avast! blog

Investigadores de AVAST Virus Labs han observado un aumento de las infecciones de malware dentro de los sitios WordPress, una aplicación de código abierto usada frecuentemente por los bloggers, debido a una vulnerabilidad en un plugin de imágenes y las deficientes gestiones de los datos de entrada administrativa.

A comienzos de octubre los investigadores de Avast fueron contactados por varios usuarios que habían sido infectados por el sitio http://www.thejournal.fr, el sitio en Internet del The Poitou-Charentes Journal. Por otro lado el operador de ese sitio se comunicó con Avast para determinar por qué el programa antivirus avast! estaba bloqueando a los visitantes de su sitio que supuestamente habían "verificado y limpiado" con un escáner externo.

El equipo de investigadores de Avast detectó infecciones parecidas en otros sitios WordPress. Lo del "The Poitou-Charentes Journal" es solo una parte de un ataque mucho más grande," dijo Jan Sirmer, investigador senior del Avast Virus Lab. "Estos sitios comprometidos son parte de una red que redirige a los usuarios vulnerables a webs que distribuyen variedad de malware."

El Sr. Sirmer trabajó con el propietario del sitio para reunir más información sobre cómo fue comprometido este sitio web y a dónde habían sido redirigidos los usuarios vulnerables cuando visitaron el sitio. Se determinó que el origen de la infección fue un archivo PHP (upd.php) que fue subido gracias a una vulnerabilidad en Timthumb, una herramienta destinada a cambiar el tamaño de las imágenes usada por desarrolladores para crear temas de los sitios WordPress. Se cree que un hacker comprometió las credenciales usadas por los administradores WordPress para el FTP de alojamiento del sitio previo a subir y ejecutar los archivos PHP.

La infección fue fruto de ciberdelincuentes que usaron el Toolkit Blackhole, un conjunto de herramientas de malware disponible en el mercado negro. "TheJournal.fr y sus lectores no fueron los únicos objetivos, este es un problema más grande todavía en la seguridad referente a WordPress," dice el Sr. Sirmer. Hemos registrado 151.000 hits a una de las ubicaciones donde son redirigidos los usuarios víctimas de esta vulnerabilidad. También bloqueamos redirecciones de 3.500 sitios únicos del 28 al 31 de agosto, los tres primeros días en que surgió esta infección. Durante Septiembre, bloqueamos redirecciones desde 2.515 sitios y esperamos que en Octubre los resultados serán análogos.

Leer más…

Recientemente, nos hemos encontrado con un ejemplo de cómo un antivirus gratuito como avast! Free puede ser igual o más efectivo que otro antivirus de pago de la competencia. MetService, una página de pronóstico del tiempo de Nueva Zelanda, fue comprometida por malware (según parece, un falso antivirus llamado Personal Shield Pro el cual está programado para capturar pulsaciones de teclas y acceder a cuentas bancarias del usuario) durante un intervalo de tiempo en el que hubieron muchas visitas, según un artículo de stuff.co.nz. Muchos de los visitantes de esa web fueron infectados de manera involuntaria, ya que en muchos casos no había que realizar ninguna acción para ser atacados. Por lo visto, el malware estaba en uno de los sistemas de anuncios que usa dicha web.

El artículo recibió más de 100 comentarios durante el primer día, muchos de los cuales provenían de gente enfadada porque habían sido infectados durante sus visitas a la web comprometida.

Sin embargo, queremos mostraros uno de esos comentarios, el cual refleja un claro feedback “del mundo real”. No es un secreto que avast! suele ofrecer su producto gratuito a las empresas que realizan test antivirus, para que sea evaluado contra otras opciones de pago de diferentes marcas, pero ninguno de estos test es tan gratificante (aunque obtengamos muy buenos resultados de manera habitual) como ver cosas como esta:

La traducción sería algo así: “mi avast! gratis lo paró tan pronto como entré en esa web ”. Afortunadamente, para aquellos usuarios de MetService que no usan nuestro antivirus, sólo tienen que descargar avast!, realizar un análisis durante el arranque… y arreglado

La página web de la Corporación Super Glue (supergluecorp.com), fabricantes del mundialmente famoso pegamento, ha sido infectada con malware. Después de 5 días activa, esta infección parecía que estaba “pegada” con el mismísimo Super Glue.

