avast! blog

Como nuestros seguidores en Twitter ya saben, al igual que sucedió el año pasado uno de los miembros de La tienda avast! está presente en la Campus Party de Valencia, la cual celebra este año su 15 aniversario.

De momento esto implica muchas horas delante del ordenador y poco tiempo de sueño . Pronto publicaremos algunas fotos para que os hagáis una idea de lo que un evento de estas características significa. Y es que somos unas 6000 personas en la Ciudad de las Artes y las Ciencias de Valencia, cada cual con su ordenador sea éste portátil o torre.

Para celebrarlo, qué mejor que con un descuento en vuestro antivirus favorito, ¿verdad? Durante esta semana, es decir hasta el domingo día 17 (inclusive), todas las compras realizadas en nuestra tienda online disfrutarán de un descuento del 10% sobre el PVP.

Para disfrutar de este descuento, tan sólo tenéis que indicar el código de cupón “campusparty” (sin las comillas) en el apartado específico que os aparece al realizar un pedido, justo debajo de “Agregue los comentarios sobre su orden”:

Nos vemos en la Campus!!!

Si eres una persona medianamente interesada en asuntos de seguridad informática, seguro que habrás visto aplicaciones para crear contraseñas. Para aquellos que no saben de qué hablamos, este es el proceso en el que funcionan:

- El usuario se descarga la aplicación generadora de contraseñas

- El usuario ejecuta la aplicación y aprieta el botón “generar”

- Aparece una cadena que será similar a esto: I8kjH9s&ER1()G

- La cadena será usada como contraseña por el usuario en su mail, Facebook, Twitter, etc.

Después de esto, tenemos dos opciones:

- El usuario olvida la contraseña inmediatamente

- O, mejor aún, para asegurarse de que no la olvida, la apunta en un papel o post-it y lo pega en la pantalla. Si hay varias contraseñas difíciles, también es típico que se escriba algo como “mi e-mail” en el papel o post-it, vamos, para que cualquiera que pueda verlo no tenga dudas de dónde ha sido usada.

Está bien, vamos a aprender cómo crear contraseñas o passwords seguros, y veréis que incluso podremos ir cambiando nuestras claves más a menudo de lo que lo hacíamos antes (otra medida recomendable de seguridad). Porque, a veces, crear contraseñas puede ser divertido.

Empecemos!!!

Leer más…

En 2010, AVAST notó que la mayoría de infecciones por malware ocurrían vía páginas web comprometidas, más que a través de e-mails maliciosos, que había sido la principal fuente de infecciones hasta entonces.

Pero los “buenos” criminales te los encuentras donde menos te lo puedes esperar.

Hace unas semanas, vimos un ejemplo de e-mail con intenciones de phishing, el cual se denomina “vishing”, ya que usa la voz (VOIP) como agente en el proceso de scam. Más recientemente, vimos una historia en The Washington Post (“Google dice que hackers ubicados en China han accedido a cuentas de Gmail de personal militar y político”) en la que se detallaba cómo Google actuó como un ciberpolicía al detectar “gran cantidad de accesos desde Jinan, China, a cuentas de correo de oficiales del gobierno de EEUU y personal militar”. Según parece, el phishing fue el método usado para esta brecha de seguridad.

Lo que nos lleva al título de este post, es que hace unos días vimos un correo que llegó a una cuenta de Gmail (dos filtros antispam lo dejaron pasar), el cual parecía a simple vista un mail legítimo de YouTube, diciendo que “su vídeo fue aprobado”:

Normalmente, es una buena costumbre comprobar que el link apunta a donde debería antes de hacer clic en él. En este caso, bastó un vistazo para observar que este no era el caso, ni mucho menos:

