avast! blog

Todo el mundo sabe que demasiada delincuencia en el barrio no es buena para los negocios. Por lo tanto, debería ser sorprendente que las empresas con tiendas on-line en Internet no presten más atención para mantener sus sitios libres de infecciones. Si bien puede no afectar directamente a su negocio, podría hacer que posibles clientes no pasaran del escaparate. Para ilustrar este punto, a casi un millón de usuarios de avast! software antivirus se les impidió visitar una  tienda on-line legítima, pero infectada, y eso fue después de que AVAST Software informase a la empresa sobre la infección.

“Con Francoise Saget, tenemos un ejemplo perfecto de por qué es mucho más eficaz, desde la perspectiva de la seguridad pública, comunicar a miles de usuarios sobre un sitio infectado en lugar de hacerlo al administrador individualmente“, dijo Ondrej Vlcek, director de tecnología de AVAST Software. “Con los miembros de nuestra CommunityIQ en Internet sin parar, hay un flujo constante bidireccional de información sobre los sitios infectados entre avast! y nuestros usuarios. Conseguirlo con el administrador de un sitio web es otro tema. “

El Laboratorio de Virus de AVAST notificó una infección en francoisesaget.com a  las 12:20:40 del 21 de noviembre de 2010. La infección era de HTML: Illiframe R-[Trj], un troyano que redirige a los visitantes desprevenidos a un sitio web de distribución de malware en China. En dos días, la página web infectada había sido visitada 65.968 veces por miembros de la CommunityIQ de AVAST.

Antes de la temporada de compras navideñas, AVAST decidió contactar directamente con el sitio web de la tienda on-line sobre la infección y le envió por correo electrónico un mensaje, en inglés y en francés, el 23 de noviembre. No hubo respuesta. El 26 de enero, dos meses después de que el Laboratorio de Virus de AVAST encontrase  el “Troyano” malicioso, el sitio web estaba aún infectado. Durante este tiempo, avast! había bloqueado 946.376 intentos de visitar la página web infectada a sus usuarios.

“La falta de respuesta es exactamente lo que nos hemos encontrado otras veces que hemos tratado de decirle a sitios web que estaban infectados, incluso aquellos con sede cerca de nuestra sede central“, dijo el Sr. Vlcek. “Aquí hay algunas lecciones que hemos aprendido en nuestros intentos de contactar directamente con los administradores de los sitios web infectados.“

Cinco hechos sobre las infecciones y la responsabilidad:

Leer más…

AVAST Software, desarrollador del galardonado  programa antivirus avast!, está detectando un creciente número de ataques de malware dirigidos a la función de ejecución automática en Windows y dispositivos USB. Los investigadores encontraron que, de los 700.000 ataques registrados en los equipos de la CommunityIQ de avast!  durante la última semana de octubre, uno de cada ocho ataques – el 13,5% – llegó a través de dispositivos USB.

El punto clave de ataque del malware es el “AutoRun”, característica de los sistemas operativos Microsoft Windows. La ejecución automática alerta a los usuarios informáticos cuando un nuevo dispositivo, como una tarjeta de memoria, está conectado y está diseñado para ayudarles a elegir qué aplicación debe ejecutar con los nuevos archivos.

“AutoRun es una herramienta realmente útil, pero también es una forma de distribuir más de dos tercios del malware actual. La amenaza del malware distribuido mediante dispositivos USB es mucho más amplia que sólo los ataques de Stuxnet en los equipos de empresas – que se extendió también a través de las memorias infectadas USB “, dijo el analista del laboratorio de virus Jan Sirmer. “Los ciberdelincuentes se están aprovechando de la  inclinación natural de la gente a compartir con sus amigos y la cada vez mayor capacidad de memoria de los dispositivos USB. Ponga los dos factores juntos y tenemos un escenario interesante. “

Esta característica, AutoRun, se usa mal cuando un dispositivo USB infectado por “INF: AutoRun gen2 [Wrm]“, término genérico de avast! para este tipo de software/gusano malicioso, se conecta a un ordenador. El dispositivo infectado -no sólo una tarjeta de memoria, sino, potencialmente, cualquier dispositivo con una capacidad de almacenamiento masivo, tales como una cámara digital, una PSP, algunos teléfonos móviles y reproductores de mp3 – inicia un archivo ejecutable que a su vez invita a una amplia gama de software malicioso al equipo. Las copias de software malicioso entrante en el núcleo del sistema operativo Windows y puede replicarse a sí mismo cada vez que se inicia el equipo.

