desear a todos nuestros clientes y usuarios unas felices fiestas navideñas y un próspero año nuevo.

Investigadores de AVAST Virus Labs han observado un aumento de las infecciones de malware dentro de los sitios WordPress, una aplicación de código abierto usada frecuentemente por los bloggers, debido a una vulnerabilidad en un plugin de imágenes y las deficientes gestiones de los datos de entrada administrativa.

A comienzos de octubre los investigadores de Avast fueron contactados por varios usuarios que habían sido infectados por el sitio http://www.thejournal.fr, el sitio en Internet del The Poitou-Charentes Journal. Por otro lado el operador de ese sitio se comunicó con Avast para determinar por qué el programa antivirus avast! estaba bloqueando a los visitantes de su sitio que supuestamente habían "verificado y limpiado" con un escáner externo.

El equipo de investigadores de Avast detectó infecciones parecidas en otros sitios WordPress. Lo del "The Poitou-Charentes Journal" es solo una parte de un ataque mucho más grande," dijo Jan Sirmer, investigador senior del Avast Virus Lab. "Estos sitios comprometidos son parte de una red que redirige a los usuarios vulnerables a webs que distribuyen variedad de malware."

El Sr. Sirmer trabajó con el propietario del sitio para reunir más información sobre cómo fue comprometido este sitio web y a dónde habían sido redirigidos los usuarios vulnerables cuando visitaron el sitio. Se determinó que el origen de la infección fue un archivo PHP (upd.php) que fue subido gracias a una vulnerabilidad en Timthumb, una herramienta destinada a cambiar el tamaño de las imágenes usada por desarrolladores para crear temas de los sitios WordPress. Se cree que un hacker comprometió las credenciales usadas por los administradores WordPress para el FTP de alojamiento del sitio previo a subir y ejecutar los archivos PHP.

La infección fue fruto de ciberdelincuentes que usaron el Toolkit Blackhole, un conjunto de herramientas de malware disponible en el mercado negro. "TheJournal.fr y sus lectores no fueron los únicos objetivos, este es un problema más grande todavía en la seguridad referente a WordPress," dice el Sr. Sirmer. Hemos registrado 151.000 hits a una de las ubicaciones donde son redirigidos los usuarios víctimas de esta vulnerabilidad. También bloqueamos redirecciones de 3.500 sitios únicos del 28 al 31 de agosto, los tres primeros días en que surgió esta infección. Durante Septiembre, bloqueamos redirecciones desde 2.515 sitios y esperamos que en Octubre los resultados serán análogos.

El Sr. Sirmer descubrió y eliminó varias infecciones JavaScript y un Troyano Backdoor del sitio TheJournal.fr durante su investigación. En este caso, el problema pasó desapercibido porque el sitio estaba alojado y administrado por un tercero. "El propietario del sitio se dio cuenta de la infección sólo porque los visitantes del sitio que tenían avast! fueron bloqueados al visitar el sitio como parte de la protección. "De modo que si incluso uno contrata los servicios de TI de su empresa a terceros, es una buena idea visitar su propio blog con un antivirus que tenga un escudo de páginas web para estar seguro que no esté infectado o siendo bloqueado", dijo. "Y también cambie sus contraseñas de FTP, no las guarde en su ordenador porque este malware a menudo es capaz de extraer las contraseñas de los clientes FTP más utilizados.”

"WordPress nos es inmune los exploits debido a su popularidad y el amplio número de versiones disponibles," dijo Sirmer. Sin embargo, enfatizó que este no es un problema específico con WordPress en concreto, sino el resultado de un plugin desactualizado y un deficiente manejo de las contraseñas por parte de los administradores. Este problema pone de manifiesto que los datos de entrada fáciles de romper y los detalles de las contraseñas de los servidores FTP pueden acarrear problemas. "Un login y contraseña más robustos, solos o junto a otros factores de autenticación, son opciones que deberían usar los administradores de sistemas cuando trabajan con administradores de TI subcontratados."

Hace ya unos días que hemos superado la barrera de los 1000 seguidores en Twitter, siendo a día de hoy 1124 personas las que siguen nuestras andanzas por esta red social. Teniendo en cuenta que antes del relanzamiento de nuestro perfil éramos alrededor de 800, y eso fue hace unas semanas… ¡no está nada mal!

Estamos encantadísimos con la gran respuesta que estamos recibiendo de todos vosotros y este crecimiento, y hemos pensado que la mejor manera de recompensar vuestra fidelidad es regalando 3 licencias de avast! Internet Security, que serán para 3 de nuestros followers de manera similar al sorteo que hicimos junto con Infospyware hace pocos días (ver aquí).

CONDICIONES DEL SORTEO

1.- El “sorteo avast! 1000 followers en Twitter” comienza desde el momento en que se publica este post y terminará el Sábado día 15 de Octubre de 2011.

2.- Solo se considerará una (1) participación por usuario de Twitter que siga la cuenta de @avast_es y que agregue el mensaje correspondiente a su participación. No se tendrán en cuenta otras participaciones fuera de Twitter.

3.- Los ganadores se darán a conocer en este mismo post después de finalizado el concurso y serán contactados vía Twitter, disponiendo de una semana para reclamar su premio.

4.- Los ganadores se eligen de forma aleatoria de entre todos los participantes que hayan cumplido los dos pasos mencionados abajo, donde los tres (3) primeros puestos serán recompensados con una (1) de las tres (3) licencias disponibles de avast! Internet Security.

5.- La tienda avast! se reserva el derecho de cambiar o modificar fechas y condiciones de los sorteos en caso de considerarse necesario y sin previa notificación.

CÓMO PARTICIPAR

La participación en este sorteo es muy sencilla:

1.- Ser seguidor de nuestra cuenta en Twitter: @avast_es

(si no tienes una cuenta en Twitter, puedes crearte una en menos de un minuto)

2.- Twittear lo siguiente (copia y pega, o pulsa sobre el texto):

Participo en el sorteo de @avast_es para poder optar a una licencia de avast! Internet Security gratis #sorteoavast http://bit.ly/rqw2my

(si haces clic en el enlace, el mensaje se escribirá automáticamente en tu Twitter)

3.- Estar atentos a partir del día 15 de Octubre para ver los ganadores en este post.

Ya está. Fácil, ¿verdad? Ahora sólo queda desear mucha suerte a todos los participantes.

LISTA DE GANADORES (ACTUALIZACIÓN DEL 19-10-2011)

Ya tenemos la lista de los 3 afortunados que se llevarán una licencia de avast! Internet Security cada uno:

1.- @Andres_SRubeda

2.- @dreifu

3.- @mvassy

Enhorabuena a los ganadores, en breve nos pondremos en contacto con ellos para gestionar las licencias.

Nos vemos en el próximo sorteo!!!

Recientemente, nos hemos encontrado con un ejemplo de cómo un antivirus gratuito como avast! Free puede ser igual o más efectivo que otro antivirus de pago de la competencia. MetService, una página de pronóstico del tiempo de Nueva Zelanda, fue comprometida por malware (según parece, un falso antivirus llamado Personal Shield Pro el cual está programado para capturar pulsaciones de teclas y acceder a cuentas bancarias del usuario) durante un intervalo de tiempo en el que hubieron muchas visitas, según un artículo de stuff.co.nz. Muchos de los visitantes de esa web fueron infectados de manera involuntaria, ya que en muchos casos no había que realizar ninguna acción para ser atacados. Por lo visto, el malware estaba en uno de los sistemas de anuncios que usa dicha web.

El artículo recibió más de 100 comentarios durante el primer día, muchos de los cuales provenían de gente enfadada porque habían sido infectados durante sus visitas a la web comprometida.

Sin embargo, queremos mostraros uno de esos comentarios, el cual refleja un claro feedback “del mundo real”. No es un secreto que avast! suele ofrecer su producto gratuito a las empresas que realizan test antivirus, para que sea evaluado contra otras opciones de pago de diferentes marcas, pero ninguno de estos test es tan gratificante (aunque obtengamos muy buenos resultados de manera habitual) como ver cosas como esta:

La traducción sería algo así: “mi avast! gratis lo paró tan pronto como entré en esa web ”. Afortunadamente, para aquellos usuarios de MetService que no usan nuestro antivirus, sólo tienen que descargar avast!, realizar un análisis durante el arranque… y arreglado

Volvemos de las vacaciones, como no podría ser de otra manera, con más ánimos de mantener protegidos y seguros nuestros ordenadores. Hoy os presentamos la traducción y adaptación de un interesante artículo, publicado por StaySafeOnline.org y escrito por Karen McDowell, Ph.D. (Universidad de Virginia) en el cual se habla de los tristemente famosos antivirus falsos o “rogue antivirus”. Vamos allá:

“Ahora que este inusualmente caluroso verano está cerca de acabar, seguramente estarás a punto de volver a los estudios con tu nuevo ordenador, o quizá eres familiar de algún estudiante de estas características. No hay duda de que sabes que deberías instalar un buen programa antivirus. Pero, ¿qué más necesitas saber? ¿Has oído hablar alguna vez de los “rogue antivirus” (falsos antivirus)? Si usas un PC, eres particularmente vulnerable a este tipo de ataque dañino.

Los antivirus falsos operan tomando el control de tu ordenador, deshabilitando tu antivirus e inundándote con pop-ups que te dicen que tu PC está infectado con virus, troyanos y mucho más. Te advierte de que tu ordenador sucumbirá a estas “infecciones” a no ser que pagues por el programa. No hace falta decir que hacerlo puede llegar a ser una nefasta experiencia.

Como ya habrás adivinado, pagar sólo puede hacer que las cosas vayan peor. Ahora ya no tienes el control de tu máquina y además los atacantes se han hecho con tu número de tarjeta de crédito y tu dinero. Para recuperar el control del ordenador en este punto, deberías realizar un formateo y reinstalación de tu sistema operativo, como mejor método. También deberías informar a tu entidad bancaria de lo sucedido y controlar los cargos que se hacen en tu tarjeta de crédito para observar cualquier actividad anómala.

¿Cuál es el remedio a todo esto? ¿Cómo mantenerse a salvo de los “rogue antivirus”? Pues bien, no sólo se basa en esto, pero un factor muy importante es tener cierta precaución sobre nuestros actos. Primero, descarga e instala un antivirus conocido y de confianza, incluso también algún programa antispyware, y mantenlos actualizados. Segundo, aprende cómo desactivar tus conexiones de red (inalámbricas o por cable) de manera rápida, ya que esto pondrá un freno en el antivirus falso, dándote tiempo a ejecutar tus programas antimalware y/o pedir ayuda para quitarlo, sin tener que llegar a reinstalar el sistema operativo.

Si estás bajo ataque de un falso antivirus usando conexión por cable, quita dicho cable Ethernet de tu ordenador. Si estás usando conexión inalámbrica y tienes Windows Vista o Windows 7, haz clic con el botón izquierdo del ratón en el icono de red (al lado del reloj de Windows), selecciona tu conexión y haz clic en el botón “Desconectar”. Si estás usando Windows XP, haz clic con el botón derecho del ratón en el icono de redes, y selecciona “Ver conexiones inalámbricas”. Haz doble clic en tu conexión y elige “Sí” cuando se te pregunte por la desconexión. También puedes desconectar tu router por ejemplo.

Para minimizar los riesgos de una infección por falso antivirus, realiza una navegación segura y visita sólo webs conocidas y confiables. Es conveniente ir con cuidado con enlaces a sitios que traten sobre noticias recientes y de alta propagación (por ejemplo atentados, terremotos, etc.). Antes de hacer clic, fíjate en la ruta del enlace en la parte baja de tu pantalla (izquierda), de manera que puedas comprobar que coincide con el sitio donde quieres ir. Si no es así, cierra la página lo más rápido que puedas si has llegado a abrirla. Mantén tus archivos personales y profesionales con copias de seguridad recientes por si tuvieras que formatear y reinstalar.

Si a pesar de todo esto un falso antivirus se cuela en tu ordenador, debes realizar el proceso de reinstalación descrito (o pedirle a alguien que te ayude a hacerlo).

Mantente alerta y piensa antes de descargar. La Federal Trade Comission anunció que una compañía creadora de un falso antivirus ganó más de 163 millones de dólares de 2004 a 2008 engañando a los usuarios con programas como Winfixer, WinAntivirus, Drivecleaner, Systemdoctor y XP Antivirus 2008”.

Y hasta aquí este recomendable artículo. A título personal, en nuestro trabajo habitual a lo largo de estos años, nos hemos encontrado con numerosísimos casos de infecciones por falsos antivirus. Hemos visto cómo han ido evolucionando, sobre todo en la interfaz gráfica de los mismos, de manera que se han convertido en reyes del camuflaje (intentando parecer que son programas integrados en el mismo sistema operativo). Suelen ser visualmente muy atractivos, con un aspecto “profesional”. Así que no os dejéis engañar por el aspecto, y siempre tened en cuenta EL NOMBRE.

La página web de la Corporación Super Glue (supergluecorp.com), fabricantes del mundialmente famoso pegamento, ha sido infectada con malware. Después de 5 días activa, esta infección parecía que estaba “pegada” con el mismísimo Super Glue.

El malware consiste en un troyano redireccionador realizado en JavaScript que lleva a los visitantes de ruta por una serie de páginas cuya ubicación final está situada en Rusia, en lo que parece ser un centro de distribución para un falso antivirus.

