avast! blog

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Leer más…

Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.

Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.

Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?

Leer más…

Parece que los programadores de malware están usando tácticas cada vez más sutiles para expandir sus programas maliciosos. Con el fin de aprovechar el buen nombre y reputación de algunas páginas web, están alojando redireccionadores dañinos en páginas famosas de algunas universidades (principalmente en Estados Unidos). Se da el caso de que los dominios pertenecientes a estas instituciones educativas son, como norma general, bien considerados por los internautas y se tiende a confiar en ellos, cosa que como veremos puede resultar muy peligrosa.

El mundo académico suele ser bastante abierto y suele dejarse bastante libertad a sus usuarios para subir/bajar archivos sin demasiado control, lo cual deja una puerta abierta a programas y servicios inseguros. Aquí os dejamos un ejemplo, un extracto de nuestra lista de urls maliciosas (los nombres de las escuelas y otros datos identificativos han sido borrados):

¿Cómo se accede a estos sitios? Muy simple, solo escribe algunas palabras clave en Google relacionadas con el porno y los verás en los primeros 20 resultados casi por seguro:

Así pues, mucho cuidado con fiarnos simplemente por la extensión de un dominio, puede haber sorpresas en el otro lado.