avast! blog

Una de las consultas que más recibimos es relativa a usuarios de avast! que nos informan de que el antivirus está detectándoles amenazas en páginas web que dichos usuarios afirman que son “de confianza”. Como muestra clara, podéis leer este hilo en nuestro foro:

http://www.avast.es/foro/viewtopic.php?f=2&t=407

Es muy importante tener en cuenta que, en muchos casos, los administradores de una web pueden no ser conscientes de que están propagando infecciones. Por ejemplo, algún hacker puede haber accedido a los archivos que están en el FTP que contiene la página y modificarlos posteriormente sin que el administrador se percate de este hecho.

Las infecciones que son producidas por sitios web de confianza se basan, en ocasiones, en encriptaciones bastante simples que son fácilmente detectables por usuarios avezados. Sin embargo, en muchos casos se usan algoritmos bastante complejos que tienen como fin último ocultar el proceso de redirección. Pero sea cual sea el método utilizado, el objetivo siempre es el mismo: redireccionar a los visitantes a páginas propagadoras de malware que incluyen algunos packs de exploits.

Hay también muchas infecciones que intentan imitar servicios muy conocidos y de confianza (en muchos casos de Google), siendo el más usado Google Analytics. Empieza con algunos pequeños cambios en las urls usadas por estos servicios, como por ejemplo cambiando “analytics” por “analitics”. En este artículo vamos a describir dos infecciones recientes que imitan este famoso servicio de Google de manera bastante compleja, y que a primera vista parecen ser legítimas.

Primero, vamos a mostrar el código original usado por Google Analytics:

JS:Redirector-T [Trj]

Este código fue detectado el 16 de Junio de 2009. Se trata de una imitación del código original de Google Analytics. La siguiente imagen muestra el código de la infección:

Leer más…

Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.

Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.

Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?

Leer más…

Hace ya algún tiempo, saltó a la fama cierto tipo de virus que destacaban por realizar un enfoque totalmente diferente en su actividad delictiva a lo que estamos acostumbrados. Su cometido era encriptar ciertos documentos del usuario infectado, de manera que luego se pedía una cantidad de dinero para que dichos archivos fueran devueltos a su estado original. Evidentemente se centraban en ficheros con extensiones críticas (como por ejemplo Word e imágenes, sobre todo si se encontraban en directorios típicos de almacenamiento como Mis Documentos). Cuántos de nosotros no habríamos pagado una cantidad de dinero, siempre que estuviera en un rango aceptable para nuestro bolsillo, por recuperar esa información.

Pues bien, según nos informan en Dealer World, esta manera de actuar ha cambiado. Como comentario personal diré que no me parece muy adecuado el título de la noticia (“El secuestro express llega a los PC”), ya que como he contado esta manera de actuar en cierto malware no es ni mucho menos nueva. Pero sí que es verdad que ahora se han vuelto más “descarados”.

Otro tipo de software perjudicial que ha predominado últimamente son los rogueware: programas que se presentan como antivirus o antispyware que son sumamente invasivos y que tienen como objetivo hastiar al usuario a base de mensajes falsos de infección, para que dicho usuario proceda a la compra de dicho producto con el fin de quitar las supuestas (más bien falsas) amenazas. En otras palabras, son falsos antivirus y antispyware que te hacen creer que tu ordenador está lleno de malware cuando en realidad lo único que están buscando es crear miedo al usuario para que éste proceda a comprar la licencia oportuna que “mágicamente” hará desaparecer todo el peligro.

Leer más…

El crecimiento experimentado por Alwil Software en los últimos años ha obligado a la empresa a tener que buscar una nueva sede en la que poder operar en condiciones óptimas. Así pues, septiembre fue el mes en el que el equipo desarrollador de avast! tuvo su “día de mudanza”.

Tenéis una imagen del nuevo edificio más abajo. En éste hay disponible tres veces más espacio que en el anterior, cerca de 2600 metros cuadrados. Por otra parte, otros aspectos no menos importantes también son mejores, como por ejemplo una mayor conectividad, sistemas de alimentación ininterrumpida y comunicaciones/transporte.

Otra muestra más de que 2009-2010 será un período de grandes cambios, para mejor, en todo lo que concierne a avast! antivirus.

Hace un par de meses, surgió la noticia de que el líder de una red de hacking había sido procesado por el robo de los datos de 130 millones de tarjetas de crédito y débito en los Estados Unidos. No es algo que a esta persona le viniera de nuevo porque ya estuvo en la cárcel por cargos similares en 2006, aunque esta vez el volumen del robo no deja de ser sorprendente.