El malware fue encontrado por el laboratorio de avast! a través del sistema de sensores de la CommunityIQ. Después de recibir el primer aviso el 5 de Agosto, el laboratorio confirmó la autenticidad de la infección y marcó el sitio para que todos los usuarios de avast! estuvieran protegidos.

“El script crea una URL (hXXp://cameoprincess.com/index.php?go=lastnews&rf=) y crea un tag que básicamente activa el código en esa URL”, dijo Alena Varkockova, analista del laboratorio de avast!. La página “cameoprincess” contiene un código JavaScript que redirecciona al visitante a ‘hXXp://papucky.eu/ext/’ que, a su vez, redirecciona a ‘http://adeportes.es/images/info/js/js.php’ (nótese el uso de un dominio .es, propio de páginas ubicadas en España, en la cadena de saltos) y ésta a ‘hXXp://labource.ru/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34’.

“Esta última página parece ser que es la que contiene el payload, y ahora mismo está desactivada. Al usar la combinación de redirecciones, es difícil descubrir cuál es el payload exacto”, añadió. “El candidato con más opciones es intentar instalar un antivirus falso en el ordenador del usuario”.

Mientras que los redireccionadores y dowloaders basados en JavaScript son bastante comunes, el Troyano AVF específico de la página de Super Glue no lo es. “No está en el top 50 en el ránking de malware, pero por ejemplo ha sido visto en más de 500 webs hoy”, dijo Varkockova.

AVAST Software avisó a la Corporación Super Glue, por mail y por teléfono, sobre esta infección el día 10 de Agosto. Los encargados de su web eliminaron el troyano un poco después de nuestro aviso y nos enviaron una nota de agradecimiento.

A continuación, os presentamos una traducción y adaptación de un interesante artículo escrito por Eric Doyle en Eweek Europe:

A pesar de que hacen los mejores esfuerzos por dominar, los gigantes del mercado de la seguridad reinan en un mercado fragmentado. Eric Doyle piensa que esto siempre será así.

A medida que un mercado madura, normalmente tiende a la consolidación. Pero de acuerdo a la investigación realizada por Gartner, lo contrario está ocurriendo en el mercado de la seguridad. A pesar de las agresivas fusiones y adquisiciones de los principales actores, su share ha caído del 60% en 2006 al 44% en 2010.

Hace 5 años, Symantec fue el líder del mercado con al menos una tercera parte del mismo. Desde entonces, ha caído desde el 29.5% al 18.9%. A pesar de todo, a día de hoy Symantec es todavía el líder.

Los productos gratuitos rompen el mercado

Probablemente, uno de los mayores impactos que han sufrido las 3 mayores empresas del sector (Symantec, McAfee y Trend Micro) ha sido la aparición de los antivirus gratuitos en el mercado de consumo mundial que aquellas dominaban. La República Checa y Eslovaquia acogen a 3 compañías: Avast (1), AVG (3) y Eset (4) en el top 4, de acuerdo a lo publicado por Opswat (Noviembre 2010-Febrero 2011). Estas marcas poseen el 38% de un mercado muy fragmentado. Si añadimos a Avira (Alemania) en el número 2, estas cuatro controlan la mitad del mercado de antivirus.

La razón de la popularidad de estos productos, aparte del precio (o mejor dicho, la falta de él), es la alta calidad de los mismos incluso comparándolos con programas de pago. El hecho de que estos antivirus puntúen muy bien en comparativas es un extra para muchos consumidores. El lado negativo es que la proliferación de este tipo de productos ha dejado un agujero por el que se cuelan algunos antivirus falsos.

Un amigo mío es un buen ejemplo de la clase de pensamientos que gobiernan la lógica del consumidor. Me pidió que le echara un vistazo a su PC porque iba muy lento y no estaba contento con la velocidad de navegación por Internet. Me di cuenta de que tenía activado Norton Antivirus de Symantec, pero no había sido actualizado desde que acabó su período de prueba. Le pregunté, ¿por qué?

“Bueno, los virus llevan ahí mucho tiempo, por lo que supongo que un antivirus reciente puede protegerme de la mayoría de infecciones”, explicó.

Instalé AVG en su sistema y aquello parecía más un criadero de bichos que un ordenador. Gusanos, troyanos y todo tipo de malware había convertido su Dell en el equivalente “internetero” de la Caja de Pandora.

Nuevas amenazas pueden traer nuevas oportunidades

Los analistas de Gartner han tomado un punto de vista mirando más allá de los antivirus. Sugieren que la razón de la fragmentación es que los líderes establecidos han ido perdiendo mercado para compartirlo con start-ups (empresas emergentes) que han desarrollado nuevas soluciones para tratar las amenazas y vulnerabilidades recientes, combinadas con mejores estrategias de mercado.

Es parecido a lo que ocurre en otros mercados similares, dicen los analistas, como el de la gestión de operaciones IT. El negocio de la seguridad tiene una base muy fuerte en la innovación ya que constantemente surgen nuevas amenazas y vulnerabilidades. Las empresas buscan, pues, soluciones rápidas de jugadores menos reconocidos pero que son especialistas en el área y que tienen la agilidad de la que carecen otros contrincantes.

También está el hecho de la proliferación de ataques que están dirigidos específicamente a una empresa o a un componente de la misma. Estos ataques son demasiado específicos para muchos de los grandes nombres de la industria, que prefieren dedicar su tiempo en infecciones más graves. Esto significa que hay todavía una pequeña cantidad de virus y vulnerabilidades que no tienen solución porque la inversión para solucionarlo no sería rentable. Y es ahí donde los pequeños pueden encontrar la brecha para hacerse oír.

El espionaje gubernamental se une a la batalla

La fragmentación aumenta todavía más por la llegada de amenazas sumamente avanzadas y complejas desarrolladas por equipos sustentados por los gobiernos. Estos programas están diseñados para ser muy difíciles de descubrir y, en el caso de malware patrocinado por gobiernos como Stuxnet, también hay que tener en cuenta que luego surgen variantes que se basan en ellos.

Los analistas de Gartner concluyen que toda consolidación en la cúspide tiene su contraste en una expansión del mercado por debajo, y esto tiene pinta de continuar así por mucho tiempo. Para las marcas líderes, esto implica algo semejante a aspirar la arena en una playa muy grande: cuantos más competidores pequeños y exitosos absorben los grandes, la marea se encarga de depositar más jugadores de nicho.

El mercado de la seguridad será investigado todavía más a fondo en el Gartner’s Security & Risk Management Summit 2011 (Septiembre),

Una de las máximas que más repetimos los que trabajamos en seguridad informática es que el eslabón más débil de la barrera es… el factor humano. En toda actividad concerniente a malware existe un atacante/estafador (el que crea el software dañino) y un usuario afectado que, normalmente, suele serlo por sus propias acciones u omisiones.

Nuestra central, Avast Software, uno de los grandes nombres en el campo de los antivirus, anunció que 6 de cada 10 personas que tienen instalado Adobe Reader son vulnerables a ataques por usar versiones obsoletas de dicho software.

Lo que resulta más inquietante del asunto es que los hackers suelen usar de manera común exploits presentes en los productos Adobe, ya que los programas de esta marca están presentes en un número ingente de los ordenadores existentes en el mundo.

Avast lanzó un comunicado en el cual se decía que “un análisis realizado entre usuarios de avast! antivirus dio como resultado que el 60.2% de los que usan Adobe Reader tienen una versión vulnerable a ataques del programa y sólo un 40% tienen el último Reader (Adobe Reader X) o están con los últimos parches de seguridad.”

La compañía también ha comentado que “Adobe Reader es la aplicación para leer PDFs más extendida y consecuentemente es el mayor objetivo para los desarrolladores de malware. Más del 80% de los usuarios de avast! usan este programa, mientras que Foxit (el siguiente en popularidad) sólo es utilizado por el 4.8%”.

A pesar de que la cantidad de exploits presentes en Adobe Reader han disminuido significativamente a lo largo de los años, los hackers todavía están apuntando a versiones “viejas” porque el porcentaje de uso de las mismas es todavía muy alto.

Brad Arking, senior director de seguridad y privacidad de producto en Adobe, ha dicho que “nos encontramos que muchos usuarios no están actualizando su Reader porque pueden seguir viendo documentos PDF en las versiones obsoletas que tienen instaladas. En muchos casos, los usuarios sólo actualizan al adquirir un nuevo ordenador”.

Tanto Adobe como Avast recomiendan a los usuarios y administradores que mantengan su software actualizado y que apliquen los últimos parches. Pero cuando se trata de grandes empresas la actualización no es tan fácil y sencilla como pudiera parecer porque antes hay que llevar a cabo procesos de despliegues de prueba para evitar posibles conflictos y la mayoría de las veces pasa un tiempo entre que la actualización del software se lanza y el parche se aplica.

Como nuestros seguidores en Twitter ya saben, al igual que sucedió el año pasado uno de los miembros de La tienda avast! está presente en la Campus Party de Valencia, la cual celebra este año su 15 aniversario.

De momento esto implica muchas horas delante del ordenador y poco tiempo de sueño . Pronto publicaremos algunas fotos para que os hagáis una idea de lo que un evento de estas características significa. Y es que somos unas 6000 personas en la Ciudad de las Artes y las Ciencias de Valencia, cada cual con su ordenador sea éste portátil o torre.

Para celebrarlo, qué mejor que con un descuento en vuestro antivirus favorito, ¿verdad? Durante esta semana, es decir hasta el domingo día 17 (inclusive), todas las compras realizadas en nuestra tienda online disfrutarán de un descuento del 10% sobre el PVP.

Para disfrutar de este descuento, tan sólo tenéis que indicar el código de cupón “campusparty” (sin las comillas) en el apartado específico que os aparece al realizar un pedido, justo debajo de “Agregue los comentarios sobre su orden”:

Nos vemos en la Campus!!!

Si eres una persona medianamente interesada en asuntos de seguridad informática, seguro que habrás visto aplicaciones para crear contraseñas. Para aquellos que no saben de qué hablamos, este es el proceso en el que funcionan:

- El usuario se descarga la aplicación generadora de contraseñas

- El usuario ejecuta la aplicación y aprieta el botón “generar”

- Aparece una cadena que será similar a esto: I8kjH9s&ER1()G

- La cadena será usada como contraseña por el usuario en su mail, Facebook, Twitter, etc.

Después de esto, tenemos dos opciones:

- El usuario olvida la contraseña inmediatamente

- O, mejor aún, para asegurarse de que no la olvida, la apunta en un papel o post-it y lo pega en la pantalla. Si hay varias contraseñas difíciles, también es típico que se escriba algo como “mi e-mail” en el papel o post-it, vamos, para que cualquiera que pueda verlo no tenga dudas de dónde ha sido usada.

Está bien, vamos a aprender cómo crear contraseñas o passwords seguros, y veréis que incluso podremos ir cambiando nuestras claves más a menudo de lo que lo hacíamos antes (otra medida recomendable de seguridad). Porque, a veces, crear contraseñas puede ser divertido.

Empecemos!!!

Primera lección, porque todos queremos a Rick Astley:

Vamos a coger su más famoso estribillo:

Never gonna give you up
Never gonna let you down
Never gonna run around and desert you

Cogemos las primeras letras de todas las palabras: NggyuNglydNgraady

¡Y aquí tenemos un bonito password! Sí, es un poco largo… pero vamos a rematarlo, la canción fue lanzada en 1987, así que el resultado final podría ser: Nggyu1987NglydNgraady. Una gran contraseña para un gran usuario

Imaginemos que eres un fan de Pulp Fiction:

Honey Bunny: I love you, Pumpkin.
Pumpkin: I love you, Honey Bunny.
Pumpkin: Everybody be cool, this is a robbery!

Resultado final: Ebc,tiar!

Y si eres fan del hip hop, igual esta clave te gusta más:

Don’t push me ‘cuz I’m close to the edge
(I’m trying not to lose my head)

DpmcIctte

Año en que fue lanzada: 1982

Resultado final:  82DpmcIctte

Pero hagas lo que hagas, NUNCA cometas estos errores:

- Usar parte de tu nombre, usuario, email o similares en una contraseña

- Usar secuencias como “abcd” o “123456” (éste último es el password más común, de acuerdo a varios estudios, junto con la palabra “password”)

- Usar “qwerty” como tu contraseña

- Usar palabras comunes (o cualquier palabra que pueda estar en el diccionario) como “casa”, “consumidor” o “internet”

- Dar tu contraseña a otras personas

- Enviar tu password por e-mail

- Escribir tus claves y dejarlas en un sitio de fácil acceso (como cerca de tu ordenador). Intenta memorizarlas siempre, y no escribirlas.

Una contraseña que se pueda considerar segura necesita tener al menos 7 caracteres, mezclando mayúsculas y minúsculas, algún símbolo… y sentido del humor. ¿Quién dijo que la seguridad no puede ser divertida?

Este post es una traducción y adaptación realizadas por La tienda avast! (distribuidor oficial en España de avast!) de un artículo escrito en el blog oficial en inglés.

En 2010, AVAST notó que la mayoría de infecciones por malware ocurrían vía páginas web comprometidas, más que a través de e-mails maliciosos, que había sido la principal fuente de infecciones hasta entonces.