El malware consiste en un troyano redireccionador realizado en JavaScript que lleva a los visitantes de ruta por una serie de páginas cuya ubicación final está situada en Rusia, en lo que parece ser un centro de distribución para un falso antivirus.

El malware fue encontrado por el laboratorio de avast! a través del sistema de sensores de la CommunityIQ. Después de recibir el primer aviso el 5 de Agosto, el laboratorio confirmó la autenticidad de la infección y marcó el sitio para que todos los usuarios de avast! estuvieran protegidos.

“El script crea una URL (hXXp://cameoprincess.com/index.php?go=lastnews&rf=) y crea un tag que básicamente activa el código en esa URL”, dijo Alena Varkockova, analista del laboratorio de avast!. La página “cameoprincess” contiene un código JavaScript que redirecciona al visitante a ‘hXXp://papucky.eu/ext/’ que, a su vez, redirecciona a ‘http://adeportes.es/images/info/js/js.php’ (nótese el uso de un dominio .es, propio de páginas ubicadas en España, en la cadena de saltos) y ésta a ‘hXXp://labource.ru/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34’.

Leer más…

Cuando se hace un análisis de malware, es muy común encontrar muestras que usan todo tipo de ofuscación con el objetivo de ocultarse del antivirus que protege tu ordenador. Esto es especialmente verdad en los casos de malware escritos en Flash (más específicamente, ActionScript). Flash es muy popular entre los desarrolladores de malware actualmente, ya que la gente está usando este formato de manera masiva diariamente. En muchas ocasiones, los usuarios ni siquiera son conscientes de que es Flash lo que hace que puedan ver esos efectos tan bonitos que pueblan sus pantallas. Recientemente, hemos tenido acceso a una muestra que usa un truco bastante bueno para ocultar su propósito ante las miradas de quien quiere mirar sus entrañas. Lo que resulta más interesante es que la muestra es actualmente más pequeña de 140 bytes, lo cual significa que podría caber en un mensaje de Twitter. Esto no es usual entre los ficheros Flash, que tienen a ser considerablemente más grandes. Pero no os asustéis, esto no quiere decir (ni mucho menos) que alguien se pueda infectar mirando el código en Twitter, a no ser que se expanda a través de links maliciosos, pero eso es otra historia.

Aparte de lo pequeño que es… ¿qué más hay que llame la atención? Vamos a echar un vistazo. Aquí tenemos la vista hexadecimal:

Nara raro que ver aquí, porque estamos viendo un fichero flash comprimido (mirad la cabecera CWS al principio). Bien, vamos a descomprimirlo y volvamos a mirar:

Leer más…

Siguiendo con lo que mencionábamos en el post anterior, donde se hacía referencia a la presencia de malware en anuncios de Spotify, tenemos nuevos datos al respecto.

De acuerdo con el laboratorio de virus de avast!, la mayoría de usuarios de Spotify que reportaron la presencia de malware estaban en Suiza (59%), seguidos de otro gran porcentaje en el Reino Unido (40%). El resto (1%) venía de otros países. No hubo informes desde Francia, lo cual resulta francamente interesante dado el gran nivel de penetración de avast! en dicho país.

Los anuncios infectados eran servidos dependiendo de la procedencia geográfica del usuario que visitaba la web, y es por ello que las infecciones se centraron mayoritariamente en los dos países anteriormente mencionados. La dispersión geográfica es una función resultante de cómo opera Spotify, ya que no tienen derecho a distribuir música en Estados Unidos.

El malware estaba contenido en anuncios infectados, que contenía el exploit PDF “JS:Pdfka-gen [Expl]”, que intentaba instalar un antivirus falso en los ordenadores de los visitantes. De acuerdo con VirusTotal, avast! fue el primer antivirus en detectar el malware (junto con GData, dado que éste antivirus usa el motor de avast!).

Para un detallado informe de cómo fue el ataque, podéis leer el artículo de websense.com.

Según podemos leer en esta página de baquia.com:

El servicio de música retira varios anuncios de terceros después que varios usuarios de su versión gratuita sufrieran ataques de malware…

Al parecer, algunos anuncios que aparecían en la versión gratuita y con publicidad de Spotify ocultaban un troyano que afectaba a ordenadores vulnerables con Windows, según denunciaron varios usuarios en Twitter. Tanto el antivirus Avast como AVG logran detectar el código malicioso.

