avast! blog

En Yahoo Tech ha sido publicado un artículo en inglés, escrito por Jordan Robertson, que por la importancia que puede tener para los usuarios hemos procedido a traducir y adaptar a nuestra lengua:

De todas las cosas siniestras que los virus que se propagan por internet pueden hacer, esta debe ser la peor de todas: convertir tu ordenador en un almacén de pornografía infantil sin que el usuario sea consciente de ello.

Atroces fotos y vídeos pueden ser depositados en vuestros ordenadores por virus, programas maliciosos que son más conocidos por buscar números de tarjetas de crédito. En este caso, es tu reputación la que puede ser golpeada.

Los pedófilos pueden explotar PCs infectados para almacenar y ver remotamente su material sin miedo a ser cogidos por ello. Es más, alguien que quiera gastarte una broma pesada (o con una intención menos benévola) puede usar estas herramientas para simular que tú mismo estás visitando páginas web ilegales. Sea cual sea la motivación, puedes tener pornografía infantil en tu ordenador y no darte cuenta de ello hasta que la policía llame a tu puerta.

Una investigación de Associated Press encontró casos en los que gente inocente fue catalogada como pedófila después de que sus compañeros de trabajo o sus parejas encontraran pornografía infantil en sus PCs, puesta ahí por algún virus. Esto puede costar a la víctima un gran cantidad de dinero, con el objetivo de probar su inocencia. Estas situaciones se complican por el hecho de que hay muchos pedófilos verdaderos que culpan a los virus de los archivos que se encuentran en sus máquinas, por lo que este argumento de defensa es visto con escepticismo por las fuerzas de la ley.

“Es una variante actual de la conocida excusa de que el perro se comió mis deberes”, dice Phil Malone, director de Cyberlaw Clinic (Harvard’s Berkman Center for Internet & Society). “El problema es que, efectivamente, en alguna ocasión efectivamente el perro se come los deberes”.

La investigación de Associated Press incluyó entrevistas a gente a la que se le encontró pornografía infantil en sus ordenadores, fiscales, policías e informáticos forenses, así como grabaciones de juicios. En 2007, Michael Fiola fue encontrado sospechoso después de que se comprobara que su portátil estaba usando una cantidad de datos bastante superior al de sus compañeros. Un técnico encontró pornografía infantil en la carpeta de su PC donde se almacenan las imágenes que vemos en las páginas web.

Fiola fue encausado por posesión de pornografía infantil, delito que puede acarrear hasta 5 años de prisión. Recibió amenazas de muerte, le cortaron los neumáticos de su coche y fue repudiado por sus amigos. Él y su esposa lucharon en el caso, gastándose 250.000 dólares en actuaciones legales. Liquidaron sus ahorros, hicieron una segunda hipoteca y vendieron su coche. Una inspección ordenada por su defensa reveló que su portátil estaba severamente infectado. Estaba programado para visitar al menos 40 páginas web con contenido pedófilo por minuto (algo que escapa de una capacidad normal de un ser humano). Mientras Fiola y su mujer estuvieron un día fuera para cenar, alguien accedió a su ordenador  y estuvo obteniendo material pornográfico durante una hora y media. Los fiscales ordenaron otro test y confirmaron los descubrimientos de la defensa. Los cargos fueron retirados… 11 meses después de que fueran emitidos.

Fiola y su mujer revelan que han tenido problemas de salud a causa del stress sufrido durante el caso. “Esto arruinó mi vida, la vida de mi mujer y de mi familia”, dijo. La oficina del fiscal de Massachussetts, que enjuició a Fiola, ha rehusado hacer declaraciones.

En este momento, cerca de 20 millones de ordenadores de todo el mundo se estima que están infectados con virus que pueden ofrecer control total de los mismos a los hackers, según el desarrollador de software antimalware F-Secure. Los ordenadores muchas veces resultan infectados cuando la gente abre los archivos adjuntos que vienen en los correos electrónicos desde destinatarios desconocidos o cuando visitan páginas web maliciosas.

Los pedófilos pueden explotar los virus de varias maneras. La más sencilla es forzar el ordenador de alguien a visitar sitios web con pornografía infantil, almacenando las imágenes en el proceso. Es más, un ordenador puede ser convertido en un almacén para imágenes y vídeos que pueden ser vistos cuando dicho ordenador se encuentre online.

“Pueden ser como langostas que van a un campo de maíz: se lo comen todo y después se van a otro campo", dice Eric Goldman, director académico del Instituto Legal de Alta Tecnología de la Universidad de Santa Clara. Goldman ha representado a empresas web que han descubierto a pedófilos usando sus sistemas para cometer estos actos ilegales.