Pero los “buenos” criminales te los encuentras donde menos te lo puedes esperar.

Hace unas semanas, vimos un ejemplo de e-mail con intenciones de phishing, el cual se denomina “vishing”, ya que usa la voz (VOIP) como agente en el proceso de scam. Más recientemente, vimos una historia en The Washington Post (“Google dice que hackers ubicados en China han accedido a cuentas de Gmail de personal militar y político”) en la que se detallaba cómo Google actuó como un ciberpolicía al detectar “gran cantidad de accesos desde Jinan, China, a cuentas de correo de oficiales del gobierno de EEUU y personal militar”. Según parece, el phishing fue el método usado para esta brecha de seguridad.

Lo que nos lleva al título de este post, es que hace unos días vimos un correo que llegó a una cuenta de Gmail (dos filtros antispam lo dejaron pasar), el cual parecía a simple vista un mail legítimo de YouTube, diciendo que “su vídeo fue aprobado”:

Normalmente, es una buena costumbre comprobar que el link apunta a donde debería antes de hacer clic en él. En este caso, bastó un vistazo para observar que este no era el caso, ni mucho menos:

El vínculo “pest control” redirige a una compañía farmacéutica especializada en DE (disfunciones eréctiles), ofreciendo medicamentos como Viagra y Cialis (nombres muy conocidos por cualquiera que revise su bandeja de SPAM de vez en cuando). Lo mejor del caso es que en la parte de arriba de su correo, hay un link para reportar SPAM y otro a su “política anti-spam”, lo cual no deja de ser paradójicamente gracioso.

Considerando que la compañía farmacéutica del caso es una empresa internacional y legítima, nos preguntamos si sus directivos sabrán de las técnicas que están siendo utilizadas para llevar tráfico a su página web.

Este post es una traducción y adaptación de un artículo escrito en el blog oficial de avast! en inglés.

Cuando se hace un análisis de malware, es muy común encontrar muestras que usan todo tipo de ofuscación con el objetivo de ocultarse del antivirus que protege tu ordenador. Esto es especialmente verdad en los casos de malware escritos en Flash (más específicamente, ActionScript). Flash es muy popular entre los desarrolladores de malware actualmente, ya que la gente está usando este formato de manera masiva diariamente. En muchas ocasiones, los usuarios ni siquiera son conscientes de que es Flash lo que hace que puedan ver esos efectos tan bonitos que pueblan sus pantallas. Recientemente, hemos tenido acceso a una muestra que usa un truco bastante bueno para ocultar su propósito ante las miradas de quien quiere mirar sus entrañas. Lo que resulta más interesante es que la muestra es actualmente más pequeña de 140 bytes, lo cual significa que podría caber en un mensaje de Twitter. Esto no es usual entre los ficheros Flash, que tienen a ser considerablemente más grandes. Pero no os asustéis, esto no quiere decir (ni mucho menos) que alguien se pueda infectar mirando el código en Twitter, a no ser que se expanda a través de links maliciosos, pero eso es otra historia.

Aparte de lo pequeño que es… ¿qué más hay que llame la atención? Vamos a echar un vistazo. Aquí tenemos la vista hexadecimal:

Nara raro que ver aquí, porque estamos viendo un fichero flash comprimido (mirad la cabecera CWS al principio). Bien, vamos a descomprimirlo y volvamos a mirar:

Ahora mucho mejor. Podemos ver la cabecera descomprimida (SWF) y tenemos varias cadenas de texto justo al final del fichero, destacando “/:$version” y “_root”. En un primer vistazo no parece demasiado sospechoso, pero hay más. Hemos estado ejecutando esta muestra en algunas de nuestras herramientas para hacernos una mejor idea de qué hay en el fichero.

Como se puede ver, el primer tag se muestra como “Unknow” (desconocido). Por razones de compatibilidad, Flash omite todo tag que no reconozca, así que podemos obviarlo también. Del resto de tags, los únicos que nos interesan son DoAction y ShowFrame. Éste último es importante porque hace que Flash Player ejecute todas las acciones definidas después de él (simplificando un poco). En el tag DoAction es donde está toda la magia. Contiene código ActionScript, el cual tiene varias propiedades, desde un simple juego de puzzle hasta un reproductor de vídeo. Dado que aquí no hay nada que mirar para encontrar código malicioso, vamos a probar suerte y mirar más a fondo este tag particular. Un rápido desensamblado revela algunas cosillas interesantes:

Ooops, ¿qué es esto? Inmediatamente podemos decir que hay algo raro en este código. Primero, hay numerosas instrucciones que no son conocidas. Mejor todavía, observamos la instrucción ActionPush que se usa para inyectar datos en la máquina virtual ActionScript. En este caso, se inyectan los datos a través de un “constant pool”, que es simplemente un nombre bonito para un array de cadenas. Pero, ¿dónde está definido el array? Se usa una instrucción ActionConstantPool para definirlo, pero no está en el código anterior. ¿Quiere esto decir que el código no funcionará? Por supuesto que no. Para esclarecer el secreto, debemos mirar un poco más profundamente. En la lista de tags podemos ver que el tag DoAction debería tener 103 bytes, pero el offset más largo en nuestra lista es de sólo 47. Después de parchear el archivo, removemos los posibles obstáculos y vemos qué ocurre:

Interesante. Esta acción nos hace comprobar los trucos usados para defenderse de los desensambladores y de cualquier análisis estático. Así pues, ¿qué hace esta muestra? Cuando se ejecuta, vemos que ocurre lo siguiente:

Esta muestra simplemente comprueba la versión de tu reproductor de flash y abre una película flash adecuada, que puede contener exploits que funcionen en una versión particular del reproductor. Así, se puede decir que es un downloader, algo que abre una puerta en tu ordenador y deja entrar a los “bichos malos”. Todo esto, en poco más de 130 bytes de flash.

Este post es una traducción y adaptación de un artículo escrito en el blog oficial de avast! en inglés.

Ondrej Vlcek, jefe de de tecnología de Avast, ha anunciado a CNET que la compañía está preparando un nuevo producto para dispositivos con Android, concretamente los que están abiertos o rooteados.

Entre el 15 y el 20 por ciento de los Android, según Vlcek, están rooteados – modificados para habilitar permisos de superusuario-. Al igual que ocurre con los iPhone hackeados, estos dispositivos pueden utilizar más aplicaciones, más allá de las aprobadas en las principales tiendas, y por tanto corren más peligro de infecciones de malware.

Ya existen aplicaciones de seguridad para Android, pero Avast espera ganarse a los usuarios gracias a su marca y a funciones como localización del teléfono o control parental, todo en una aplicación gratuita.

Avast ha conseguido colocarse en 130 millones de ordenadores gracias a un modelo freemium, que ofrece un antivirus gratuito con posibilidad de condiciones especiales en el servicio de pago. Ahora esperan ampliar su negocio con los dispositivos portátiles, sistemas de gestión de contraseñas, servicios de copia de seguridad y llaves VPN para ofrecer conexiones seguras desde ordenadores y móviles.

En la entrevista, Vlcek habla de algunos otros aspectos del futuro de Avast a partir de 2012, como el desplazamiento de parte de las definiciones de virus a tecnologías en la nube. Teniendo en cuenta la enorme base de usuarios de Avast, esto implicaría un mayor aprovechamiento de esta característica que otras marcas de antivirus con un número de usuarios menor. También se menciona la incursión de la marca en nuevos terrenos como copias de seguridad online y gestores de contraseñas a través de acuerdos con actores tan asentados en el mercado como Mozy y Roboform.

Pues sí, parece que existe un virus inmortal… al menos en comparación con el ciclo de vida habitual del malware. Aunque existe gran cantidad de familias de malware con un tiempo de existencia muy corto, sólo hay unos pocos que tengan lo que se puede considerar una “larga vida”. Parite (también conocido como Pinfi) – un jugador con mucho tiempo en el campo – es uno de ellos. Parite sobrepasará el hito de los 10 años este octubre… ¡10 años! ¿Podéis recordar cómo era vuestro ordenador hace ese tiempo? 10 años son una eternidad en el mundo de la informática. Para darse cuenta, sólo habría que hacer una lista de las cosas que han cambiado en ese período, empezando por la evidente evolución de Windows y de los antivirus. Pero, a pesar de todos esos cambios, Parite todavía está con nosotros.

Esto resulta, cuanto menos, sorprendente. Aquí tenemos cinco razones por las cuales Parite tendría que haber desaparecido:

- No tiene una red de distribución o actualización

- Es trivial

- Es de sobra conocido y detectado

- La gran mayoría de motores antivirus (incluyendo el nuestro) son capaces de curar completamente la infección (durante un escaneo regular o usando herramientas de desinfección específicas)

- La gente suele reinstalar/formatear su sistema operativo de vez en cuando, dando como resultado un PC libre de malware al menos inmediatamente después de estas actuaciones.

Pero, aún así, hay decenas de envíos de muestras de Parite en nuestros sistemas cada día (y no son falsos positivos). Creemos que la mayor parte de estas distribuciones se producen por intercambio de archivos entre amigos (sin contar las propagaciones a través de elementos compartidos en redes locales). Y es aquí donde los usuarios individuales deben tomar su decisión: ¿Debo confiar en que el archivo que me está pasando mi amigo, y que avast! detecta como infectado, está limpio o debo creer a mi antivirus?. Parite puede ser inmortal tanto tiempo como el primer grupo de usuarios no cambie su manera de pensar. Y entonces tendremos que decirle a Parite “feliz cumpleaños” en Octubre, en vez de “descanse en paz”.

AVAST Software, desarrollador del galardonado  programa antivirus avast!, está detectando un creciente número de ataques de malware dirigidos a la función de ejecución automática en Windows y dispositivos USB. Los investigadores encontraron que, de los 700.000 ataques registrados en los equipos de la CommunityIQ de avast!  durante la última semana de octubre, uno de cada ocho ataques – el 13,5% – llegó a través de dispositivos USB.

El punto clave de ataque del malware es el “AutoRun”, característica de los sistemas operativos Microsoft Windows. La ejecución automática alerta a los usuarios informáticos cuando un nuevo dispositivo, como una tarjeta de memoria, está conectado y está diseñado para ayudarles a elegir qué aplicación debe ejecutar con los nuevos archivos.

“AutoRun es una herramienta realmente útil, pero también es una forma de distribuir más de dos tercios del malware actual. La amenaza del malware distribuido mediante dispositivos USB es mucho más amplia que sólo los ataques de Stuxnet en los equipos de empresas – que se extendió también a través de las memorias infectadas USB “, dijo el analista del laboratorio de virus Jan Sirmer. “Los ciberdelincuentes se están aprovechando de la  inclinación natural de la gente a compartir con sus amigos y la cada vez mayor capacidad de memoria de los dispositivos USB. Ponga los dos factores juntos y tenemos un escenario interesante. “

Esta característica, AutoRun, se usa mal cuando un dispositivo USB infectado por “INF: AutoRun gen2 [Wrm]“, término genérico de avast! para este tipo de software/gusano malicioso, se conecta a un ordenador. El dispositivo infectado -no sólo una tarjeta de memoria, sino, potencialmente, cualquier dispositivo con una capacidad de almacenamiento masivo, tales como una cámara digital, una PSP, algunos teléfonos móviles y reproductores de mp3 – inicia un archivo ejecutable que a su vez invita a una amplia gama de software malicioso al equipo. Las copias de software malicioso entrante en el núcleo del sistema operativo Windows y puede replicarse a sí mismo cada vez que se inicia el equipo.

Del total de los ataques de “INF: AutoRun gen2 [Wrm]“, el 84% de los intentos fueron repelidos por las exploraciones en acceso del  Escudo del Sistema de avast!. El malware se ha detectado en el momento en el que el dispositivo USB se conecta inicialmente. El 16% restante fueron descubiertos durante las exploraciones de los discos duros de los equipos.

CommunityIQ es un grupo selecto de  usuarios de avast! que envía automáticamente los datos sobre el malware que se encuentran al Laboratorio de Virus. Como muestra representativa de los más de 130 millones de usuarios de avast! en el mundo, la CommunityIQ representa una muestra estadísticamente significativa de los peligros actual del malware. Los datos enviados se analizan y se incorporan a los escudos de protección de avast! y a la base de datos de virus que se envía a todos los usuarios.

El bajo coste de las memorias USB hace que sea fácil para los amigos y compañeros de trabajo su uso para el intercambio de grandes archivos multimedia y crea un objetivo conveniente para los cibercriminales. “En un entorno de trabajo, el personal a menudo utiliza sus propias memorias USB para mover archivos de un lado a otro,”  comenta el Sr. Sirmer. “Esto puede pasar por alto escáneres de malware corporativos y perimetrales, dejando la responsabilidad  para detener el malware sólo a los programas  antivirus en los equipos locales”.

La detección de  “INF: AutoRun gen2 [Wrm]” se complica por la memoria cada vez mayor de los dispositivos USB y las más complejas técnicas de ofuscación. “Una exploración completa puede tardar hasta una hora para un dispositivo de un terabyte, esto hace que la gente salte esta exploración completa o simplemente se conforme con un rápido análisis residente,” dijo el Sr. Sirmer. Este peligro está a punto de aumentar con la introducción del nuevo estándar USB 3. En paralelo con estas mejoras tecnológicas, los programadores de código de malware de ejecución automática están desarrollando nuevas formas y la manera de ocultar su trabajo. “Una vez me encontré con ‘y0u c4nt st0p us’  en medio de un código”, bromeó el Sr. Sirmer. “Ellos saben que están a la cabeza.”

