avast! blog

De manera usual, el malware se expande a través de páginas web inocentes que han sido infectadas porque no han sido protegidas suficientemente. El método de infiltración por anuncios está creciendo en popularidad de manera asombrosa. En estos momentos, estamos frente al que probablemente sea el más grande envenenamiento de anuncios que hayamos visto nunca (todos los servicios importantes pueden estar afectados). Esto significa que tus ordenadores pueden resultar infectados simplemente leyendo un periódico online o haciendo una búsqueda en tu buscador favorito. Hemos llamado al origen de este ataque JS:Prontexi (código javascript que inicia la infección en el ordenador de la víctima usando varias vulnerabilidades como los últimos exploits en documentos PDF).

Todos los usuarios de avast! que tengan las actualizaciones al días están plenamente protegidos contra este ataque. En otras palabras, estamos impidiendo a los chicos malos que puedan acceder a tu sistema. Esto nos permite poder contar cuántos ordenadores están siendo protegidos por nuestro antivirus ante este ataque usando el sistema de inteligencia colectiva que incorpora avast! 5 antivirus.  El siguiente gráfico muestra el número de incidentes que hemos encontrado en los últimos 6 días en una ventana de 4 horas (clic en la imagen para ampliar):

En el gráfico, sólo se muestran con su propia línea los 8 sistemas publicitarios más afectados. Los que cuentan con más infiltraciones son yieldmanager.com (Yahoo) y firmserve.com (FOX Audience Network), los cuales cubren más del 50%. La lista de servicios publicitarios con infiltraciones no está limitado al “Top 8” mostrado en el gráfico, estos dominios también están afectados:

Leer más…

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Leer más…

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Leer más…

Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.

Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.

Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?

Leer más…

Parece que los programadores de malware están usando tácticas cada vez más sutiles para expandir sus programas maliciosos. Con el fin de aprovechar el buen nombre y reputación de algunas páginas web, están alojando redireccionadores dañinos en páginas famosas de algunas universidades (principalmente en Estados Unidos). Se da el caso de que los dominios pertenecientes a estas instituciones educativas son, como norma general, bien considerados por los internautas y se tiende a confiar en ellos, cosa que como veremos puede resultar muy peligrosa.

El mundo académico suele ser bastante abierto y suele dejarse bastante libertad a sus usuarios para subir/bajar archivos sin demasiado control, lo cual deja una puerta abierta a programas y servicios inseguros. Aquí os dejamos un ejemplo, un extracto de nuestra lista de urls maliciosas (los nombres de las escuelas y otros datos identificativos han sido borrados):

¿Cómo se accede a estos sitios? Muy simple, solo escribe algunas palabras clave en Google relacionadas con el porno y los verás en los primeros 20 resultados casi por seguro:

Así pues, mucho cuidado con fiarnos simplemente por la extensión de un dominio, puede haber sorpresas en el otro lado.