Pero, tal y como hemos dicho, en ocasiones no son los pedófilos los que están envueltos en estas actuaciones, también puede hacerlo alguien que desee dañar al propietario del PC infectado. En el primer caso público de particulares que fueron víctimas de esta situación, dos hombres en el Reino Unido fueron declarados inocentes de ser responsables de tener pornografía infantil en sus PCs. En un caso, un mail infectado o un pop-up publicitario infectaron el PC del usuario y el virus descargó las imágenes ilegales. En el otro, un virus cambió la página principal en el navegador del usuario para mostrar pornografía infantil, siendo descubierto este hecho por la hija de 7 años del afectado. Este hombre pasó más de una semana en prisión y perdió la custodia de su hija.

Chris Watts, un técnico de Gran Bretaña, cuenta que ayudó al director de un hotel cuyos compañeros encontraron pornografía infantil en el PC que éste compartía con ellos. Watts encontró que mientras esta persona navegaba por Internet en busca de programas para piratear videojuegos, uno de los sitios estaba programado para redirigir al visitante a sitios de pornografía infantil si el usuario estaba inactivo por un cierto período de tiempo. En todos estos casos, la evidencia principal es indiscutible: había pornografía en el ordenador. Pero probar cómo llegó a él es más difícil.

Tami Loehrs, que inspeccionó el ordenador de Fiola, recuerda otro caso en Arizona en el que había un ordenador infectado de manera importante, de tal manera que era virtualmente imposible determinar la acusación: que un chico de 16 años usó el PC para subir pornografía infantil a un grupo de Yahoo. Los fiscales desestimaron el cargo y el chico fue acusado de otro crimen que no implicaba pena de prisión, aunque afirmaron que tuvieron esta consideración por la edad del chico y por la ausencia de antecedentes penales.

El artículo es más extenso, pero con lo que hasta aquí hemos reproducido creo que queda muy claro el peligro que se quiere exponer.

Uno de los métodos más usados por la gente que quiere usar programas sin pagar el precio establecido de los mismos es el keygen, o generador de claves. Según podemos leer en la Wikipedia, un keygen es:

“… un programa informático, generalmente ilegal, que al ejecutarse genera un código para que un determinado programa de software de pago en su versión de prueba (Shareware) pueda ofrecer los contenidos completos del programa. Normalmente los keygens son archivos ejecutables (en formato *.exe) que se ejecutan sin necesidad de ser instalados.

Es muy común el pensar que un keygen y un crack son lo mismo. Lo cierto es que, aunque se utilizan para lo mismo, usan sistemas diferentes: mientras que un keygen es un ejecutable que genera un código para poder desbloquear el programa, un crack simplemente hace una modificación sobre el programa para poder "completarlo".

Los creadores de los programas "keygen" introducen en dicha aplicación el algoritmo utilizado para generar los códigos de desbloqueo, y permite al usuario obtener infinitos códigos…”

Pues bien, según podemos leer en Softzone recientemente ha ocurrido otro caso de keygen infectado por malware. Concretamente el generador de claves infectado estaba destinado a ser usado para activar el antivirus Kaspersky (en sus versiones Kaspersky antivirus 2010, Kaspersky Internet Security 2010 y Kaspersky Simple Scan 2010) sin abonar la correspondiente licencia.

Cuando el usuario abría el keygen estaba al mismo tiempo instalando un troyano en el sistema sin su conocimiento. Imaginamos que dicho troyano habría sido anteriormente comprobado para asegurarse de que este antivirus no lo detectaba, ya que sino sería un sinsentido enorme: si un usuario va a usar un keygen para Kaspersky, generalmente será porque lo tiene instalado en su sistema.

Esto no es más que otra muestra de que el uso de keygens o sistemas de crackeo de programas pueden, en muchas ocasiones, reportar más daños que beneficios. Además, desde hace ya mucho tiempo se viene constatando que una de las vías más frecuentes de infección es el uso de estos programas ilegales.

Por otra parte, en este blog hemos comentado en muchas ocasiones que existen muchas alternativas gratuitas a los antivirus de pago, como avast! Home (que salvo cambios de última hora pasará a ser denominado avast! Free cuando salgan las nuevas versiones 5 de nuestro antivirus), que resultan tanto o más efectivas que algunos antimalware comerciales. Por lo tanto no vale la pena arriesgarse a tener que realizar actividades ilícitas para conseguir una protección óptima de vuestro ordenador.