Vamos a detallar algunas de las características más importantes de este acto:

- Esta persona, y su banda, no necesitaron usar métodos demasiado sofisticados. No fueron hackers expertos, en el sentido que no tuvieron que acceder remotamente a la red de los emisores de las tarjetas. En lugar de esto, tomaron un camino más fácil: ir conduciendo con un portátil encima para buscar redes no protegidas.

- Una vez conectados a estas redes no seguras intentaban hackear los sistemas de las empresas o usuarios para conseguir los datos. Hay un gran mercado negro en el que los números de tarjetas de crédito válidos se pagan muy bien.

- Los restaurantes fueron objetivos prioritarios porque “suelen fallar en tener sus antivirus y sistemas actualizados”.

- Al mismo tiempo que se dedicaba a esta actividad delictiva, trabajaba también para el Servicio Secreto de Estados Unidos como informador. Esta es una de las principales razones por las que avast! y la gran mayoría de empresas de seguridad rechazan contratar hackers “reformados”.

Así pues, a pesar de que ningún usuario normal tiene millones de números de tarjetas de crédito en sus ordenadores, sí tenemos todos muchos documentos e imágenes que pueden ser personales y privados. Al igual que los restaurantes, tiendas, etc. que fueron víctimas del hacker del que hablamos, también podemos ser vulnerables ante ataques si no tomamos las precauciones oportunas:

Leer más…

Acabamos de abrir una cuenta en Twitter para este blog, con la intención de que los lectores que estéis en esa red social podáis seguir tanto nuestras actualizaciones de artículos como también conocer otras fuentes de información que iremos publicando sobre avast!.

Nuestro nombre en Twitter es avastblog, y el enlace directo:

http://twitter.com/avastblog

¡Nos vemos leemos por allí!

Un total de 13 actualizaciones para solventar 34 vulnerabilidades. Se trata del mayor paquete de actualizaciones que Microsoft ha lanzado para reparar los problemas de seguridad en distintas versiones de Windows, incluido Windows 7.

Los 34 agujeros de seguridad suponen un récord para Microsoft desde que hace seis años decidiera lanzar actualizaciones de seguridad seguridad mensuales. El anterior hito está registrado en diciembre de 2008, cuando se corrigieron 28 agujeros.

Microsoft califica a 8 de las 13 actualizaciones (y 21 de las 34 vulnerabilidades) como “críticas”, el nivel más alto de los cuatro que conforman su clasificación. El resto son consideradas como “importantes”. Entre los parches se encuentras varios para vulnerabilidades de día cero (agujeros para los que la explotación del código ya se ha hecho pública).

Recomendamos a todos los usuarios que usen Windows Update para poner al día su sistema operativo dada la importancia de esta última actualización.

Como muchos de vosotros sabréis, Microsoft ha sacado a la luz su producto de seguridad gratuito hace escasos días. Se denomina MSE (Microsoft Security Essentials) y es el sustituto del anterior One Care. Es interesante ver la cobertura de prensa y la reacción por parte de los competidores. Algunos artículos hablan de transformación del negocio de la seguridad informática y la solución a todos los problemas. Otros lo equiparan al famoso dicho de “segundas partes nunca fueron buenas”.

En avast! nos encontramos en una posición ambivalente acerca de esta incursión de Microsoft en el espacio de la seguridad gratuita. Desde hace mucho creemos que la protección debe estar disponible sin coste. Y existen muchas aplicaciones de gran calidad disponibles (incluyendo avast!, por supuesto). Pero no consideramos que MSE esté en esa categoría. En las últimas AV-Comparatives, Microsoft One Care no lo hizo demasiado bien. Empató con avast! en cuanto a falsos positivos (segundo puesto de 16), pero quedó en posición 14 en detección y 13 en velocidad. Y, evidentemente, el rendimiento de MSE es el mismo que el de One Care. Así pues, aunque MSE es mejor que nada y que incluso Microsoft lo describe como protección básica, todavía no llega al nivel de los productos de pago. Es más, diríamos que está bastante por detrás de los resultados obtenidos por los productos gratuitos de demostrada solvencia (incluyendo avast!) que incluso baten a otros software de pago.