Del total de los ataques de “INF: AutoRun gen2 [Wrm]“, el 84% de los intentos fueron repelidos por las exploraciones en acceso del  Escudo del Sistema de avast!. El malware se ha detectado en el momento en el que el dispositivo USB se conecta inicialmente. El 16% restante fueron descubiertos durante las exploraciones de los discos duros de los equipos.

Leer más…

Investigadores de ALWIL Software, los proveedores/desarrolladores de los programas antivirus avast!, han lanzado el primer conjunto de datos de su CommunityIQ, un programa opcional de sensores para los más de 100 millones de usuarios avast! antivirus.

CommunityIQ es el primer muestreo a gran escala de las amenazas en línea en el mundo. Los sensores incluidos en los programas avast! antivirus identifican los sitios infectados y de malware mediante  el análisis de comportamientos sospechosos, el uso de códigos maliciosos, y a experiencias previas con otras usuarios avast!

“El enorme número de miembros de CommunityIQ  crear una “nube” de sensores que nos da una visión en tiempo real de las amenazas planteadas por los sitios web a través de Internet”, dijo Vince Steckler, Consejero Delegado de ALWIL Software, fabricante de las soluciones avast! antivirus. “Nuestra nube proporciona una enorme cantidad de  datos sensibles en tiempo real sobre el estado del malware y virus a través de la web.”

A nivel mundial, el conjunto de datos del  1T de 2010 incluye 252.000 dominios infectados que fueron visitados e identificados a través de 11,9 millones de visitas de miembros de CommunityIQ.

Para sitios web del Reino Unido, la lista incluye más de 3.000 dominios infectados. Muchos de los sitios infectados -todos con el sufijo co.uk- fueron pequeñas empresas o sitios web de viajes como harrysbars.co.uk, glassbasins.co.uk y westminster-london-hotels.co.uk/.

“El Bar de Harry quiere ser un punto caliente en Dorset, pero no para las infecciones por malware, que padecieron una infección iframe durante 30 días. La mayoría de los lugares de nuestra lista son sitios legítimo que un usuario normal nunca sospecharía  que pudiese estar infectado,  pero lo están “, dijo Steckler. “Y sabemos que Harry tenía una infección debido a las repetidas visitas de los miembros de CommunityIQ. Otras infecciones han durado mucho más tiempo, como los 153 días en mystainedglassart.co.uk/. Hay sitios en nuestra lista -en su mayoría orientados a adultos- que han sido diseñados para distribuir malware. Pero, estos son la minoría. Si nos fijamos en el número total de visitas de usuarios, los sitios comunes son los más peligrosos. “

Leer más…

Varios exploit packs están haciéndose muy populares en los últimos días, ya que su uso permite una vía fácil de infectar miles de ordenadores en todo el mundo. Cada pack de exploits puede estar compuesto por un sólo fichero que contiene todo el malware, o bien en archivos separados por cada exploit. Esta última técnica parece que se va imponiendo por resultar más efectiva, ya que los antivirus puede que sólo detecten parte de los exploits. De esta manera, se podría aprovechar la parte que el antivirus no detecta para infectar la máquina del usuario. Este artículo describe la estructura y actividad de uno de los packs de exploits más complejo.

Este pack fue descubierto hace relativamente poco en varios servidores ubicados en China. En el momento de su descubrimiento, avast! detectaba de manera parcial los exploits que este paquete contenía (el resto de detecciones se añadieron después de poder analizarlo). No se trata realmente de un nuevo pack, sino más bien de una nueva versión, lo cual significa que sus creadores hicieron los cambios necesarios para hacer más difícil la detección por parte de los antivirus. Su complejidad es muy alta como podréis observar en este diagrama:

El paquete contiene cerca de 40 ficheros incluyendo redireccionadores, comprobadores de vulnerabilidad, exploits y shellcodes. Como vemos en la imagen, hay dos ramas inútiles: una para el exploit PDF (el fichero está dañado y por tanto no puede ser abierto) y otra probablemente para un exploit SWF (que da un error 404). De todas maneras, hay todavía 11 exploits listos para atacar. Todos ellos son detectados por avast!.

No deja de ser interesante mostrar al lector cómo otros motores antivirus están manejando este complejo paquete, así que se ha preparado este imagen que esperemos sea clarificadora:

Leer más…