Indicadores de seguridad para dispositivos USB:

1. Tenga en cuenta. Alrededor del 60% del malware que ahora se puede propagar es a través de dispositivos USB. Se trata de una amenaza subestimada para ordenadores personales y profesionales.

2. No arranque conectado. Encendiendo una PC con un dispositivo USB conectado puede dar lugar a malware que se carga directamente al ordenador antes que algunos programas antivirus.

3. Escanear primero, mirar segundo. Asegúrese de que el “acceso de auto-análisis” están habilitados en su programa antivirus.

Según podemos leer en esta noticia de IDG, los antivirus gratuitos resultan ser los más usados.

Opswat… han concluido que, a pesar de que marcas como Symantec o McAfee son muy conocidas, sus soluciones de seguridad no dominan necesariamente el mercado en lo que a instalaciones se refiere. El 42 por ciento del mercado, según el informe, está compuesto por productos gratuitos…

Así, programas gratuitos dominan los cuatro primeros puestos en lo que a soluciones de seguridad se refiere. Avast Free Antivirus, con el 11,45 por ciento; Avira AntiVir Personal Free Antivirus, con el 9,19 por ciento; AVG Anti-Virus Free, con el 8,6 y Microsoft Security Essentials con el 7,48 por ciento…

El artículo también habla de la posible influencia de la crisis económica en el hecho de que cada vez más usuarios opten por utilizar programas gratuitos de seguridad. Y vosotros, ¿qué creéis? ¿Es la recesión económica actual la que hace que más gente use antivirus gratis o el hecho de que estos productos se han ganado la confianza necesaria?

El tema de los falsos positivos es algo recurrente en el mundo de los antivirus. Hemos hablado varias veces de ello, incluso nuestro querido avast! no ha sido inmune a esta circunstancia. Esta vez ha sido McAfee la empresa víctima de un error que ha dejado dañados un número inmenso de ordenadores que tenían su solución antivirus instalada.

Según podemos leer en esta noticia de Infospyware, el “Miércoles 21 de Abril del 2010 seguramente será recordado como un Miércoles Negro para la multinacional compañía de seguridad Antivirus McAfee, al igual que para los cientos de millones de compañías y usuarios finales que utilizan este producto. Tras la actualización 5958 liberada por la empresa el día de hoy, McAfee Antivirus detecto por error un virus llamado W32/Wecorl.a que dejó a todos sus usuarios de Windows XP SP3 con problemas en sus PCs.

El falso positivo hizo saltar las alarmas del Antivirus e intentó eliminar al intruso. En realidad, lo que estaba eliminado era el archivo “svchost.exe”, importante para el funcionamiento del sistema Windows XP, causando el inmediatamente reinicio del sistema y aunque puede volver a arrancar, seguirán recibiendo cada cierto tiempo que debe reiniciarse debido a un error grave del sistema.

… Numerosos usuarios han denunciado a través de Twitter la anomalía y sus dificultades para acceder a sus equipos. Aunque todavía no hay una confirmación de cuántos equipos han sido tumbados, pueden ser miles o cientos de miles, e incluso algunos sitios especializados de internet apuntan a millones. Gizmodo apunta que en una única empresa británica hay al menos 100.000 equipos  afectados, al igual que por la red se pueden encontrar varias instituciones, Universidades, departamentos de Policía, Particulares y hasta Hospitales con problemas en sus equipos tras este fallo.”.

Podéis leer el artículo completo aquí.

Tal y como podemos leer en la Wikipedia: “ILoveYou (o VBS/LoveLetter) es un gusano informático escrito en VBScript, que en mayo de 2000 atacó a aproximadamente 50 millones de computadores alrededor del mundo, provocando una pérdida de más de 5.500 millones de dólares en daños.” (más info aquí).

La encriptación/ofuscación de Javascript o HTML puede ayudar a proteger el trabajo del diseñador de una página web, de manera que se dificulta la copia de la misma. Pero esta actuación está bajo una gran controversia: como norma general, la encriptación y la ofuscación son propios de scripts maliciosos. En avast! procedimos a añadir la detección de un extraño script que encontramos recientemente, que bautizamos como JS:LoverCrypt-A [Trj].

El principio y el fin de dicho script lo mostramos más abajo en la imagen, y podréis ver las partes importantes subrayadas en rojo. Estamos ante una ofuscación bastante inusual: la cadena “ILOVEYOU” se usa para reconstruir la cadena “eval” usando la secuencia substring -> split -> reverse -> join -> toLowerCase –> replace. Raro, muy raro. Pero no es lo único desconcertante en este script. El script original está oculto bajo una larga cadena, que consiste en un número limitado de caracteres que son desencriptados usando la última secuencia de llamadas a función (se muestra en la última línea de esta imagen, clic para ampliar):

¿Quién usaría esto para un objetivo legítimo? En principio, no es posible creer que algo así sea utilizado por una gran empresa, ¿verdad? Pues bien, hemos tenido que eliminar esta muestra de nuestra base de datos porque este script pertenece a un portal de noticias de la República Checa (es parte de su nuevo sistema de anuncios). Y todavía estamos esperando una respuesta a estas preguntas:

- ¿Por qué han usado esta ofuscación sospechosa? ILOVEYOU—>EVAL y otras.

- Si necesitaban tener este script encriptado, ¿por qué no se usó alguna herramienta que pudiera ser menos sospechosa?

- ¿Puede ser que se haga para optimizar la navegación por su web? Es poco probable, teniendo en cuenta que el script ofuscado es tres veces más largo que el original.

¿Qué conclusiones podemos sacar? Bien, en principio los desarrolladores web deberían ser más cuidadosos con lo que publican. No es una idea muy inteligente usar o crear alguna ofuscación/encriptación en una web propia, dado el enorme avance de los malwares instalados en webs legítimas a base hackeos de las mismas, nuestros motores antivirus tienen que ser muy sensibles para proteger a los usuarios y es muy fácil que un script de este tipo sea incluido como sospechoso en las bases de datos de virus, lo cual resultaría perjudicial para la web que lo use por la alarma que podría causar entre sus visitantes.

El presente artículo es una traducción y adaptación de un post escrito por Jiri Sejtko en el blog oficial de avast! en inglés.

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Cualquier clic que hagamos en esa web nos descargará un archivo ejecutable. Este archivo no es malicioso en sí mismo, sino que es un dowloader: él se encargará de descargar posteriormente el software dañino, consistente en un archivo de 5 MB en un formato propietario y que se instalará directamente en Archivos de programa.

Esto es una demostración de cuán fácil es posible engañar hasta al más avezado internauta, y hasta qué punto el factor humano sigue siendo el eslabón más débil en el mundo de la seguridad informática.

Por supuesto, Sourceforge.net no tiene nada que ver en estos engaños, sino que son obra de gente que se aprovecha del sistema de publicidad de Google, usado en millones de sitios web.

Damos las gracias por el análisis y la descripción al usuario de avast! Pavel Hejrovský.

El presente artículo es una traducción y adaptación de un post escrito por Michal Trs en el blog oficial de avast! en inglés.

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Y como en el mundo del cine, todos esperamos finales felices. Y feliz sería el final para todos aquellos que usáis avast!, ya que nuestro antivirus no dejaría que este malware se ejecutara porque lo bloquearía antes de que entrara en nuestro ordenador:

Lo más destacable de todo este asunto es que no debemos bajar la guardia y confiarnos ante hábitos seguros de navegación. Los desarrolladores de malware trabajan sin descanso y no es necesario navegar por webs tradicionalmente peligrosas (warez, porno, etc.) para ser infectados, como habéis podido ver. La búsqueda que hemos descrito como ejemplo era totalmente inocente y aún así algún usuario incauto hubiera podido infectarse sin demasiadas complicaciones.

Según podemos leer en Dealer World:

Diseñado inicialmente como una broma dirigida a una pequeña comunidad de moteros de la región central de Eslovaquia, el gusano Win32/Zimuse.A y Win32/Zimuse.B ha alcanzado notoriedad en todo el mundo. Se trata de una amenaza que sobrescribe todos los MBR de los discos disponibles con sus propios datos, haciendo inaccesibles los datos almacenados en el equipo del usuario. Además, la restauración de los archivos afectados es complicada, y requiere el uso de software especializado o la intervención de un experto. Por otra parte, si no se utiliza el método de desinfección adecuado, el gusano activa su modo destructivo, que consiste en la paralización total del equipo al que ataca.

El gusano utiliza dos vías de infección, bien a través de su inserción en webs legítimas, en forma de archivo ZIP autoextraíble o de programa de prueba, o bien a través de dispositivos, como las memorias USB. El hecho de que utilice dispositivos USB para propagarse es el responsable de su rápida diseminación, que se espera aumente todavía más.

Hasta la fecha, las dos variantes del gusano difieren en el método de difusión y en el tiempo de activación. Mientras que la variante Win32/Zimuse.A necesita 10 días para comenzar a distribuirse a través de dispositivos USB, la variante Win32/Zimuse.B necesita sólo 7 días para hacerlo. Además, el tiempo necesario para la ejecución de sus rutinas destructivas también se reduce en la variante Win32/Zimuse.B, desde los 40 días de la variante original, a sólo 20 días.

Como siempre en estos casos, recomendamos que el usuario se asegure de tener tanto su sistema operativo como su software antivirus lo más actualizados posible para hacer más difícil la entrada a estos virus tan peligrosos.

Hoy hemos conocido otro caso de falso positivo en un antivirus, concretamente en Kaspersky. Este famoso software de seguridad, usado por una cantidad ingente de personas en todo el mundo, ha creado gran alarma entre sus usuarios al identificar como infectadas con un troyano páginas web que mostraban publicidad de Adsense (Google), dándose el caso de que este sistema es usado en millones de sitios de internet.

Evidentemente, el mayor problema de este caso de falso positivo es la alarma creada, ya que lo usuarios no avanzados (una gran mayoría) han podido creer que páginas web de las que son asiduos visitantes representaban una amenaza para ellos.

Según informaciones de la propia Kaspersky, el problema fue solucionado unas 12 horas después de que se produjera la actualización de las bases de datos de virus que produjo tal situación.

Hace relativamente poco, avast! también fue noticia por un caso de falso positivo (ver aquí y aquí). En realidad, estas situaciones son más habituales de lo que la gente pueda pensar y no hay ningún antivirus famoso que no las haya sufrido en sus carnes en alguna ocasión. Aunque las empresas desarrolladoras hacen todo lo que está en sus manos para que no se produzcan falsos positivos, el alto índice diario de aparición de malware hace que los equipos de los laboratorios tengan que ir muchas veces contrarreloj. Pero no todo son efectos adversos: en el caso de avast!, sirvió para que ciertos procesos internos fueran mejorados y reforzados en vistas a que no pueda volver a suceder algo así, tal y como contábamos en este post.

Todo el equipo humano de Alwil Software y La tienda avast! deseamos a todos nuestros clientes, distribuidores, usuarios y lectores una muy feliz Navidad.

Recientemente hemos suscrito un acuerdo con el portal Renov-arte, página web de referencia en cuanto a energías renovables y arquitectura bioclimática.

Mediante este acuerdo, las empresas que estén registradas en este portal obtendrán un descuento en la compra de su antivirus avast!. De esta forma, queremos poner nuestro grano de arena para ayudar a hacer de este mundo un lugar más verde.

Si además tenemos en cuenta que hasta final de año está vigente la promoción 3×2 (tres años de actualizaciones por el precio de dos), las compañías que se dedican a las energías renovables tienen una oportunidad única para proteger sus equipos a un precio imbatible. Porque cuantos más recursos puedan dedicar a I+D, más nos beneficiamos todos.

Recientemente, Symantec ha publicitado dos test realizados por lo que ellos denominan “el respetado e independiente Laboratorio Dennis Technology”. El primero es una comparación de Norton 2009 Antivirus y la beta de Microsoft Security Essentials (MSE), en el cual se concluye que Norton es muy superior al producto de Microsoft. El segundo es una comparativa de 10 productos antivirus (incluyendo avast! Home) para determinar cuál es el mejor en detectar 40 páginas web infectadas, siendo otra vez Norton el mejor (en su versión Internet Security). No hace falta decir más, estos informes y sus resultados son altamente sospechosos.

¿Por qué encargan las compañías antivirus estos test? Usualmente porque no pueden conseguir los resultados que ellos quieren de probadores independientes. ¿Por qué los laboratorios de pruebas hacen estos test? Porque cobran por ello. ¿Por qué las compañías antivirus no hacen sus propios test y publican sus resultados? Porque saben que nadie creería los resultados.

Los dos informes de los que hablábamos al principio de este post han tenido mucha cobertura tanto en los medios tradicionales como en los blogs. En algunos casos son descritos como “subvencionados por Symantec”, en otros como “independientes” sin mencionar el patrocinio de dicha empresa.

