avast! blog

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Leer más…

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Leer más…

Según podemos leer en Dealer World:

Diseñado inicialmente como una broma dirigida a una pequeña comunidad de moteros de la región central de Eslovaquia, el gusano Win32/Zimuse.A y Win32/Zimuse.B ha alcanzado notoriedad en todo el mundo. Se trata de una amenaza que sobrescribe todos los MBR de los discos disponibles con sus propios datos, haciendo inaccesibles los datos almacenados en el equipo del usuario. Además, la restauración de los archivos afectados es complicada, y requiere el uso de software especializado o la intervención de un experto. Por otra parte, si no se utiliza el método de desinfección adecuado, el gusano activa su modo destructivo, que consiste en la paralización total del equipo al que ataca.

El gusano utiliza dos vías de infección, bien a través de su inserción en webs legítimas, en forma de archivo ZIP autoextraíble o de programa de prueba, o bien a través de dispositivos, como las memorias USB. El hecho de que utilice dispositivos USB para propagarse es el responsable de su rápida diseminación, que se espera aumente todavía más.

Hasta la fecha, las dos variantes del gusano difieren en el método de difusión y en el tiempo de activación. Mientras que la variante Win32/Zimuse.A necesita 10 días para comenzar a distribuirse a través de dispositivos USB, la variante Win32/Zimuse.B necesita sólo 7 días para hacerlo. Además, el tiempo necesario para la ejecución de sus rutinas destructivas también se reduce en la variante Win32/Zimuse.B, desde los 40 días de la variante original, a sólo 20 días.

Como siempre en estos casos, recomendamos que el usuario se asegure de tener tanto su sistema operativo como su software antivirus lo más actualizados posible para hacer más difícil la entrada a estos virus tan peligrosos.

Hoy hemos conocido otro caso de falso positivo en un antivirus, concretamente en Kaspersky. Este famoso software de seguridad, usado por una cantidad ingente de personas en todo el mundo, ha creado gran alarma entre sus usuarios al identificar como infectadas con un troyano páginas web que mostraban publicidad de Adsense (Google), dándose el caso de que este sistema es usado en millones de sitios de internet.

Evidentemente, el mayor problema de este caso de falso positivo es la alarma creada, ya que lo usuarios no avanzados (una gran mayoría) han podido creer que páginas web de las que son asiduos visitantes representaban una amenaza para ellos.

Según informaciones de la propia Kaspersky, el problema fue solucionado unas 12 horas después de que se produjera la actualización de las bases de datos de virus que produjo tal situación.

Hace relativamente poco, avast! también fue noticia por un caso de falso positivo (ver aquí y aquí). En realidad, estas situaciones son más habituales de lo que la gente pueda pensar y no hay ningún antivirus famoso que no las haya sufrido en sus carnes en alguna ocasión. Aunque las empresas desarrolladoras hacen todo lo que está en sus manos para que no se produzcan falsos positivos, el alto índice diario de aparición de malware hace que los equipos de los laboratorios tengan que ir muchas veces contrarreloj. Pero no todo son efectos adversos: en el caso de avast!, sirvió para que ciertos procesos internos fueran mejorados y reforzados en vistas a que no pueda volver a suceder algo así, tal y como contábamos en este post.

Todo el equipo humano de Alwil Software y La tienda avast! deseamos a todos nuestros clientes, distribuidores, usuarios y lectores una muy feliz Navidad.

Recientemente hemos suscrito un acuerdo con el portal Renov-arte, página web de referencia en cuanto a energías renovables y arquitectura bioclimática.

Mediante este acuerdo, las empresas que estén registradas en este portal obtendrán un descuento en la compra de su antivirus avast!. De esta forma, queremos poner nuestro grano de arena para ayudar a hacer de este mundo un lugar más verde.

Si además tenemos en cuenta que hasta final de año está vigente la promoción 3×2 (tres años de actualizaciones por el precio de dos), las compañías que se dedican a las energías renovables tienen una oportunidad única para proteger sus equipos a un precio imbatible. Porque cuantos más recursos puedan dedicar a I+D, más nos beneficiamos todos.