Microsoft parece creer que el 60% de los usuarios no tienen ninguna protección. No sabemos de dónde sacan estas cifras dado que no mencionan ninguna fuente. Pero no tiene demasiado sentido. Hay alrededor de 500 millones de ordenadores de consumo en el mundo (según datos de Gartner e IDC). Ateniéndonos a los números, avast!, Avira y  AVG protegen unos 250 millones; quizá más exacto sea decir que cerca de 300 millones. Siguiendo con estos datos, Symantec, McAfee, Trend, Kaspersky y algunos otros están protegiendo unos 100 millones. Esto deja unos 150 millones de ordenadores teóricamente vulnerables, pero incluso aventuraríamos que, de estos, unos 50 millones están protegidos por soluciones de ámbito local (K7/SourceNext en India y Japón, Rising y Kingsoft en China, Ahn en Corea, etc.). Así las cosas, parece que sólo puede haber más o menos un 20% (100 millones) no protegidos. Por supuesto siguen siendo demasiados, especialmente sabiendo se puede tener una gran protección a coste cero. Pero todo apunta a que Microsoft está buscando una solución a un problema inexistente.

Es también muy interesante contemplar como muchos periodistas se han dedicado a recitar la historia proclamada por Microsoft. No se han visto muchas menciones a los productos gratuitos más famosos y reputados. Incluso se les ha llegado a llamar antivirus de marca blanca. ¿Cómo puede ser una marca blanca algo que usan más de 250 millones de personas? Seguramente debemos achacarlo a la ignorancia y al gran poder de presión de Microsoft y los desarrolladores tradicionales.

Leer más…

Hoy es un día de mudanza para el blog. Después de muchos años existiendo como parte de nuestra página principal, La tienda avast!, llega la hora de independizar esta bitácora y darle la importancia que se merece. Lo hacemos con un nuevo diseño, que irá mejorando con el paso de los días, y con un nuevo dominio: avastblog.es

Consideramos que se trata del mejor momento para realizar este cambio porque el 2009 supone una nueva etapa para avast!, un año de muchas novedades como el nombramiento del nuevo CEO y la inminente llegada del nuevo avast! 5.

Hemos redireccionado tanto el home del antiguo blog como las entradas particulares a este nuevo espacio para que la transición sea lo más limpia posible y, sobre todo, para que nuestros lectores no tengan ninguna dificultad para encontrar los artículos que se han publicado hasta ahora. También hemos hecho un trasvase de los feeds.

Esta nueva etapa también implica un compromiso por nuestra parte, que consiste en el propósito de dedicar más tiempo a la publicación en español de novedades, noticias, actualizaciones y más sobre el antivirus avast! y a otros temas generales sobre seguridad informática.

Otra novedad importante es la reapertura de los comentarios a las entradas. Hace ya algún tiempo decidimos cerrarlos porque se convirtieron en un foco de SPAM y de consultas técnicas que no tenían cabida en un blog como este, ya que para ese cometido tenemos un foro en esta dirección:

http://avast.es/foro

Por eso, os rogamos que no uséis este blog para cuestiones de soporte o preguntas sobre temas que no tengan que ver con el que se trate en cada entrada.

Os damos la bienvenida a esta nueva web, esperamos que sea de vuestro agrado y que os resulte útil para conocer más a fondo nuestro antivirus favorito: avast!

Hace poco tiempo, Andreas Marx (probador independiente de productos antivirus) envió a la mayoría de casas antivirus un archivo infectado por “Delphi Source Code infector”. Este fichero fue enlazado por páginas tan famosas como chip.de y algunas otras. Poco después fue publicado un análisis de este innovador elemento infeccioso por Kaspersky Lab y F-Secure. Pero esto sólo representa el principio de la burbuja mediática. Este virus tiene actualmente varios meses de antigüedad y prácticamente todos los desarrolladores antivirus permanecieron ciegos ante él. ¿Por qué?

Hasta ahora, los llamados “file infectors” (como Virut, Sality, Parite, etc.) han modificado archivos ejecutables en el ordenador de la víctima. Pero Win32:Induc es diferente. El proceso consiste en buscar el compilador Borland Delphi en la máquina del usuario. Si lo encuentra, el archivo SysConst.pas es sustituido por una copia maliciosa del mismo. A partir de entonces, cada proyecto Delphi que construya el usuario en un ordenador infectado estará igualmente comprometido. En otras palabras, el malware será producido por los programas que creen los desarrolladores, los cuales no tienen ninguna intención de provocar daño ya que los mismos no son conscientes de lo que está ocurriendo en sus PCs. Muchos de estos programas luego serán distribuidos (incluso estando firmados digitalmente) de manera global a través de servidores de descarga.

Un dato estadístico: pocas horas después de que la actualización de la base de datos de virus de avast! (VPS 090818-0) incluyera detección para este nuevo tipo de malware, nuestro laboratorio recibió cientos de reportes de usuarios que nos indicaban que avast! estaba produciendo falsos positivos. Todos ellos resultaron ser detecciones certeras y los archivos estaban realmente infectados. En las 12 horas siguientes a la publicación de la antedicha VPS, avast! encontró más de 200.000 ficheros comprometidos por este virus.