Varios exploit packs están haciéndose muy populares en los últimos días, ya que su uso permite una vía fácil de infectar miles de ordenadores en todo el mundo. Cada pack de exploits puede estar compuesto por un sólo fichero que contiene todo el malware, o bien en archivos separados por cada exploit. Esta última técnica parece que se va imponiendo por resultar más efectiva, ya que los antivirus puede que sólo detecten parte de los exploits. De esta manera, se podría aprovechar la parte que el antivirus no detecta para infectar la máquina del usuario. Este artículo describe la estructura y actividad de uno de los packs de exploits más complejo.

Este pack fue descubierto hace relativamente poco en varios servidores ubicados en China. En el momento de su descubrimiento, avast! detectaba de manera parcial los exploits que este paquete contenía (el resto de detecciones se añadieron después de poder analizarlo). No se trata realmente de un nuevo pack, sino más bien de una nueva versión, lo cual significa que sus creadores hicieron los cambios necesarios para hacer más difícil la detección por parte de los antivirus. Su complejidad es muy alta como podréis observar en este diagrama:

El paquete contiene cerca de 40 ficheros incluyendo redireccionadores, comprobadores de vulnerabilidad, exploits y shellcodes. Como vemos en la imagen, hay dos ramas inútiles: una para el exploit PDF (el fichero está dañado y por tanto no puede ser abierto) y otra probablemente para un exploit SWF (que da un error 404). De todas maneras, hay todavía 11 exploits listos para atacar. Todos ellos son detectados por avast!.

No deja de ser interesante mostrar al lector cómo otros motores antivirus están manejando este complejo paquete, así que se ha preparado este imagen que esperemos sea clarificadora:

Leer más…

Una de las consultas que más recibimos es relativa a usuarios de avast! que nos informan de que el antivirus está detectándoles amenazas en páginas web que dichos usuarios afirman que son “de confianza”. Como muestra clara, podéis leer este hilo en nuestro foro:

http://www.avast.es/foro/viewtopic.php?f=2&t=407

Es muy importante tener en cuenta que, en muchos casos, los administradores de una web pueden no ser conscientes de que están propagando infecciones. Por ejemplo, algún hacker puede haber accedido a los archivos que están en el FTP que contiene la página y modificarlos posteriormente sin que el administrador se percate de este hecho.

Las infecciones que son producidas por sitios web de confianza se basan, en ocasiones, en encriptaciones bastante simples que son fácilmente detectables por usuarios avezados. Sin embargo, en muchos casos se usan algoritmos bastante complejos que tienen como fin último ocultar el proceso de redirección. Pero sea cual sea el método utilizado, el objetivo siempre es el mismo: redireccionar a los visitantes a páginas propagadoras de malware que incluyen algunos packs de exploits.

Hay también muchas infecciones que intentan imitar servicios muy conocidos y de confianza (en muchos casos de Google), siendo el más usado Google Analytics. Empieza con algunos pequeños cambios en las urls usadas por estos servicios, como por ejemplo cambiando “analytics” por “analitics”. En este artículo vamos a describir dos infecciones recientes que imitan este famoso servicio de Google de manera bastante compleja, y que a primera vista parecen ser legítimas.

Primero, vamos a mostrar el código original usado por Google Analytics:

JS:Redirector-T [Trj]

Este código fue detectado el 16 de Junio de 2009. Se trata de una imitación del código original de Google Analytics. La siguiente imagen muestra el código de la infección:

Leer más…

Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.

Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.

Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?

Leer más…

Hace ya algún tiempo, saltó a la fama cierto tipo de virus que destacaban por realizar un enfoque totalmente diferente en su actividad delictiva a lo que estamos acostumbrados. Su cometido era encriptar ciertos documentos del usuario infectado, de manera que luego se pedía una cantidad de dinero para que dichos archivos fueran devueltos a su estado original. Evidentemente se centraban en ficheros con extensiones críticas (como por ejemplo Word e imágenes, sobre todo si se encontraban en directorios típicos de almacenamiento como Mis Documentos). Cuántos de nosotros no habríamos pagado una cantidad de dinero, siempre que estuviera en un rango aceptable para nuestro bolsillo, por recuperar esa información.

Pues bien, según nos informan en Dealer World, esta manera de actuar ha cambiado. Como comentario personal diré que no me parece muy adecuado el título de la noticia (“El secuestro express llega a los PC”), ya que como he contado esta manera de actuar en cierto malware no es ni mucho menos nueva. Pero sí que es verdad que ahora se han vuelto más “descarados”.