Recientemente, Symantec ha publicitado dos test realizados por lo que ellos denominan “el respetado e independiente Laboratorio Dennis Technology”. El primero es una comparación de Norton 2009 Antivirus y la beta de Microsoft Security Essentials (MSE), en el cual se concluye que Norton es muy superior al producto de Microsoft. El segundo es una comparativa de 10 productos antivirus (incluyendo avast! Home) para determinar cuál es el mejor en detectar 40 páginas web infectadas, siendo otra vez Norton el mejor (en su versión Internet Security). No hace falta decir más, estos informes y sus resultados son altamente sospechosos.

¿Por qué encargan las compañías antivirus estos test? Usualmente porque no pueden conseguir los resultados que ellos quieren de probadores independientes. ¿Por qué los laboratorios de pruebas hacen estos test? Porque cobran por ello. ¿Por qué las compañías antivirus no hacen sus propios test y publican sus resultados? Porque saben que nadie creería los resultados.

Los dos informes de los que hablábamos al principio de este post han tenido mucha cobertura tanto en los medios tradicionales como en los blogs. En algunos casos son descritos como “subvencionados por Symantec”, en otros como “independientes” sin mencionar el patrocinio de dicha empresa.

Vincent Steckler, CEO de avast!, se intrigó porque no había oído hablar nunca del Laboratorio Dennis Technology, a pesar de que en las notas de prensa que distribuyó Symantec era descrito como “independiente” y “respetado”. Sí que sabía de la existencia de otros como “West Coast Labs”, “AV-Comparatives”, y otros laboratorios que sí son “reputados” e “independientes”. Así que decidió investigar sobre ese laboratorio en Google… y no encontró nada (refiriéndonos al laboratorio en sí y no a los informes). Finalmente, lo encontró en la lista de miembros de la Organización de Estándares para las Pruebas de Anti-Malware (http://www.amtso.org/members.html), AMTSO, que es una organización de la que avast! y muchas otras compañías de seguridad son miembros.

Así pues, Vincent hizo click en el enlace que le aparecía, esperando ver la página web del Laboratorio Dennis Technology. Y aquí es a donde llegó:

Leer más…

En Yahoo Tech ha sido publicado un artículo en inglés, escrito por Jordan Robertson, que por la importancia que puede tener para los usuarios hemos procedido a traducir y adaptar a nuestra lengua:

De todas las cosas siniestras que los virus que se propagan por internet pueden hacer, esta debe ser la peor de todas: convertir tu ordenador en un almacén de pornografía infantil sin que el usuario sea consciente de ello.

Atroces fotos y vídeos pueden ser depositados en vuestros ordenadores por virus, programas maliciosos que son más conocidos por buscar números de tarjetas de crédito. En este caso, es tu reputación la que puede ser golpeada.

Los pedófilos pueden explotar PCs infectados para almacenar y ver remotamente su material sin miedo a ser cogidos por ello. Es más, alguien que quiera gastarte una broma pesada (o con una intención menos benévola) puede usar estas herramientas para simular que tú mismo estás visitando páginas web ilegales. Sea cual sea la motivación, puedes tener pornografía infantil en tu ordenador y no darte cuenta de ello hasta que la policía llame a tu puerta.

Una investigación de Associated Press encontró casos en los que gente inocente fue catalogada como pedófila después de que sus compañeros de trabajo o sus parejas encontraran pornografía infantil en sus PCs, puesta ahí por algún virus. Esto puede costar a la víctima un gran cantidad de dinero, con el objetivo de probar su inocencia. Estas situaciones se complican por el hecho de que hay muchos pedófilos verdaderos que culpan a los virus de los archivos que se encuentran en sus máquinas, por lo que este argumento de defensa es visto con escepticismo por las fuerzas de la ley.

“Es una variante actual de la conocida excusa de que el perro se comió mis deberes”, dice Phil Malone, director de Cyberlaw Clinic (Harvard’s Berkman Center for Internet & Society). “El problema es que, efectivamente, en alguna ocasión efectivamente el perro se come los deberes”.

La investigación de Associated Press incluyó entrevistas a gente a la que se le encontró pornografía infantil en sus ordenadores, fiscales, policías e informáticos forenses, así como grabaciones de juicios. En 2007, Michael Fiola fue encontrado sospechoso después de que se comprobara que su portátil estaba usando una cantidad de datos bastante superior al de sus compañeros. Un técnico encontró pornografía infantil en la carpeta de su PC donde se almacenan las imágenes que vemos en las páginas web.