Vincent Steckler, CEO de avast!, se intrigó porque no había oído hablar nunca del Laboratorio Dennis Technology, a pesar de que en las notas de prensa que distribuyó Symantec era descrito como “independiente” y “respetado”. Sí que sabía de la existencia de otros como “West Coast Labs”, “AV-Comparatives”, y otros laboratorios que sí son “reputados” e “independientes”. Así que decidió investigar sobre ese laboratorio en Google… y no encontró nada (refiriéndonos al laboratorio en sí y no a los informes). Finalmente, lo encontró en la lista de miembros de la Organización de Estándares para las Pruebas de Anti-Malware (http://www.amtso.org/members.html), AMTSO, que es una organización de la que avast! y muchas otras compañías de seguridad son miembros.

Así pues, Vincent hizo click en el enlace que le aparecía, esperando ver la página web del Laboratorio Dennis Technology. Y aquí es a donde llegó:

Como veis, el link a la web del Laboratorio Dennis Technology lleva a la página principal de un editor inglés de revistas enfocadas al género masculino. Las imágenes rotativas de dicha web muestran a Maxim (con una mujer semi-desnuda), Monkey (una mujer en la misma tesitura que la anterior, mas dos mujeres más besándose), Men’s fitness (esta vez un hombre con el torso al aire) y PC Pro (esta vez sin ningún hombre o mujer desnudos). Pero a pesar de toda esta llamativa información, no se encontraron datos relativos al Laboratorio en esa página web, ni tampoco sobre los dos informes promovidos por Symantec.

Evidentemente estamos haciendo algo de ironía sobre dicho Laboratorio, parece evidente que están asociados de alguna manera a PC Pro y son miembros de la AMTSO. Por lo tanto, disponen de ciertas credenciales. Pero el punto clave de este artículo es que los informes promovidos o subvencionados no son demasiado útiles: ¿cuándo fue la última vez que visteis un informe pagado que no sea positivo para la compañía que lo paga?

Leyendo el segundo informe, en el que se comparaban los 10 productos de seguridad, cuatro aspectos saltan a la vista:

1.- El informe nunca menciona que fue pagado por Symantec. Este aviso es usual en laboratorios que sean realmente respetados e independientes.

2.- El informe no revela cómo fueron seleccionados los 40 sitios web infectados. ¿Quizá porque fueron elegidos a sabiendas de que contenían infecciones que sólo eran detectadas por Symantec en esos momentos?

3.- El informe no explica cómo 40 sitios potencialmente infectados son representativos de las decenas de miles de páginas peligrosas que existen.

4.- El informe juega hasta extremos alarmantes para ocultar las debilidades de Symantec.

El informe fue mostrado a los técnicos que trabajan en los laboratorios de avast! y la tónica general fue de risas y bromas, en el sentido de que cualquier laboratorio podría montar un test en el que su antivirus fuera el único que detectara 40 posibles infecciones. Y esto no son sólo palabras, aquí tenéis 40 ejemplos de lo que decimos:

#01 #02 #03 #04 #05 #06 #07 #08 #09 #10
#11 #12 #13 #14 #15 #16 #17 #18 #19 #20
#21 #22 #23 #24 #25 #26 #27 #28 #29 #30
#31 #32 #33 #34 #35 #36 #37 #38 #39 #40

Dado que la nueva versión 5 de avast! está a la vuelta de la esquina, hemos estado pensando que necesitamos testearlo. Las opciones posibles son:

1.- Pagar al Laboratorio Dennis Technology para que nos haga el test (cosa harto difícil, dado que su web no contiene información acerca de cómo contratar sus servicios).

2.- Usar nuestro propio laboratorio, lo cual garantizaría unos resultados más que óptimos.

3.- Usar a Playboy para testear nuestro antivirus. Esta fue la elección generalizada de nuestra plantilla, que argumentó que vista la web del Laboratorio Dennis Technology está claro que hay una correlación entre fotografías de chicas desnudas y laboratorios reputados e independientes.

4.- Sólo esperar y dejar a los verdaderos laboratorios probar el producto y publicar los resultados.

Nosotros votamos por la opción 4. ¿Y vosotros?

El presente artículo es una traducción y adaptación de un post escrito por Vincent Steckler en el blog oficial de avast! en inglés.

En Yahoo Tech ha sido publicado un artículo en inglés, escrito por Jordan Robertson, que por la importancia que puede tener para los usuarios hemos procedido a traducir y adaptar a nuestra lengua:

De todas las cosas siniestras que los virus que se propagan por internet pueden hacer, esta debe ser la peor de todas: convertir tu ordenador en un almacén de pornografía infantil sin que el usuario sea consciente de ello.

Atroces fotos y vídeos pueden ser depositados en vuestros ordenadores por virus, programas maliciosos que son más conocidos por buscar números de tarjetas de crédito. En este caso, es tu reputación la que puede ser golpeada.

Los pedófilos pueden explotar PCs infectados para almacenar y ver remotamente su material sin miedo a ser cogidos por ello. Es más, alguien que quiera gastarte una broma pesada (o con una intención menos benévola) puede usar estas herramientas para simular que tú mismo estás visitando páginas web ilegales. Sea cual sea la motivación, puedes tener pornografía infantil en tu ordenador y no darte cuenta de ello hasta que la policía llame a tu puerta.

Una investigación de Associated Press encontró casos en los que gente inocente fue catalogada como pedófila después de que sus compañeros de trabajo o sus parejas encontraran pornografía infantil en sus PCs, puesta ahí por algún virus. Esto puede costar a la víctima un gran cantidad de dinero, con el objetivo de probar su inocencia. Estas situaciones se complican por el hecho de que hay muchos pedófilos verdaderos que culpan a los virus de los archivos que se encuentran en sus máquinas, por lo que este argumento de defensa es visto con escepticismo por las fuerzas de la ley.

“Es una variante actual de la conocida excusa de que el perro se comió mis deberes”, dice Phil Malone, director de Cyberlaw Clinic (Harvard’s Berkman Center for Internet & Society). “El problema es que, efectivamente, en alguna ocasión efectivamente el perro se come los deberes”.

La investigación de Associated Press incluyó entrevistas a gente a la que se le encontró pornografía infantil en sus ordenadores, fiscales, policías e informáticos forenses, así como grabaciones de juicios. En 2007, Michael Fiola fue encontrado sospechoso después de que se comprobara que su portátil estaba usando una cantidad de datos bastante superior al de sus compañeros. Un técnico encontró pornografía infantil en la carpeta de su PC donde se almacenan las imágenes que vemos en las páginas web.

Fiola fue encausado por posesión de pornografía infantil, delito que puede acarrear hasta 5 años de prisión. Recibió amenazas de muerte, le cortaron los neumáticos de su coche y fue repudiado por sus amigos. Él y su esposa lucharon en el caso, gastándose 250.000 dólares en actuaciones legales. Liquidaron sus ahorros, hicieron una segunda hipoteca y vendieron su coche. Una inspección ordenada por su defensa reveló que su portátil estaba severamente infectado. Estaba programado para visitar al menos 40 páginas web con contenido pedófilo por minuto (algo que escapa de una capacidad normal de un ser humano). Mientras Fiola y su mujer estuvieron un día fuera para cenar, alguien accedió a su ordenador  y estuvo obteniendo material pornográfico durante una hora y media. Los fiscales ordenaron otro test y confirmaron los descubrimientos de la defensa. Los cargos fueron retirados… 11 meses después de que fueran emitidos.

Fiola y su mujer revelan que han tenido problemas de salud a causa del stress sufrido durante el caso. “Esto arruinó mi vida, la vida de mi mujer y de mi familia”, dijo. La oficina del fiscal de Massachussetts, que enjuició a Fiola, ha rehusado hacer declaraciones.

En este momento, cerca de 20 millones de ordenadores de todo el mundo se estima que están infectados con virus que pueden ofrecer control total de los mismos a los hackers, según el desarrollador de software antimalware F-Secure. Los ordenadores muchas veces resultan infectados cuando la gente abre los archivos adjuntos que vienen en los correos electrónicos desde destinatarios desconocidos o cuando visitan páginas web maliciosas.

Los pedófilos pueden explotar los virus de varias maneras. La más sencilla es forzar el ordenador de alguien a visitar sitios web con pornografía infantil, almacenando las imágenes en el proceso. Es más, un ordenador puede ser convertido en un almacén para imágenes y vídeos que pueden ser vistos cuando dicho ordenador se encuentre online.

“Pueden ser como langostas que van a un campo de maíz: se lo comen todo y después se van a otro campo", dice Eric Goldman, director académico del Instituto Legal de Alta Tecnología de la Universidad de Santa Clara. Goldman ha representado a empresas web que han descubierto a pedófilos usando sus sistemas para cometer estos actos ilegales.

Pero, tal y como hemos dicho, en ocasiones no son los pedófilos los que están envueltos en estas actuaciones, también puede hacerlo alguien que desee dañar al propietario del PC infectado. En el primer caso público de particulares que fueron víctimas de esta situación, dos hombres en el Reino Unido fueron declarados inocentes de ser responsables de tener pornografía infantil en sus PCs. En un caso, un mail infectado o un pop-up publicitario infectaron el PC del usuario y el virus descargó las imágenes ilegales. En el otro, un virus cambió la página principal en el navegador del usuario para mostrar pornografía infantil, siendo descubierto este hecho por la hija de 7 años del afectado. Este hombre pasó más de una semana en prisión y perdió la custodia de su hija.

Chris Watts, un técnico de Gran Bretaña, cuenta que ayudó al director de un hotel cuyos compañeros encontraron pornografía infantil en el PC que éste compartía con ellos. Watts encontró que mientras esta persona navegaba por Internet en busca de programas para piratear videojuegos, uno de los sitios estaba programado para redirigir al visitante a sitios de pornografía infantil si el usuario estaba inactivo por un cierto período de tiempo. En todos estos casos, la evidencia principal es indiscutible: había pornografía en el ordenador. Pero probar cómo llegó a él es más difícil.

Tami Loehrs, que inspeccionó el ordenador de Fiola, recuerda otro caso en Arizona en el que había un ordenador infectado de manera importante, de tal manera que era virtualmente imposible determinar la acusación: que un chico de 16 años usó el PC para subir pornografía infantil a un grupo de Yahoo. Los fiscales desestimaron el cargo y el chico fue acusado de otro crimen que no implicaba pena de prisión, aunque afirmaron que tuvieron esta consideración por la edad del chico y por la ausencia de antecedentes penales.

El artículo es más extenso, pero con lo que hasta aquí hemos reproducido creo que queda muy claro el peligro que se quiere exponer.

Uno de los métodos más usados por la gente que quiere usar programas sin pagar el precio establecido de los mismos es el keygen, o generador de claves. Según podemos leer en la Wikipedia, un keygen es:

“… un programa informático, generalmente ilegal, que al ejecutarse genera un código para que un determinado programa de software de pago en su versión de prueba (Shareware) pueda ofrecer los contenidos completos del programa. Normalmente los keygens son archivos ejecutables (en formato *.exe) que se ejecutan sin necesidad de ser instalados.

Es muy común el pensar que un keygen y un crack son lo mismo. Lo cierto es que, aunque se utilizan para lo mismo, usan sistemas diferentes: mientras que un keygen es un ejecutable que genera un código para poder desbloquear el programa, un crack simplemente hace una modificación sobre el programa para poder "completarlo".

Los creadores de los programas "keygen" introducen en dicha aplicación el algoritmo utilizado para generar los códigos de desbloqueo, y permite al usuario obtener infinitos códigos…”

Pues bien, según podemos leer en Softzone recientemente ha ocurrido otro caso de keygen infectado por malware. Concretamente el generador de claves infectado estaba destinado a ser usado para activar el antivirus Kaspersky (en sus versiones Kaspersky antivirus 2010, Kaspersky Internet Security 2010 y Kaspersky Simple Scan 2010) sin abonar la correspondiente licencia.

Cuando el usuario abría el keygen estaba al mismo tiempo instalando un troyano en el sistema sin su conocimiento. Imaginamos que dicho troyano habría sido anteriormente comprobado para asegurarse de que este antivirus no lo detectaba, ya que sino sería un sinsentido enorme: si un usuario va a usar un keygen para Kaspersky, generalmente será porque lo tiene instalado en su sistema.

Esto no es más que otra muestra de que el uso de keygens o sistemas de crackeo de programas pueden, en muchas ocasiones, reportar más daños que beneficios. Además, desde hace ya mucho tiempo se viene constatando que una de las vías más frecuentes de infección es el uso de estos programas ilegales.

Por otra parte, en este blog hemos comentado en muchas ocasiones que existen muchas alternativas gratuitas a los antivirus de pago, como avast! Home (que salvo cambios de última hora pasará a ser denominado avast! Free cuando salgan las nuevas versiones 5 de nuestro antivirus), que resultan tanto o más efectivas que algunos antimalware comerciales. Por lo tanto no vale la pena arriesgarse a tener que realizar actividades ilícitas para conseguir una protección óptima de vuestro ordenador.

Varios exploit packs están haciéndose muy populares en los últimos días, ya que su uso permite una vía fácil de infectar miles de ordenadores en todo el mundo. Cada pack de exploits puede estar compuesto por un sólo fichero que contiene todo el malware, o bien en archivos separados por cada exploit. Esta última técnica parece que se va imponiendo por resultar más efectiva, ya que los antivirus puede que sólo detecten parte de los exploits. De esta manera, se podría aprovechar la parte que el antivirus no detecta para infectar la máquina del usuario. Este artículo describe la estructura y actividad de uno de los packs de exploits más complejo.