Leer más…

Cuando se hace un análisis de malware, es muy común encontrar muestras que usan todo tipo de ofuscación con el objetivo de ocultarse del antivirus que protege tu ordenador. Esto es especialmente verdad en los casos de malware escritos en Flash (más específicamente, ActionScript). Flash es muy popular entre los desarrolladores de malware actualmente, ya que la gente está usando este formato de manera masiva diariamente. En muchas ocasiones, los usuarios ni siquiera son conscientes de que es Flash lo que hace que puedan ver esos efectos tan bonitos que pueblan sus pantallas. Recientemente, hemos tenido acceso a una muestra que usa un truco bastante bueno para ocultar su propósito ante las miradas de quien quiere mirar sus entrañas. Lo que resulta más interesante es que la muestra es actualmente más pequeña de 140 bytes, lo cual significa que podría caber en un mensaje de Twitter. Esto no es usual entre los ficheros Flash, que tienen a ser considerablemente más grandes. Pero no os asustéis, esto no quiere decir (ni mucho menos) que alguien se pueda infectar mirando el código en Twitter, a no ser que se expanda a través de links maliciosos, pero eso es otra historia.

Aparte de lo pequeño que es… ¿qué más hay que llame la atención? Vamos a echar un vistazo. Aquí tenemos la vista hexadecimal:

Nara raro que ver aquí, porque estamos viendo un fichero flash comprimido (mirad la cabecera CWS al principio). Bien, vamos a descomprimirlo y volvamos a mirar:

Leer más…

Ondrej Vlcek, jefe de de tecnología de Avast, ha anunciado a CNET que la compañía está preparando un nuevo producto para dispositivos con Android, concretamente los que están abiertos o rooteados.

Entre el 15 y el 20 por ciento de los Android, según Vlcek, están rooteados – modificados para habilitar permisos de superusuario-. Al igual que ocurre con los iPhone hackeados, estos dispositivos pueden utilizar más aplicaciones, más allá de las aprobadas en las principales tiendas, y por tanto corren más peligro de infecciones de malware.

Ya existen aplicaciones de seguridad para Android, pero Avast espera ganarse a los usuarios gracias a su marca y a funciones como localización del teléfono o control parental, todo en una aplicación gratuita.

Avast ha conseguido colocarse en 130 millones de ordenadores gracias a un modelo freemium, que ofrece un antivirus gratuito con posibilidad de condiciones especiales en el servicio de pago. Ahora esperan ampliar su negocio con los dispositivos portátiles, sistemas de gestión de contraseñas, servicios de copia de seguridad y llaves VPN para ofrecer conexiones seguras desde ordenadores y móviles.

En la entrevista, Vlcek habla de algunos otros aspectos del futuro de Avast a partir de 2012, como el desplazamiento de parte de las definiciones de virus a tecnologías en la nube. Teniendo en cuenta la enorme base de usuarios de Avast, esto implicaría un mayor aprovechamiento de esta característica que otras marcas de antivirus con un número de usuarios menor. También se menciona la incursión de la marca en nuevos terrenos como copias de seguridad online y gestores de contraseñas a través de acuerdos con actores tan asentados en el mercado como Mozy y Roboform.

Pues sí, parece que existe un virus inmortal… al menos en comparación con el ciclo de vida habitual del malware. Aunque existe gran cantidad de familias de malware con un tiempo de existencia muy corto, sólo hay unos pocos que tengan lo que se puede considerar una “larga vida”. Parite (también conocido como Pinfi) – un jugador con mucho tiempo en el campo – es uno de ellos. Parite sobrepasará el hito de los 10 años este octubre… ¡10 años! ¿Podéis recordar cómo era vuestro ordenador hace ese tiempo? 10 años son una eternidad en el mundo de la informática. Para darse cuenta, sólo habría que hacer una lista de las cosas que han cambiado en ese período, empezando por la evidente evolución de Windows y de los antivirus. Pero, a pesar de todos esos cambios, Parite todavía está con nosotros.

Esto resulta, cuanto menos, sorprendente. Aquí tenemos cinco razones por las cuales Parite tendría que haber desaparecido:

- No tiene una red de distribución o actualización

- Es trivial

- Es de sobra conocido y detectado

- La gran mayoría de motores antivirus (incluyendo el nuestro) son capaces de curar completamente la infección (durante un escaneo regular o usando herramientas de desinfección específicas)

- La gente suele reinstalar/formatear su sistema operativo de vez en cuando, dando como resultado un PC libre de malware al menos inmediatamente después de estas actuaciones.