Fiola fue encausado por posesión de pornografía infantil, delito que puede acarrear hasta 5 años de prisión. Recibió amenazas de muerte, le cortaron los neumáticos de su coche y fue repudiado por sus amigos. Él y su esposa lucharon en el caso, gastándose 250.000 dólares en actuaciones legales. Liquidaron sus ahorros, hicieron una segunda hipoteca y vendieron su coche. Una inspección ordenada por su defensa reveló que su portátil estaba severamente infectado. Estaba programado para visitar al menos 40 páginas web con contenido pedófilo por minuto (algo que escapa de una capacidad normal de un ser humano). Mientras Fiola y su mujer estuvieron un día fuera para cenar, alguien accedió a su ordenador  y estuvo obteniendo material pornográfico durante una hora y media. Los fiscales ordenaron otro test y confirmaron los descubrimientos de la defensa. Los cargos fueron retirados… 11 meses después de que fueran emitidos.

Fiola y su mujer revelan que han tenido problemas de salud a causa del stress sufrido durante el caso. “Esto arruinó mi vida, la vida de mi mujer y de mi familia”, dijo. La oficina del fiscal de Massachussetts, que enjuició a Fiola, ha rehusado hacer declaraciones.

En este momento, cerca de 20 millones de ordenadores de todo el mundo se estima que están infectados con virus que pueden ofrecer control total de los mismos a los hackers, según el desarrollador de software antimalware F-Secure. Los ordenadores muchas veces resultan infectados cuando la gente abre los archivos adjuntos que vienen en los correos electrónicos desde destinatarios desconocidos o cuando visitan páginas web maliciosas.

Los pedófilos pueden explotar los virus de varias maneras. La más sencilla es forzar el ordenador de alguien a visitar sitios web con pornografía infantil, almacenando las imágenes en el proceso. Es más, un ordenador puede ser convertido en un almacén para imágenes y vídeos que pueden ser vistos cuando dicho ordenador se encuentre online.

“Pueden ser como langostas que van a un campo de maíz: se lo comen todo y después se van a otro campo", dice Eric Goldman, director académico del Instituto Legal de Alta Tecnología de la Universidad de Santa Clara. Goldman ha representado a empresas web que han descubierto a pedófilos usando sus sistemas para cometer estos actos ilegales.

Pero, tal y como hemos dicho, en ocasiones no son los pedófilos los que están envueltos en estas actuaciones, también puede hacerlo alguien que desee dañar al propietario del PC infectado. En el primer caso público de particulares que fueron víctimas de esta situación, dos hombres en el Reino Unido fueron declarados inocentes de ser responsables de tener pornografía infantil en sus PCs. En un caso, un mail infectado o un pop-up publicitario infectaron el PC del usuario y el virus descargó las imágenes ilegales. En el otro, un virus cambió la página principal en el navegador del usuario para mostrar pornografía infantil, siendo descubierto este hecho por la hija de 7 años del afectado. Este hombre pasó más de una semana en prisión y perdió la custodia de su hija.

Chris Watts, un técnico de Gran Bretaña, cuenta que ayudó al director de un hotel cuyos compañeros encontraron pornografía infantil en el PC que éste compartía con ellos. Watts encontró que mientras esta persona navegaba por Internet en busca de programas para piratear videojuegos, uno de los sitios estaba programado para redirigir al visitante a sitios de pornografía infantil si el usuario estaba inactivo por un cierto período de tiempo. En todos estos casos, la evidencia principal es indiscutible: había pornografía en el ordenador. Pero probar cómo llegó a él es más difícil.

Tami Loehrs, que inspeccionó el ordenador de Fiola, recuerda otro caso en Arizona en el que había un ordenador infectado de manera importante, de tal manera que era virtualmente imposible determinar la acusación: que un chico de 16 años usó el PC para subir pornografía infantil a un grupo de Yahoo. Los fiscales desestimaron el cargo y el chico fue acusado de otro crimen que no implicaba pena de prisión, aunque afirmaron que tuvieron esta consideración por la edad del chico y por la ausencia de antecedentes penales.

El artículo es más extenso, pero con lo que hasta aquí hemos reproducido creo que queda muy claro el peligro que se quiere exponer.