Este pack fue descubierto hace relativamente poco en varios servidores ubicados en China. En el momento de su descubrimiento, avast! detectaba de manera parcial los exploits que este paquete contenía (el resto de detecciones se añadieron después de poder analizarlo). No se trata realmente de un nuevo pack, sino más bien de una nueva versión, lo cual significa que sus creadores hicieron los cambios necesarios para hacer más difícil la detección por parte de los antivirus. Su complejidad es muy alta como podréis observar en este diagrama:

El paquete contiene cerca de 40 ficheros incluyendo redireccionadores, comprobadores de vulnerabilidad, exploits y shellcodes. Como vemos en la imagen, hay dos ramas inútiles: una para el exploit PDF (el fichero está dañado y por tanto no puede ser abierto) y otra probablemente para un exploit SWF (que da un error 404). De todas maneras, hay todavía 11 exploits listos para atacar. Todos ellos son detectados por avast!.

No deja de ser interesante mostrar al lector cómo otros motores antivirus están manejando este complejo paquete, así que se ha preparado este imagen que esperemos sea clarificadora:

La tabla muestra qué fichero fue detectado por cada antivirus. Las últimas dos columnas contienen los datos de ratio de detección del pack entero y de los ficheros que lo componen. Dejamos la evaluación de dichos resultados a nuestros lectores. Os recordamos que GData usa el motor de avast! como parte de su sistema de escáner, y esa es la razón que los dos hayan obtenido idéntico resultado.

El presente artículo es una traducción y adaptación de un post escrito por Jiri Sejtko en el blog oficial de avast! en inglés.

Una de las consultas que más recibimos es relativa a usuarios de avast! que nos informan de que el antivirus está detectándoles amenazas en páginas web que dichos usuarios afirman que son “de confianza”. Como muestra clara, podéis leer este hilo en nuestro foro:

http://www.avast.es/foro/viewtopic.php?f=2&t=407

Es muy importante tener en cuenta que, en muchos casos, los administradores de una web pueden no ser conscientes de que están propagando infecciones. Por ejemplo, algún hacker puede haber accedido a los archivos que están en el FTP que contiene la página y modificarlos posteriormente sin que el administrador se percate de este hecho.

Las infecciones que son producidas por sitios web de confianza se basan, en ocasiones, en encriptaciones bastante simples que son fácilmente detectables por usuarios avezados. Sin embargo, en muchos casos se usan algoritmos bastante complejos que tienen como fin último ocultar el proceso de redirección. Pero sea cual sea el método utilizado, el objetivo siempre es el mismo: redireccionar a los visitantes a páginas propagadoras de malware que incluyen algunos packs de exploits.

Hay también muchas infecciones que intentan imitar servicios muy conocidos y de confianza (en muchos casos de Google), siendo el más usado Google Analytics. Empieza con algunos pequeños cambios en las urls usadas por estos servicios, como por ejemplo cambiando “analytics” por “analitics”. En este artículo vamos a describir dos infecciones recientes que imitan este famoso servicio de Google de manera bastante compleja, y que a primera vista parecen ser legítimas.

Primero, vamos a mostrar el código original usado por Google Analytics:

JS:Redirector-T [Trj]

Este código fue detectado el 16 de Junio de 2009. Se trata de una imitación del código original de Google Analytics. La siguiente imagen muestra el código de la infección:

La diferencia fundamental se muestra en el rectángulo verde. El atributo ´sr?´no existe e incluso si es parte del tag resultante es ignorado por el navegador. El atributo origen está oculto. Se muestra con las flechas rojas de la imagen, por lo que puedes ver que está oculto usando una simple función de sustitución.

Una semana después de que avast! detectara esta amenaza y la incluyera en su base de datos, seguía siendo el único antivirus que seguía detectándola (Gdata usa el motor de avast! como uno de sus sistemas de detección). La siguiente imagen está tomada de Virustotal:

Podéis ver el reporte online haciendo clic aquí.

HTML:IFrame-HM [Trj]

Esta detección fue incluida en avast! el 25 de Junio de 2009. La imitación no es tan buena como en el caso anterior, pero hay elementos y palabras clave tomados de Google Analytics también. La siguiente imagen muestra la infección. Las etiquetas indican las secciones del código:

Y, otra vez, avast! era el único antivirus que os protegía de esta infección. La siguiente imagen fue tomada de Virustotal:

Podéis ver el reporte online haciendo clic aquí.

El presente artículo es una traducción y adaptación de un post escrito por Jiri Sejtko en el blog oficial de avast! en inglés.

Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.

Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.

Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?

- Instala un rootkit (klif.sys)

- Instala sus binarios en modo usuario en el directorio de sistema

- Instala sus autoruns y sus binarios autoejecutables en cada dispositivo (para expandirse lo más posible)

- Inyecta código propio en explorer.exe

- Fuerza los procedimientos de actualización

- Roba las contraseñas de juegos online

El análisis de la infraestructura de servidor usada para actualizar las infecciones establecidas y recolectar los datos robados es algo que siempre sorprende a nuestros técnicos. Parece haber unas pocas máquinas para manejar los cientos de miles de víctimas. De hecho, los servidores están siempre con mucha carga (incluso a veces en overload) y por tanto la velocidad de descarga de las actualizaciones suele ser bastante lenta (en ocasiones no llega ni a finalizar). Cuando decíamos que esta familia de malware es exitosa, no nos referíamos a las posibles ganancias monetarias por su actividad (esto es algo difícil de determinar). Nos referimos sólo a su expansión y el actual ciclo de vida, que se pueden considerar un éxito. Algunos detalles más:

- El autor no ha sido detectado por el momento (recordemos que Kavo salió hace más de dos años) incluso sabiendo dónde fueron registrados sus dominios. Los servidores (y quizá el mismo autor) residen en China, algo que puede ser problemático para la justicia europea o americana.

- Toda la infraestructura está basada en máquinas que se podrían denominar ridículas, pero esta familia de malware es capaz de expandirse, reaccionar ante las detecciones de los antivirus, cambiar el ofuscador, etc.

- La familia es perenne. Todavía sigue viva y bien visible incluso habiendo muchísimos otros malware en liza.

Y aquí termina este repaso a Kavo. ¿Qué pasará en un futuro? Desgraciadamente, creemos que tenemos Kavo para rato. No hay esperanzas de que el autor pueda ser localizado o que su infraestructura pueda ser anulada. ¿Qué creéis vosotros? ¿Habrá un final feliz para esta historia?

El presente artículo es una traducción y adaptación de un post escrito por Michal Krejdl en el blog oficial de avast! en inglés.

Hace ya algún tiempo, saltó a la fama cierto tipo de virus que destacaban por realizar un enfoque totalmente diferente en su actividad delictiva a lo que estamos acostumbrados. Su cometido era encriptar ciertos documentos del usuario infectado, de manera que luego se pedía una cantidad de dinero para que dichos archivos fueran devueltos a su estado original. Evidentemente se centraban en ficheros con extensiones críticas (como por ejemplo Word e imágenes, sobre todo si se encontraban en directorios típicos de almacenamiento como Mis Documentos). Cuántos de nosotros no habríamos pagado una cantidad de dinero, siempre que estuviera en un rango aceptable para nuestro bolsillo, por recuperar esa información.

Pues bien, según nos informan en Dealer World, esta manera de actuar ha cambiado. Como comentario personal diré que no me parece muy adecuado el título de la noticia (“El secuestro express llega a los PC”), ya que como he contado esta manera de actuar en cierto malware no es ni mucho menos nueva. Pero sí que es verdad que ahora se han vuelto más “descarados”.

Otro tipo de software perjudicial que ha predominado últimamente son los rogueware: programas que se presentan como antivirus o antispyware que son sumamente invasivos y que tienen como objetivo hastiar al usuario a base de mensajes falsos de infección, para que dicho usuario proceda a la compra de dicho producto con el fin de quitar las supuestas (más bien falsas) amenazas. En otras palabras, son falsos antivirus y antispyware que te hacen creer que tu ordenador está lleno de malware cuando en realidad lo único que están buscando es crear miedo al usuario para que éste proceda a comprar la licencia oportuna que “mágicamente” hará desaparecer todo el peligro.

Y llegamos, por fin, al quid de la cuestión: lo que ahora se presenta es una mezcla entre los virus que mencionaba al principio de este artículo y los rogueware. Cuando una persona instale (normalmente sin ser consciente de lo que está haciendo) uno de los nuevos falsos antivirus o antispyware, lo que éste hará será encriptar sus ficheros para hacer creer que ha sido un ataque vírico el que ha hecho el destrozo. Por supuesto, dará opción al usuario de que éste compre una licencia que permitirá activar el antivirus/antispyware y éste se encargará de “desinfectar” el ordenador y devolver los archivos a su estado original. Según podemos leer en la noticia de Dealer World:

Este falso antivirus, llamado Total Security 2009, se vende por 79,95 euros. Además ofrecen servicios de soporte técnico premium por 19,95 adicionales. Una vez que el usuario ha pagado, éste recibe un número de serie que, al introducirlo en la aplicación, libera todos los ficheros y ejecutables y deja trabajar y recuperar la información. Dicha falsa aplicación, sin embargo, sigue instalada.

“Este comportamiento del falso antivirus conlleva un doble peligro: por una parte, el usuario es engañado y debe pagar dinero para poder seguir utilizando su ordenador; por otro, el usuario puede llegar a pensar que se encuentra ante un antivirus real, con lo que dejará su ordenador sin ninguna protección”, señala Luis Corrons, director técnico de PandaLabs, quien continúa afirmando que “es muy sencillo infectarse sin saberlo. La mayoría de las ocasiones basta con visitar webs que están hackeadas, y una vez infectado el ordenador, es tremendamente difícil proceder a su eliminación, incluso para personas con cierto conocimiento técnico. Tampoco deja al usuario utilizar herramientas de detección y desinfección de ningún tipo, al impedir la ejecución de todos los programas. Lo único que permite abrir es el navegador de Internet, para que puedas ir a pagar la falsa aplicación

El crecimiento experimentado por Alwil Software en los últimos años ha obligado a la empresa a tener que buscar una nueva sede en la que poder operar en condiciones óptimas. Así pues, septiembre fue el mes en el que el equipo desarrollador de avast! tuvo su “día de mudanza”.

Tenéis una imagen del nuevo edificio más abajo. En éste hay disponible tres veces más espacio que en el anterior, cerca de 2600 metros cuadrados. Por otra parte, otros aspectos no menos importantes también son mejores, como por ejemplo una mayor conectividad, sistemas de alimentación ininterrumpida y comunicaciones/transporte.

Otra muestra más de que 2009-2010 será un período de grandes cambios, para mejor, en todo lo que concierne a avast! antivirus.

Hace un par de meses, surgió la noticia de que el líder de una red de hacking había sido procesado por el robo de los datos de 130 millones de tarjetas de crédito y débito en los Estados Unidos. No es algo que a esta persona le viniera de nuevo porque ya estuvo en la cárcel por cargos similares en 2006, aunque esta vez el volumen del robo no deja de ser sorprendente.

Vamos a detallar algunas de las características más importantes de este acto:

- Esta persona, y su banda, no necesitaron usar métodos demasiado sofisticados. No fueron hackers expertos, en el sentido que no tuvieron que acceder remotamente a la red de los emisores de las tarjetas. En lugar de esto, tomaron un camino más fácil: ir conduciendo con un portátil encima para buscar redes no protegidas.

- Una vez conectados a estas redes no seguras intentaban hackear los sistemas de las empresas o usuarios para conseguir los datos. Hay un gran mercado negro en el que los números de tarjetas de crédito válidos se pagan muy bien.

- Los restaurantes fueron objetivos prioritarios porque “suelen fallar en tener sus antivirus y sistemas actualizados”.

- Al mismo tiempo que se dedicaba a esta actividad delictiva, trabajaba también para el Servicio Secreto de Estados Unidos como informador. Esta es una de las principales razones por las que avast! y la gran mayoría de empresas de seguridad rechazan contratar hackers “reformados”.

Así pues, a pesar de que ningún usuario normal tiene millones de números de tarjetas de crédito en sus ordenadores, sí tenemos todos muchos documentos e imágenes que pueden ser personales y privados. Al igual que los restaurantes, tiendas, etc. que fueron víctimas del hacker del que hablamos, también podemos ser vulnerables ante ataques si no tomamos las precauciones oportunas:

- Ten siempre tu antivirus actualizado y funcionando. Con avast! esto es muy fácil de comprobar: fíjate en que la protección residente (bola azul con la “a” al lado del reloj de Windows) va dando vueltas mientras abrimos ficheros y navegamos por internet.

- Asegúrate de que tu cortafuegos está activado. Para los usuarios de avast!, mira si el firewall de Windows (o cualquier otro que estés usando) está en marcha. El próximo avast! 5 contará con una versión que incorpora cortafuegos para hacer esta tarea más fácil.

- Protege siempre tus redes inalámbricas, usa encriptación y a ser posible oculta tu SSID. Este tipo de redes tienen más potencia y alcance de lo que muchas veces nos imaginamos.

- No compartas tus archivos. Incluso aunque estés en una red doméstica, mira bien qué carpetas y ficheros compartes ya que en ocasiones podemos tener documentos confidenciales en directorios compartidos. Piensa que si alguien accede a tu red de manera ilegítima podrá acceder a todo lo que compartes de manera relativamente sencilla.