Pero, aún así, hay decenas de envíos de muestras de Parite en nuestros sistemas cada día (y no son falsos positivos). Creemos que la mayor parte de estas distribuciones se producen por intercambio de archivos entre amigos (sin contar las propagaciones a través de elementos compartidos en redes locales). Y es aquí donde los usuarios individuales deben tomar su decisión: ¿Debo confiar en que el archivo que me está pasando mi amigo, y que avast! detecta como infectado, está limpio o debo creer a mi antivirus?. Parite puede ser inmortal tanto tiempo como el primer grupo de usuarios no cambie su manera de pensar. Y entonces tendremos que decirle a Parite “feliz cumpleaños” en Octubre, en vez de “descanse en paz”.

AVAST Software, desarrollador del galardonado  programa antivirus avast!, está detectando un creciente número de ataques de malware dirigidos a la función de ejecución automática en Windows y dispositivos USB. Los investigadores encontraron que, de los 700.000 ataques registrados en los equipos de la CommunityIQ de avast!  durante la última semana de octubre, uno de cada ocho ataques – el 13,5% – llegó a través de dispositivos USB.

El punto clave de ataque del malware es el “AutoRun”, característica de los sistemas operativos Microsoft Windows. La ejecución automática alerta a los usuarios informáticos cuando un nuevo dispositivo, como una tarjeta de memoria, está conectado y está diseñado para ayudarles a elegir qué aplicación debe ejecutar con los nuevos archivos.

“AutoRun es una herramienta realmente útil, pero también es una forma de distribuir más de dos tercios del malware actual. La amenaza del malware distribuido mediante dispositivos USB es mucho más amplia que sólo los ataques de Stuxnet en los equipos de empresas – que se extendió también a través de las memorias infectadas USB “, dijo el analista del laboratorio de virus Jan Sirmer. “Los ciberdelincuentes se están aprovechando de la  inclinación natural de la gente a compartir con sus amigos y la cada vez mayor capacidad de memoria de los dispositivos USB. Ponga los dos factores juntos y tenemos un escenario interesante. “

Esta característica, AutoRun, se usa mal cuando un dispositivo USB infectado por “INF: AutoRun gen2 [Wrm]“, término genérico de avast! para este tipo de software/gusano malicioso, se conecta a un ordenador. El dispositivo infectado -no sólo una tarjeta de memoria, sino, potencialmente, cualquier dispositivo con una capacidad de almacenamiento masivo, tales como una cámara digital, una PSP, algunos teléfonos móviles y reproductores de mp3 – inicia un archivo ejecutable que a su vez invita a una amplia gama de software malicioso al equipo. Las copias de software malicioso entrante en el núcleo del sistema operativo Windows y puede replicarse a sí mismo cada vez que se inicia el equipo.

Del total de los ataques de “INF: AutoRun gen2 [Wrm]“, el 84% de los intentos fueron repelidos por las exploraciones en acceso del  Escudo del Sistema de avast!. El malware se ha detectado en el momento en el que el dispositivo USB se conecta inicialmente. El 16% restante fueron descubiertos durante las exploraciones de los discos duros de los equipos.

Leer más…

Según podemos leer en esta noticia de IDG, los antivirus gratuitos resultan ser los más usados.

Opswat… han concluido que, a pesar de que marcas como Symantec o McAfee son muy conocidas, sus soluciones de seguridad no dominan necesariamente el mercado en lo que a instalaciones se refiere. El 42 por ciento del mercado, según el informe, está compuesto por productos gratuitos…

Así, programas gratuitos dominan los cuatro primeros puestos en lo que a soluciones de seguridad se refiere. Avast Free Antivirus, con el 11,45 por ciento; Avira AntiVir Personal Free Antivirus, con el 9,19 por ciento; AVG Anti-Virus Free, con el 8,6 y Microsoft Security Essentials con el 7,48 por ciento…

El artículo también habla de la posible influencia de la crisis económica en el hecho de que cada vez más usuarios opten por utilizar programas gratuitos de seguridad. Y vosotros, ¿qué creéis? ¿Es la recesión económica actual la que hace que más gente use antivirus gratis o el hecho de que estos productos se han ganado la confianza necesaria?