El ataque informático se produjo el jueves, y Spotify ya ha retirado de su red los anuncios gráficos implicados e iniciado una investigación al respecto, aunque por el momento no se sabe cuáles son los anunciantes afectados ni si el ataque estaba limitado a alguno de los países donde funciona el servicio.

Todo el mundo sabe que demasiada delincuencia en el barrio no es buena para los negocios. Por lo tanto, debería ser sorprendente que las empresas con tiendas on-line en Internet no presten más atención para mantener sus sitios libres de infecciones. Si bien puede no afectar directamente a su negocio, podría hacer que posibles clientes no pasaran del escaparate. Para ilustrar este punto, a casi un millón de usuarios de avast! software antivirus se les impidió visitar una  tienda on-line legítima, pero infectada, y eso fue después de que AVAST Software informase a la empresa sobre la infección.

“Con Francoise Saget, tenemos un ejemplo perfecto de por qué es mucho más eficaz, desde la perspectiva de la seguridad pública, comunicar a miles de usuarios sobre un sitio infectado en lugar de hacerlo al administrador individualmente“, dijo Ondrej Vlcek, director de tecnología de AVAST Software. “Con los miembros de nuestra CommunityIQ en Internet sin parar, hay un flujo constante bidireccional de información sobre los sitios infectados entre avast! y nuestros usuarios. Conseguirlo con el administrador de un sitio web es otro tema. “

El Laboratorio de Virus de AVAST notificó una infección en francoisesaget.com a  las 12:20:40 del 21 de noviembre de 2010. La infección era de HTML: Illiframe R-[Trj], un troyano que redirige a los visitantes desprevenidos a un sitio web de distribución de malware en China. En dos días, la página web infectada había sido visitada 65.968 veces por miembros de la CommunityIQ de AVAST.

Antes de la temporada de compras navideñas, AVAST decidió contactar directamente con el sitio web de la tienda on-line sobre la infección y le envió por correo electrónico un mensaje, en inglés y en francés, el 23 de noviembre. No hubo respuesta. El 26 de enero, dos meses después de que el Laboratorio de Virus de AVAST encontrase  el “Troyano” malicioso, el sitio web estaba aún infectado. Durante este tiempo, avast! había bloqueado 946.376 intentos de visitar la página web infectada a sus usuarios.

“La falta de respuesta es exactamente lo que nos hemos encontrado otras veces que hemos tratado de decirle a sitios web que estaban infectados, incluso aquellos con sede cerca de nuestra sede central“, dijo el Sr. Vlcek. “Aquí hay algunas lecciones que hemos aprendido en nuestros intentos de contactar directamente con los administradores de los sitios web infectados.“

Cinco hechos sobre las infecciones y la responsabilidad:

Leer más…

De manera usual, el malware se expande a través de páginas web inocentes que han sido infectadas porque no han sido protegidas suficientemente. El método de infiltración por anuncios está creciendo en popularidad de manera asombrosa. En estos momentos, estamos frente al que probablemente sea el más grande envenenamiento de anuncios que hayamos visto nunca (todos los servicios importantes pueden estar afectados). Esto significa que tus ordenadores pueden resultar infectados simplemente leyendo un periódico online o haciendo una búsqueda en tu buscador favorito. Hemos llamado al origen de este ataque JS:Prontexi (código javascript que inicia la infección en el ordenador de la víctima usando varias vulnerabilidades como los últimos exploits en documentos PDF).

Todos los usuarios de avast! que tengan las actualizaciones al días están plenamente protegidos contra este ataque. En otras palabras, estamos impidiendo a los chicos malos que puedan acceder a tu sistema. Esto nos permite poder contar cuántos ordenadores están siendo protegidos por nuestro antivirus ante este ataque usando el sistema de inteligencia colectiva que incorpora avast! 5 antivirus.  El siguiente gráfico muestra el número de incidentes que hemos encontrado en los últimos 6 días en una ventana de 4 horas (clic en la imagen para ampliar):

En el gráfico, sólo se muestran con su propia línea los 8 sistemas publicitarios más afectados. Los que cuentan con más infiltraciones son yieldmanager.com (Yahoo) y firmserve.com (FOX Audience Network), los cuales cubren más del 50%. La lista de servicios publicitarios con infiltraciones no está limitado al “Top 8” mostrado en el gráfico, estos dominios también están afectados:

Leer más…

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Leer más…

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Leer más…