- Confía en las alertas de seguridad de avast!, especialmente en lo que se refiere a avisos sobre páginas web peligrosas. No asumas que porque una página web es famosa o tiene un negocio real detrás puede estar libre de infectar tu equipo, ya que pueden haber sido hackeadas incluso sin que sus administradores lo sepan en ese momento. Evidentemente, los sitios pequeños y con un rango de visitas medio-bajo son más susceptibles de ser hackeadas porque sus administradores no tienen por qué tener conocimientos altos sobre este tema.

El presente artículo es una traducción y adaptación de un post escrito por Vincent Steckler en el blog oficial de avast! en inglés.

Acabamos de abrir una cuenta en Twitter para este blog, con la intención de que los lectores que estéis en esa red social podáis seguir tanto nuestras actualizaciones de artículos como también conocer otras fuentes de información que iremos publicando sobre avast!.

Nuestro nombre en Twitter es avastblog, y el enlace directo:

http://twitter.com/avastblog

¡Nos vemos leemos por allí!

Un total de 13 actualizaciones para solventar 34 vulnerabilidades. Se trata del mayor paquete de actualizaciones que Microsoft ha lanzado para reparar los problemas de seguridad en distintas versiones de Windows, incluido Windows 7.

Los 34 agujeros de seguridad suponen un récord para Microsoft desde que hace seis años decidiera lanzar actualizaciones de seguridad seguridad mensuales. El anterior hito está registrado en diciembre de 2008, cuando se corrigieron 28 agujeros.

Microsoft califica a 8 de las 13 actualizaciones (y 21 de las 34 vulnerabilidades) como “críticas”, el nivel más alto de los cuatro que conforman su clasificación. El resto son consideradas como “importantes”. Entre los parches se encuentras varios para vulnerabilidades de día cero (agujeros para los que la explotación del código ya se ha hecho pública).

Recomendamos a todos los usuarios que usen Windows Update para poner al día su sistema operativo dada la importancia de esta última actualización.

Como muchos de vosotros sabréis, Microsoft ha sacado a la luz su producto de seguridad gratuito hace escasos días. Se denomina MSE (Microsoft Security Essentials) y es el sustituto del anterior One Care. Es interesante ver la cobertura de prensa y la reacción por parte de los competidores. Algunos artículos hablan de transformación del negocio de la seguridad informática y la solución a todos los problemas. Otros lo equiparan al famoso dicho de “segundas partes nunca fueron buenas”.

En avast! nos encontramos en una posición ambivalente acerca de esta incursión de Microsoft en el espacio de la seguridad gratuita. Desde hace mucho creemos que la protección debe estar disponible sin coste. Y existen muchas aplicaciones de gran calidad disponibles (incluyendo avast!, por supuesto). Pero no consideramos que MSE esté en esa categoría. En las últimas AV-Comparatives, Microsoft One Care no lo hizo demasiado bien. Empató con avast! en cuanto a falsos positivos (segundo puesto de 16), pero quedó en posición 14 en detección y 13 en velocidad. Y, evidentemente, el rendimiento de MSE es el mismo que el de One Care. Así pues, aunque MSE es mejor que nada y que incluso Microsoft lo describe como protección básica, todavía no llega al nivel de los productos de pago. Es más, diríamos que está bastante por detrás de los resultados obtenidos por los productos gratuitos de demostrada solvencia (incluyendo avast!) que incluso baten a otros software de pago.

Microsoft parece creer que el 60% de los usuarios no tienen ninguna protección. No sabemos de dónde sacan estas cifras dado que no mencionan ninguna fuente. Pero no tiene demasiado sentido. Hay alrededor de 500 millones de ordenadores de consumo en el mundo (según datos de Gartner e IDC). Ateniéndonos a los números, avast!, Avira y  AVG protegen unos 250 millones; quizá más exacto sea decir que cerca de 300 millones. Siguiendo con estos datos, Symantec, McAfee, Trend, Kaspersky y algunos otros están protegiendo unos 100 millones. Esto deja unos 150 millones de ordenadores teóricamente vulnerables, pero incluso aventuraríamos que, de estos, unos 50 millones están protegidos por soluciones de ámbito local (K7/SourceNext en India y Japón, Rising y Kingsoft en China, Ahn en Corea, etc.). Así las cosas, parece que sólo puede haber más o menos un 20% (100 millones) no protegidos. Por supuesto siguen siendo demasiados, especialmente sabiendo se puede tener una gran protección a coste cero. Pero todo apunta a que Microsoft está buscando una solución a un problema inexistente.

Es también muy interesante contemplar como muchos periodistas se han dedicado a recitar la historia proclamada por Microsoft. No se han visto muchas menciones a los productos gratuitos más famosos y reputados. Incluso se les ha llegado a llamar antivirus de marca blanca. ¿Cómo puede ser una marca blanca algo que usan más de 250 millones de personas? Seguramente debemos achacarlo a la ignorancia y al gran poder de presión de Microsoft y los desarrolladores tradicionales.

Otra cuestión importante reside en la manera de distribuir el producto. Symantec, McAfee y demás casas tradicionales distribuyen a través de retail (cajas en tiendas), OEM (ordenadores ensamblados por marcas), etc. Los desarrolladores de productos gratuitos (como avast!) distribuyen a través de servidores de descarga. Microsoft intentó la manera tradicional con One Care, y falló. Ahora están intentando el método de descarga con MSE. Además se guardan un as en la manga, y es distribuir MSE como parte de Windows, o incluso obligar a los OEM a integrar MSE como condición para poder instalar Windows 7. Estas actitudes monopolísticas han dado lugar a numerosos juicios por abuso de posición dominante.

La seguridad informática es un negocio muy competitivo, más incluso que otros segmentos como los videojuegos. Hay una gran competitividad que resulta muy importante para que se pueda mejorar y por tanto proporcionar más y mejor protección a los usuarios finales. Cada uno aprende del otro e incluso a veces se copian (legamente), sin contar que se comparten muestras de malware entre laboratorios. Así pues, la competencia es buena, y si Microsoft resiste la tentación de usar un sistema agresivo de distribución todos saldremos beneficiados (usuarios y desarrolladores).

MSE no es, por ahora, un producto de gama alta pero no es tampoco la secuela mala de One Care como algunos dicen. Es simplemente otro producto de seguridad con protección suficiente (que no óptima). Una review reciente de Neil Rubenking, de PCMag (http://www.pcmag.com/article2/0,2817,2353699,00.asp) lo dice claramente:

Así pues, ¿debes confiar en Microsoft Security Essentials como producto gratuito de seguridad? Debo decir que no, a no ser que seas un ferviente seguidor de la marca Microsoft. Mis propios test indican que sería mejor que instalaras otros productos antivirus gratuitos como AVG Anti-Virus Free o avast! antivirus Home Edition.

La seguridad es también confianza. El usuario ha de confiar que el producto (y la empresa detrás del producto) le protegerá a él, a su ordenador, a sus datos. Estamos muy complacidos de haber conseguido la confianza de más de 90 millones de usuarios. Y esperamos seguir manteniendo y aumentando dicha confianza.

El presente artículo es una traducción y adaptación de este post escrito por Vincent Steckler.

Hoy es un día de mudanza para el blog. Después de muchos años existiendo como parte de nuestra página principal, La tienda avast!, llega la hora de independizar esta bitácora y darle la importancia que se merece. Lo hacemos con un nuevo diseño, que irá mejorando con el paso de los días, y con un nuevo dominio: avastblog.es

Consideramos que se trata del mejor momento para realizar este cambio porque el 2009 supone una nueva etapa para avast!, un año de muchas novedades como el nombramiento del nuevo CEO y la inminente llegada del nuevo avast! 5.

Hemos redireccionado tanto el home del antiguo blog como las entradas particulares a este nuevo espacio para que la transición sea lo más limpia posible y, sobre todo, para que nuestros lectores no tengan ninguna dificultad para encontrar los artículos que se han publicado hasta ahora. También hemos hecho un trasvase de los feeds.

Esta nueva etapa también implica un compromiso por nuestra parte, que consiste en el propósito de dedicar más tiempo a la publicación en español de novedades, noticias, actualizaciones y más sobre el antivirus avast! y a otros temas generales sobre seguridad informática.

Otra novedad importante es la reapertura de los comentarios a las entradas. Hace ya algún tiempo decidimos cerrarlos porque se convirtieron en un foco de SPAM y de consultas técnicas que no tenían cabida en un blog como este, ya que para ese cometido tenemos un foro en esta dirección:

http://avast.es/foro

Por eso, os rogamos que no uséis este blog para cuestiones de soporte o preguntas sobre temas que no tengan que ver con el que se trate en cada entrada.

Os damos la bienvenida a esta nueva web, esperamos que sea de vuestro agrado y que os resulte útil para conocer más a fondo nuestro antivirus favorito: avast!

Hace poco tiempo, Andreas Marx (probador independiente de productos antivirus) envió a la mayoría de casas antivirus un archivo infectado por “Delphi Source Code infector”. Este fichero fue enlazado por páginas tan famosas como chip.de y algunas otras. Poco después fue publicado un análisis de este innovador elemento infeccioso por Kaspersky Lab y F-Secure. Pero esto sólo representa el principio de la burbuja mediática. Este virus tiene actualmente varios meses de antigüedad y prácticamente todos los desarrolladores antivirus permanecieron ciegos ante él. ¿Por qué?

Hasta ahora, los llamados “file infectors” (como Virut, Sality, Parite, etc.) han modificado archivos ejecutables en el ordenador de la víctima. Pero Win32:Induc es diferente. El proceso consiste en buscar el compilador Borland Delphi en la máquina del usuario. Si lo encuentra, el archivo SysConst.pas es sustituido por una copia maliciosa del mismo. A partir de entonces, cada proyecto Delphi que construya el usuario en un ordenador infectado estará igualmente comprometido. En otras palabras, el malware será producido por los programas que creen los desarrolladores, los cuales no tienen ninguna intención de provocar daño ya que los mismos no son conscientes de lo que está ocurriendo en sus PCs. Muchos de estos programas luego serán distribuidos (incluso estando firmados digitalmente) de manera global a través de servidores de descarga.

Un dato estadístico: pocas horas después de que la actualización de la base de datos de virus de avast! (VPS 090818-0) incluyera detección para este nuevo tipo de malware, nuestro laboratorio recibió cientos de reportes de usuarios que nos indicaban que avast! estaba produciendo falsos positivos. Todos ellos resultaron ser detecciones certeras y los archivos estaban realmente infectados. En las 12 horas siguientes a la publicación de la antedicha VPS, avast! encontró más de 200.000 ficheros comprometidos por este virus.

Parece que los programadores de malware están usando tácticas cada vez más sutiles para expandir sus programas maliciosos. Con el fin de aprovechar el buen nombre y reputación de algunas páginas web, están alojando redireccionadores dañinos en páginas famosas de algunas universidades (principalmente en Estados Unidos). Se da el caso de que los dominios pertenecientes a estas instituciones educativas son, como norma general, bien considerados por los internautas y se tiende a confiar en ellos, cosa que como veremos puede resultar muy peligrosa.

El mundo académico suele ser bastante abierto y suele dejarse bastante libertad a sus usuarios para subir/bajar archivos sin demasiado control, lo cual deja una puerta abierta a programas y servicios inseguros. Aquí os dejamos un ejemplo, un extracto de nuestra lista de urls maliciosas (los nombres de las escuelas y otros datos identificativos han sido borrados):

¿Cómo se accede a estos sitios? Muy simple, solo escribe algunas palabras clave en Google relacionadas con el porno y los verás en los primeros 20 resultados casi por seguro:

Así pues, mucho cuidado con fiarnos simplemente por la extensión de un dominio, puede haber sorpresas en el otro lado.

Extracto del artículo original de PCMAG.COM, el cual se puede visitar haciendo clic aquí.

… ¿Cómo pueden estas compañías hacer un buen trabajo si la gran mayoría de sus usuarios no pagan por el software? He hablado con Vincent Steckler, el nuevo CEO de Alwil Software (los creadores de avast!) acerca de esto, y ha hecho una buena argumentación.

Steckler dice que los tres grandes programas antivirus gratuitos (avast!, Avira y AVG) provienen de empresas rentables y con éxito. Panda también está entrando en el mercado gratuito con su última generación de antivirus, y Microsoft Security Essentials (ahora en beta) también es un producto anti-malware sin coste. Todas estas empresas ofrecen sus productos libres de cargo y, excepto Microsoft, venden una versión premium de su software que incorpora algunas funciones de las que carece la versión gratuita.

En el caso de avast!, la versión gratuita carece de las siguientes funciones (presentes en la versión profesional): actualizaciones PUSH, escáner bajo línea de comandos, interfaz avanzada de usuario y bloqueo de scripts maliciosos. Steckler también dijo que, por razones que no están muy claras, hay protección por acceso en la versión Home pero no puedes hacer un escaneo programado (ya que es parte de la interfaz avanzada de usuario).