Otro tipo de software perjudicial que ha predominado últimamente son los rogueware: programas que se presentan como antivirus o antispyware que son sumamente invasivos y que tienen como objetivo hastiar al usuario a base de mensajes falsos de infección, para que dicho usuario proceda a la compra de dicho producto con el fin de quitar las supuestas (más bien falsas) amenazas. En otras palabras, son falsos antivirus y antispyware que te hacen creer que tu ordenador está lleno de malware cuando en realidad lo único que están buscando es crear miedo al usuario para que éste proceda a comprar la licencia oportuna que “mágicamente” hará desaparecer todo el peligro.

Leer más…

El crecimiento experimentado por Alwil Software en los últimos años ha obligado a la empresa a tener que buscar una nueva sede en la que poder operar en condiciones óptimas. Así pues, septiembre fue el mes en el que el equipo desarrollador de avast! tuvo su “día de mudanza”.

Tenéis una imagen del nuevo edificio más abajo. En éste hay disponible tres veces más espacio que en el anterior, cerca de 2600 metros cuadrados. Por otra parte, otros aspectos no menos importantes también son mejores, como por ejemplo una mayor conectividad, sistemas de alimentación ininterrumpida y comunicaciones/transporte.

Otra muestra más de que 2009-2010 será un período de grandes cambios, para mejor, en todo lo que concierne a avast! antivirus.

Hace un par de meses, surgió la noticia de que el líder de una red de hacking había sido procesado por el robo de los datos de 130 millones de tarjetas de crédito y débito en los Estados Unidos. No es algo que a esta persona le viniera de nuevo porque ya estuvo en la cárcel por cargos similares en 2006, aunque esta vez el volumen del robo no deja de ser sorprendente.

Vamos a detallar algunas de las características más importantes de este acto:

- Esta persona, y su banda, no necesitaron usar métodos demasiado sofisticados. No fueron hackers expertos, en el sentido que no tuvieron que acceder remotamente a la red de los emisores de las tarjetas. En lugar de esto, tomaron un camino más fácil: ir conduciendo con un portátil encima para buscar redes no protegidas.

- Una vez conectados a estas redes no seguras intentaban hackear los sistemas de las empresas o usuarios para conseguir los datos. Hay un gran mercado negro en el que los números de tarjetas de crédito válidos se pagan muy bien.

- Los restaurantes fueron objetivos prioritarios porque “suelen fallar en tener sus antivirus y sistemas actualizados”.

- Al mismo tiempo que se dedicaba a esta actividad delictiva, trabajaba también para el Servicio Secreto de Estados Unidos como informador. Esta es una de las principales razones por las que avast! y la gran mayoría de empresas de seguridad rechazan contratar hackers “reformados”.

Así pues, a pesar de que ningún usuario normal tiene millones de números de tarjetas de crédito en sus ordenadores, sí tenemos todos muchos documentos e imágenes que pueden ser personales y privados. Al igual que los restaurantes, tiendas, etc. que fueron víctimas del hacker del que hablamos, también podemos ser vulnerables ante ataques si no tomamos las precauciones oportunas:

Leer más…

Acabamos de abrir una cuenta en Twitter para este blog, con la intención de que los lectores que estéis en esa red social podáis seguir tanto nuestras actualizaciones de artículos como también conocer otras fuentes de información que iremos publicando sobre avast!.

Nuestro nombre en Twitter es avastblog, y el enlace directo:

http://twitter.com/avastblog

¡Nos vemos leemos por allí!

Un total de 13 actualizaciones para solventar 34 vulnerabilidades. Se trata del mayor paquete de actualizaciones que Microsoft ha lanzado para reparar los problemas de seguridad en distintas versiones de Windows, incluido Windows 7.

Los 34 agujeros de seguridad suponen un récord para Microsoft desde que hace seis años decidiera lanzar actualizaciones de seguridad seguridad mensuales. El anterior hito está registrado en diciembre de 2008, cuando se corrigieron 28 agujeros.

Microsoft califica a 8 de las 13 actualizaciones (y 21 de las 34 vulnerabilidades) como “críticas”, el nivel más alto de los cuatro que conforman su clasificación. El resto son consideradas como “importantes”. Entre los parches se encuentras varios para vulnerabilidades de día cero (agujeros para los que la explotación del código ya se ha hecho pública).

Recomendamos a todos los usuarios que usen Windows Update para poner al día su sistema operativo dada la importancia de esta última actualización.