Uno de los métodos más usados por la gente que quiere usar programas sin pagar el precio establecido de los mismos es el keygen, o generador de claves. Según podemos leer en la Wikipedia, un keygen es:

“… un programa informático, generalmente ilegal, que al ejecutarse genera un código para que un determinado programa de software de pago en su versión de prueba (Shareware) pueda ofrecer los contenidos completos del programa. Normalmente los keygens son archivos ejecutables (en formato *.exe) que se ejecutan sin necesidad de ser instalados.

Es muy común el pensar que un keygen y un crack son lo mismo. Lo cierto es que, aunque se utilizan para lo mismo, usan sistemas diferentes: mientras que un keygen es un ejecutable que genera un código para poder desbloquear el programa, un crack simplemente hace una modificación sobre el programa para poder "completarlo".

Los creadores de los programas "keygen" introducen en dicha aplicación el algoritmo utilizado para generar los códigos de desbloqueo, y permite al usuario obtener infinitos códigos…”

Pues bien, según podemos leer en Softzone recientemente ha ocurrido otro caso de keygen infectado por malware. Concretamente el generador de claves infectado estaba destinado a ser usado para activar el antivirus Kaspersky (en sus versiones Kaspersky antivirus 2010, Kaspersky Internet Security 2010 y Kaspersky Simple Scan 2010) sin abonar la correspondiente licencia.

Cuando el usuario abría el keygen estaba al mismo tiempo instalando un troyano en el sistema sin su conocimiento. Imaginamos que dicho troyano habría sido anteriormente comprobado para asegurarse de que este antivirus no lo detectaba, ya que sino sería un sinsentido enorme: si un usuario va a usar un keygen para Kaspersky, generalmente será porque lo tiene instalado en su sistema.

Esto no es más que otra muestra de que el uso de keygens o sistemas de crackeo de programas pueden, en muchas ocasiones, reportar más daños que beneficios. Además, desde hace ya mucho tiempo se viene constatando que una de las vías más frecuentes de infección es el uso de estos programas ilegales.

Por otra parte, en este blog hemos comentado en muchas ocasiones que existen muchas alternativas gratuitas a los antivirus de pago, como avast! Home (que salvo cambios de última hora pasará a ser denominado avast! Free cuando salgan las nuevas versiones 5 de nuestro antivirus), que resultan tanto o más efectivas que algunos antimalware comerciales. Por lo tanto no vale la pena arriesgarse a tener que realizar actividades ilícitas para conseguir una protección óptima de vuestro ordenador.

Varios exploit packs están haciéndose muy populares en los últimos días, ya que su uso permite una vía fácil de infectar miles de ordenadores en todo el mundo. Cada pack de exploits puede estar compuesto por un sólo fichero que contiene todo el malware, o bien en archivos separados por cada exploit. Esta última técnica parece que se va imponiendo por resultar más efectiva, ya que los antivirus puede que sólo detecten parte de los exploits. De esta manera, se podría aprovechar la parte que el antivirus no detecta para infectar la máquina del usuario. Este artículo describe la estructura y actividad de uno de los packs de exploits más complejo.

Este pack fue descubierto hace relativamente poco en varios servidores ubicados en China. En el momento de su descubrimiento, avast! detectaba de manera parcial los exploits que este paquete contenía (el resto de detecciones se añadieron después de poder analizarlo). No se trata realmente de un nuevo pack, sino más bien de una nueva versión, lo cual significa que sus creadores hicieron los cambios necesarios para hacer más difícil la detección por parte de los antivirus. Su complejidad es muy alta como podréis observar en este diagrama:

El paquete contiene cerca de 40 ficheros incluyendo redireccionadores, comprobadores de vulnerabilidad, exploits y shellcodes. Como vemos en la imagen, hay dos ramas inútiles: una para el exploit PDF (el fichero está dañado y por tanto no puede ser abierto) y otra probablemente para un exploit SWF (que da un error 404). De todas maneras, hay todavía 11 exploits listos para atacar. Todos ellos son detectados por avast!.

No deja de ser interesante mostrar al lector cómo otros motores antivirus están manejando este complejo paquete, así que se ha preparado este imagen que esperemos sea clarificadora:

Leer más…