Los más conocidos productos anti-malware del mercado de consumo consiguen un gran porcentaje de sus usuarios a través del mercado OEM. Cuando compras un ordenador también consigues trialware (software de prueba) o licencias registradas de productos antivirus de manera preinstalada. Las compañías antivirus pagan cantidades ingentes de dinero para que sus programas sean incluidos por los fabricantes de ordenadores, y en la gran mayoría de casos se trata de licencias que expiran pronto, dando una falsa impresión de protección.

Los productos gratuitos no tienen esos costes de márketing, y probablemente tienen menores costes en este segmento de manera general. Delegan en el boca a boca. Un porcentaje de esos usuarios domésticos actualizan su antivirus a la versión de pago, y los clientes empresariales sólo pueden usar las versiones con coste. Esto es lo que genera ingresos. Steckler proclama que tienen 90 millones de usuarios, de los cuales el 2-3% usan las versiones premium. Esto representa un saludable número de gente usando su producto.

Hay otros costes, como el análisis de virus y la infraestructura de actualizaciones, pero estos gastos son fijos en una compañía antivirus tengas o no un producto gratuito. Por supuesto, la infraestructura de actualizaciones tiene mucha menos carga si no hay software gratuito, pero en avast! parecen concienciados en optimizar estos costes. Tienen su propia infraestructura en vez de pagar a Akamai u algún otro CDN por hacer este trabajo, y las actualizaciones PUSH (sólo presentes en las versiones premium) antes mencionadas son distribuidas a través de SMTP hasta tu cliente de correo. Cuando el nuevo avast! 5 salga a la luz en octubre la red será exprimida hasta el límite.

Ellos también suelen actualizar menos frecuentemente que otras compañías antivirus, normalmente una vez al día, pero no os preocupéis: se trata de calidad y no de cantidad, según Steckler. Desarrolladores como Kaspersky, que actualizan una vez cada hora, argumentan que los ejemplares de malware aparecen a todas horas y que las actualizaciones únicas diarias dejan a los usuarios vulnerables durante demasiado tiempo.

¿Cómo se manifiesta esto en los tests? No tengo números recientes, pero durante este último año he podido realizar varios análisis de rendimiento en la detección de varios productos antivirus. Los gratuitos no eran los mejores en términos absolutos, pero lo hicieron realmente bien, destacando Avira Antivir, siendo avast! también un producto realmente competitivo.

Steckler también enfatiza que los productos gratuitos, entre ellos avast!, no tienen una protección reducida. Protegen tanto tu navegador de internet como el acceso a archivos; por ejemplo, avast! escanea el stream HTTP de manera completa. Esta entrada del blog oficial de avast! es un ejemplo de lo que está siendo usual estos días: un SQL injection usado para pervertir los resultados de las búsquedas de Google. Estas acciones necesitan ser detectadas en el navegador o incluso antes para ser efectivas y eficientes.

Todas estas tecnologías, que algunos vendedores de productos de pago no incorporan, hacen que los productos gratuitos puedan ser igual de buenos (o mejores) que los comerciales. Pero si los productos gratuitos hacen todo esto, ¿por qué las mismas compañías venden productos premium? Evidentemente, porque algunos usuarios necesitan las características extra que éstos incorporan.

Pero mucha gente no las necesitan, o al menos no lo suficiente para pagar una suscripción anual por ellas. La entrada de Microsoft especialmente, sin tener en cuenta las expectativas que puedas tener en su producto, va a poner mucha presión en las compañías dedicadas al mundo de la seguridad…

El País ha publicado un artículo sobre seguridad informática bastante interesante.

En él podemos leer lo siguiente:

“Los ordenadores personales infectados con virus y controlados por delincuentes se han quintuplicado en los últimos cuatro meses y siguen subiendo, según informa la fundación Shadowserver…

Según Shadowserver, en junio había 100.000 ordenadores zombi en las botnets monitorizadas, mientras que en septiembre rozan los 500.000 y subiendo…

De los Santos reconoce que han aumentado los sitios infectados con virus, pero recuerda: "Para que culmine la infección, el usuario debe visitar el sitio con un navegador vulnerable y, en las últimas semanas, no se han descubierto fallos en navegadores que permitan ejecutar código". Por muchos virus que haya en una web, si no hay un agujero en el ordenador no pueden entrar. Aunque, puntualiza el experto: "Los internautas medios no suelen actualizar su sistema durante meses"…

Gabriel Agatiello, de Trend Micro, añade otros factores responsables del crecimiento de zombis, como el aumento masivo de personas con acceso a Internet y la poca seguridad de sus ordenadores: "Todavía encontramos muchos usuarios que piensan que con un antivirus es suficiente, o tan ingenuos para pinchar en enlaces de correos poco fiables".”

La clave desde nuestro punto de vista está en los dos últimos párrafos. El factor humano es el eslabón más débil de la cadena. Nosotros lo vemos cada día: como norma general un usuario medio/avanzado no suele resultar infectado, sin embargo el usuario particular (quizá cabría decir “normal” atendiendo a que compone el índice más alto) es el foco más asiduo de conseguir reunir una “granja de virus” en sus máquinas. Hemos visto casos realmente increíbles en los que la desinfección ha resultado un arduo trabajo.

De momento poca cosa se puede hacer al respecto. Soy de la consideración que poco a poco la gente va siendo más consciente del problema y que llegará el día en que incluso los usuarios novicios tendrán en cuenta las más elementales normas de seguridad. Pero para eso todavía queda mucho tiempo.

Según podemos leer en Hispasec:

“Desde finales del mes pasado, muchos usuarios están detectando un comportamiento extraño en su portapapeles. A la hora de copiar y pegar cualquier dato, encuentran que siempre aparece almacenada en este memoria una misma dirección de Internet, que no recuerdan haber copiado nunca. Copian algún dato en su “clipboard”, y cuando van a pegarlo esa información ya ha sido modificada y en su lugar se memoriza una URL…

El problema se debe a que por medio de la función “setClipboard” de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. La descripción se puede leer en la documentación de Adobe Flash citada a continuación: “El método System.setClipboard() permite a un archivo SWF reemplazar el contenido del portapapeles con una cadena de caracteres en texto claro. Esto no supone un riesgo de seguridad. Para proteger contra los riesgos que supone que contraseñas y otra información sensible sea cortada o copiada de los portapapeles, el método “getClipboard” de lectura desde el portapapeles no existe”…

El ataque (más molesto que peligroso) se está usando para secuestrar el portapapeles, pegando una URL que lleva a una página de un falso antivirus que resulta ser malware. En el caso concreto detectado en los últimos días, el código ActionScript malicioso venía incrustado en anuncios flash alojados en sitios legítimos que tienen un gran tráfico de visitas diarias, como Newsweek, Digg y MSNBC”

La solución:

“Para "liberar" el portapapeles y que vuelva a funcionar de forma normal, tan solo hace falta cerrar la pestaña del navegador con la que se está visitando en el sitio web susceptible de contener el flash especialmente manipulado.

Aviv Raff ha desarrollado una prueba de concepto que carga de forma persistente la cadena http://www.evil.com en el portapapeles, disponible desde http://raffon.net/research/flash/cb/test.html”

Los compañeros de Cosas que Pasan se están luciendo estos días publicando anécdotas y fotos sobre clientes que son infectados con falsos antivirus.

Esta vez el turno le toca a Antivirus 2009, un ejemplar relativamente reciente que según parece está afectando a cada vez más gente. Podemos leer un informe sobre este bicho también en el blog de Infospyware.

Una de los factores más importantes a destacar respecto a este malware es la gran dedicación que le dedican los programadores a engañar al usuario. Para empezar, ocasionalmente nos mostrará la clásica pantalla azul de error de Windows (también llamada BSOD, “pantalla azul de la muerte”):

Como nos cuenta BlackJack no es más que una imagen que simula este fallo. Después también aparecerá una copia del Centro de Seguridad de Windows en la que se nos dirá que no se ha encontrado protección y nos “sugerirá” la compra de este falso antivirus.

Hasta nos secuestrará la página de Google en nuestro navegador de internet para que aparezca algo como esto:

Quieren hacer creer al sufrido usuario que el mismo Google les recomienda comprar su producto.

Muchos productos antivirus suelen sacar sus versiones nuevas antes de que acabe el año en curso, por ejemplo en pocas semanas veremos las tiendas inundadas de las versiones 2009 de Panda, Kaspersky, etc. Esto se debe a una estrategia de márketing consistente en infundar al usuario una falsa sensación de desactualización. Imaginemos al pobre consumidor que adquiere en julio su flamante antivirus en su versión 2008 y en septiembre aparece la 2009: este usuario si quiere “estar al día” ampliará su licencia durante 1 año más para obtener la nueva versión, estando cazado para casi 2 años (peor que los contratos de telefonía móvil). Esta es una forma de comercializar con la que no estamos de acuerdo en absoluto y en la que nuestro querido avast! no ha caído nunca: las nuevas versiones son numeradas en cuanto a la versión del producto (4.6, 4.7, 4.8, etc.) y no se programan para fechas concretas sino cuando la actualización es requerida.

Pues bien, este falso antimalware se aprovecha de esta tendencia marcada por los “grandes” para hacer más creíble su “novedad”.

Su funcionamiento es el clásico: intenta hacer creer al usuario infectado que su ordenador está lleno de virus y spyware (que o son falsos o bien han sido introducidos por el mismo programa) y que debe comprar el software para poder deshacerse de ellas.

Para más información al respecto:

- Cosas que pasan: Antivirus 2009

- Infospyware blog: Antivirus 2009

En una de mis visitas a los blogs habituales me encuentro con un artículo que por su curiosidad me he permitido reproducir aquí. El compañero blogger de Cosas que Pasan  se ha enfrentado con el antivirus falso o “rogue” más sexy de la historia:

Es evidente que ya no saben cómo ingeniárselas para atrapar al usuario y hacerle caer en la trampa. Si nos fijamos toda la interfaz del malware está diseñada para que parezca que sea del propio Windows Vista.

Podéis ver la historia completa HACIENDO CLIC AQUÍ.

Leo en Websecurity una noticia que debería ser tenida en cuenta por todos aquellos que tengan el antivirus AVG instalado en su ordenador:

“El antivirus AVG Technologies ha actualizado su producto debido a un fallo de seguridad que permitía ataques DoS.
La vulnerabilidad está causada por la división por cero en el tratamiento de los paquetes UPX.
El fallo de seguridad ya está resuelto con está nueva versión que han lanzado, la versión 8.0.156 que soluciona el problema.
En está versión también han mejorado el módulo Search-Shield, que no escaneaba los sitios web de contenido malicioso hasta que el usuario hace clic en el enlace a la página de búsqueda.
Anteriormente, el vínculo pre-escanear escaneaba todos los sitios encontrados por una búsqueda en Google.
Este cambio ha sido motivado como respuesta a las masivas críticas por los administradores de red que se quejaban que enlace escanear utiliza demasiado ancho de banda para el análisis de su sitio web.
Fuente:

• AVG Antivirus UPX parsing Divide by Zero Advisory, nruns security advisory
• Program update AVG 8.0.156, description by AVG“

Estimados amigos lectores y usuarios de La tienda avast!, como habréis podido comprobar la web ha estado caída durante unas horas. Esto ha sido debido a que hemos acometido un cambio a un nuevo proveedor de hosting que ha resultado más costoso de lo previsto.

Por suerte aún así no se ha perdido nada de información en la web y tanto la tienda virtual, como el foro y el blog se encuentran tal cual estaban antes del cambio.

En la línea de las disculpas, nos toca humildemente pedir perdón a todos aquellos visitantes que se han encontrado con que la página no cargaba durante estas horas. También pedir disculpas a Keko de Servicio Técnico Dígame y a sus lectores. Este estupendo blogger publicó una entrada anunciando un próximo review que le hemos patrocinado sobre avast! Pro. La falta de previsión por nuestra parte hizo que la entrada se publicara justo cuando realizábamos el trasvase y fruto de ello fue que sus visitantes no pudieron acceder a nuestra web.

Según informa PandaLabs, una vulnerabilidad de los servidores Internet Information Server está posibilitando un ataque hacker masivo que ya ha afectado al menos a 282.000 páginas web, y que puede seguir afectando a muchas más.

A través de dicho problema de seguridad, los hackers pueden inyectar código SQL en todas las páginas que se encuentren alojadas en un servidor web. Dicho código está diseñado para redirigir a todos los visitantes de las páginas manipuladas a un sitio web malicioso, desde el que intentarán analizar el sistema en busca de otras vulnerabilidades que permiten descargar todo tipo de amenazas.

La situación se agrava por el hecho de que la mayor parte de las páginas afectadas no resultan sospechosas en absoluto y tienen, además, un elevado tráfico web.

Fuente y más información aquí.

Vía Hispasec podemos leer que se ha descubierto un agujero de seguridad en los drivers de sonido de Realtek, concretamente en el archivo rtkvhda.sys. Este fallo permitiría a un atacante ejecutar código con permisos de administrador.

Antes de que pienses que no puedes estar afectado porque eso de Realtek no te suena de nada, déjame decirte que la gran mayoría de placas base de hoy en día integran un chip de sonido de esta casa, por lo que deberías asegurarte.

Todos los controladores inferiores a la versión 6.0.1.5605 están afectados por esta vulnerabilidad.

Podéis descargaros la última versión de los drivers de Realtek HD Audio Codec Driver para Windows XP (32 y 64 bits) aquí, y para Windows Vista (32 y 64 bits) aquí.