El tema de los falsos positivos es algo recurrente en el mundo de los antivirus. Hemos hablado varias veces de ello, incluso nuestro querido avast! no ha sido inmune a esta circunstancia. Esta vez ha sido McAfee la empresa víctima de un error que ha dejado dañados un número inmenso de ordenadores que tenían su solución antivirus instalada.

Según podemos leer en esta noticia de Infospyware, el “Miércoles 21 de Abril del 2010 seguramente será recordado como un Miércoles Negro para la multinacional compañía de seguridad Antivirus McAfee, al igual que para los cientos de millones de compañías y usuarios finales que utilizan este producto. Tras la actualización 5958 liberada por la empresa el día de hoy, McAfee Antivirus detecto por error un virus llamado W32/Wecorl.a que dejó a todos sus usuarios de Windows XP SP3 con problemas en sus PCs.

El falso positivo hizo saltar las alarmas del Antivirus e intentó eliminar al intruso. En realidad, lo que estaba eliminado era el archivo “svchost.exe”, importante para el funcionamiento del sistema Windows XP, causando el inmediatamente reinicio del sistema y aunque puede volver a arrancar, seguirán recibiendo cada cierto tiempo que debe reiniciarse debido a un error grave del sistema.

… Numerosos usuarios han denunciado a través de Twitter la anomalía y sus dificultades para acceder a sus equipos. Aunque todavía no hay una confirmación de cuántos equipos han sido tumbados, pueden ser miles o cientos de miles, e incluso algunos sitios especializados de internet apuntan a millones. Gizmodo apunta que en una única empresa británica hay al menos 100.000 equipos  afectados, al igual que por la red se pueden encontrar varias instituciones, Universidades, departamentos de Policía, Particulares y hasta Hospitales con problemas en sus equipos tras este fallo.”.

Podéis leer el artículo completo aquí.

Tal y como podemos leer en la Wikipedia: “ILoveYou (o VBS/LoveLetter) es un gusano informático escrito en VBScript, que en mayo de 2000 atacó a aproximadamente 50 millones de computadores alrededor del mundo, provocando una pérdida de más de 5.500 millones de dólares en daños.” (más info aquí).

La encriptación/ofuscación de Javascript o HTML puede ayudar a proteger el trabajo del diseñador de una página web, de manera que se dificulta la copia de la misma. Pero esta actuación está bajo una gran controversia: como norma general, la encriptación y la ofuscación son propios de scripts maliciosos. En avast! procedimos a añadir la detección de un extraño script que encontramos recientemente, que bautizamos como JS:LoverCrypt-A [Trj].

El principio y el fin de dicho script lo mostramos más abajo en la imagen, y podréis ver las partes importantes subrayadas en rojo. Estamos ante una ofuscación bastante inusual: la cadena “ILOVEYOU” se usa para reconstruir la cadena “eval” usando la secuencia substring -> split -> reverse -> join -> toLowerCase –> replace. Raro, muy raro. Pero no es lo único desconcertante en este script. El script original está oculto bajo una larga cadena, que consiste en un número limitado de caracteres que son desencriptados usando la última secuencia de llamadas a función (se muestra en la última línea de esta imagen, clic para ampliar):

¿Quién usaría esto para un objetivo legítimo? En principio, no es posible creer que algo así sea utilizado por una gran empresa, ¿verdad? Pues bien, hemos tenido que eliminar esta muestra de nuestra base de datos porque este script pertenece a un portal de noticias de la República Checa (es parte de su nuevo sistema de anuncios). Y todavía estamos esperando una respuesta a estas preguntas:

Leer más…