Archivo

Entradas Etiquetadas ‘virus’

¿Eres un nerd?

Jueves, 8 de Julio de 2010 2 comentarios

Es sorprendente hasta qué punto la comunidad avast! funciona de manera sobresaliente. Un nuevo ataque basado en web ha sido descubierto hoy y los usuarios han hecho un detallado análisis de manera inmediata para saber qué estaba pasando. ¿De qué estamos hablando? ¿Y cuál es la relación con el título de este post? Es muy simple.

Si quieres convertirte en un nerd o comprobar tu nivel de “nerdismo”, quizá quieras visitar www.nerdtest.com… ¡PERO CUIDADO! Un usuario descubrió que era un sitio infectado, esto es lo que pasó:

nerd01-242x300 Un aviso relacionado con un Javascript malicioso en la web, que contiene un iframe apuntando a otra URL con la intención de insertar malware en el ordenador del visitante.

Para aquellos que estéis interesados, podéis ver el post original donde nuestros usuarios analizan el caso aquí.

Como siempre, es un placer que nuestro producto realice tan buenas detecciones para nuestra increíble comunidad de “avasteros”.

Nota: el antivirus GData utiliza como uno de sus sistemas de análisis el motor de avast!, por eso la coincidencia en el nombre y en la detección.

Anuncios envenenados, JS:Prontexi

Jueves, 18 de Febrero de 2010 5 comentarios

De manera usual, el malware se expande a través de páginas web inocentes que han sido infectadas porque no han sido protegidas suficientemente. El método de infiltración por anuncios está creciendo en popularidad de manera asombrosa. En estos momentos, estamos frente al que probablemente sea el más grande envenenamiento de anuncios que hayamos visto nunca (todos los servicios importantes pueden estar afectados). Esto significa que tus ordenadores pueden resultar infectados simplemente leyendo un periódico online o haciendo una búsqueda en tu buscador favorito. Hemos llamado al origen de este ataque JS:Prontexi (código javascript que inicia la infección en el ordenador de la víctima usando varias vulnerabilidades como los últimos exploits en documentos PDF).

Todos los usuarios de avast! que tengan las actualizaciones al días están plenamente protegidos contra este ataque. En otras palabras, estamos impidiendo a los chicos malos que puedan acceder a tu sistema. Esto nos permite poder contar cuántos ordenadores están siendo protegidos por nuestro antivirus ante este ataque usando el sistema de inteligencia colectiva que incorpora avast! 5 antivirus.  El siguiente gráfico muestra el número de incidentes que hemos encontrado en los últimos 6 días en una ventana de 4 horas (clic en la imagen para ampliar):

js_prontexi_chart-300x196En el gráfico, sólo se muestran con su propia línea los 8 sistemas publicitarios más afectados. Los que cuentan con más infiltraciones son yieldmanager.com (Yahoo) y firmserve.com (FOX Audience Network), los cuales cubren más del 50%. La lista de servicios publicitarios con infiltraciones no está limitado al “Top 8” mostrado en el gráfico, estos dominios también están afectados:

Leer más…

“I love you” otra vez… ¿o quizá no?

Miércoles, 10 de Febrero de 2010 Sin comentarios

Tal y como podemos leer en la Wikipedia: “ILoveYou (o VBS/LoveLetter) es un gusano informático escrito en VBScript, que en mayo de 2000 atacó a aproximadamente 50 millones de computadores alrededor del mundo, provocando una pérdida de más de 5.500 millones de dólares en daños.” (más info aquí).

La encriptación/ofuscación de Javascript o HTML puede ayudar a proteger el trabajo del diseñador de una página web, de manera que se dificulta la copia de la misma. Pero esta actuación está bajo una gran controversia: como norma general, la encriptación y la ofuscación son propios de scripts maliciosos. En avast! procedimos a añadir la detección de un extraño script que encontramos recientemente, que bautizamos como JS:LoverCrypt-A [Trj].

El principio y el fin de dicho script lo mostramos más abajo en la imagen, y podréis ver las partes importantes subrayadas en rojo. Estamos ante una ofuscación bastante inusual: la cadena “ILOVEYOU” se usa para reconstruir la cadena “eval” usando la secuencia substring -> split -> reverse -> join -> toLowerCase –> replace. Raro, muy raro. Pero no es lo único desconcertante en este script. El script original está oculto bajo una larga cadena, que consiste en un número limitado de caracteres que son desencriptados usando la última secuencia de llamadas a función (se muestra en la última línea de esta imagen, clic para ampliar):

obfuscation-300x124

¿Quién usaría esto para un objetivo legítimo? En principio, no es posible creer que algo así sea utilizado por una gran empresa, ¿verdad? Pues bien, hemos tenido que eliminar esta muestra de nuestra base de datos porque este script pertenece a un portal de noticias de la República Checa (es parte de su nuevo sistema de anuncios). Y todavía estamos esperando una respuesta a estas preguntas:

Leer más…

El factor humano como punto de entrada de malware

Miércoles, 10 de Febrero de 2010 Sin comentarios

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

avast! antivirus

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Leer más…

¿Ganará George Clooney el Óscar este año?

Miércoles, 10 de Febrero de 2010 1 comentario

No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.

Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:

George Clooney Up in the air Oscar

Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:

Leer más…

Detectado un nuevo gusano que sobrescribe el sector de arranque de los PC

Jueves, 28 de Enero de 2010 Sin comentarios

Según podemos leer en Dealer World:

Diseñado inicialmente como una broma dirigida a una pequeña comunidad de moteros de la región central de Eslovaquia, el gusano Win32/Zimuse.A y Win32/Zimuse.B ha alcanzado notoriedad en todo el mundo. Se trata de una amenaza que sobrescribe todos los MBR de los discos disponibles con sus propios datos, haciendo inaccesibles los datos almacenados en el equipo del usuario. Además, la restauración de los archivos afectados es complicada, y requiere el uso de software especializado o la intervención de un experto. Por otra parte, si no se utiliza el método de desinfección adecuado, el gusano activa su modo destructivo, que consiste en la paralización total del equipo al que ataca.

El gusano utiliza dos vías de infección, bien a través de su inserción en webs legítimas, en forma de archivo ZIP autoextraíble o de programa de prueba, o bien a través de dispositivos, como las memorias USB. El hecho de que utilice dispositivos USB para propagarse es el responsable de su rápida diseminación, que se espera aumente todavía más.

Hasta la fecha, las dos variantes del gusano difieren en el método de difusión y en el tiempo de activación. Mientras que la variante Win32/Zimuse.A necesita 10 días para comenzar a distribuirse a través de dispositivos USB, la variante Win32/Zimuse.B necesita sólo 7 días para hacerlo. Además, el tiempo necesario para la ejecución de sus rutinas destructivas también se reduce en la variante Win32/Zimuse.B, desde los 40 días de la variante original, a sólo 20 días.

Como siempre en estos casos, recomendamos que el usuario se asegure de tener tanto su sistema operativo como su software antivirus lo más actualizados posible para hacer más difícil la entrada a estos virus tan peligrosos.

avast! 5 y las infecciones

Sábado, 9 de Enero de 2010 8 comentarios

Estamos ya en el 2010 y queremos desear a todos nuestros lectores lo mejor durante este nuevo año; esperamos que nuestro muy próximo avast! 5 sirva para que los usuarios de avast! empiecen el año lo más seguros posible. Dado que la fecha de lanzamiento está muy próxima, es buena idea que vayamos aclarando qué se puede esperar en las desinfecciones de los virus denominados “file infectors” (infectadores de ficheros). Nuestra versión 4.x ha sido criticada en ocasiones por no poder “curar” las familias más recientes de file infectors (entendiendo por curar a la acción de limpiar todos los daños que el virus ha causado al sistema, no al hecho en sí de eliminar el virus). Las buenas noticias son que avast! 5 será mucho mejor en este aspecto.

Vamos a adentrarnos un poco más profundamente en este tema (pero no tan intensamente como para perdernos en detalles técnicos). Primero debemos expresar que avast! 4 también tiene un motor de limpieza (o “curación”). Este motor es capaz de limpiar los daños causados por cierto número de familias de malware (básicamente las más propagadas y las más peligrosas). Como muchos de vosotros habréis notado, estas infecciones son cada vez más complejas. Las familias de virus más recientes necesitan tecnología muy avanzada para realizar curaciones y esta es la primera limitación del motor de limpieza de la versión 4: no está integrado en el escaneo programado para el inicio. También se necesitan tecnologías de emulación muy depuradas. Pero esto no quiere decir que avast! 4 sea manco o inferior a cualquier otro producto (ahí están las comparativas realizadas por organismo independientes y de las cuales hemos hablado de tanto en tanto), es capaz de limpiar por ejemplo Win32:Parite (que es un elemento perenne entre las familias de virus). La cuestión clave es: ¿qué hará avast! 5 para ser mejor incluso que avast! 4?

Leer más…

Redireccionadores camaleónicos

Martes, 20 de Octubre de 2009 Sin comentarios

Una de las consultas que más recibimos es relativa a usuarios de avast! que nos informan de que el antivirus está detectándoles amenazas en páginas web que dichos usuarios afirman que son “de confianza”. Como muestra clara, podéis leer este hilo en nuestro foro:

http://www.latiendaavast.com/foro/viewtopic.php?f=2&t=407

Es muy importante tener en cuenta que, en muchos casos, los administradores de una web pueden no ser conscientes de que están propagando infecciones. Por ejemplo, algún hacker puede haber accedido a los archivos que están en el FTP que contiene la página y modificarlos posteriormente sin que el administrador se percate de este hecho.

Las infecciones que son producidas por sitios web de confianza se basan, en ocasiones, en encriptaciones bastante simples que son fácilmente detectables por usuarios avezados. Sin embargo, en muchos casos se usan algoritmos bastante complejos que tienen como fin último ocultar el proceso de redirección. Pero sea cual sea el método utilizado, el objetivo siempre es el mismo: redireccionar a los visitantes a páginas propagadoras de malware que incluyen algunos packs de exploits.

Hay también muchas infecciones que intentan imitar servicios muy conocidos y de confianza (en muchos casos de Google), siendo el más usado Google Analytics. Empieza con algunos pequeños cambios en las urls usadas por estos servicios, como por ejemplo cambiando “analytics” por “analitics”. En este artículo vamos a describir dos infecciones recientes que imitan este famoso servicio de Google de manera bastante compleja, y que a primera vista parecen ser legítimas.

Primero, vamos a mostrar el código original usado por Google Analytics:

google_analytics_orig

JS:Redirector-T [Trj]

Este código fue detectado el 16 de Junio de 2009. Se trata de una imitación del código original de Google Analytics. La siguiente imagen muestra el código de la infección:

google_analytics_fake_t

Leer más…

Kavo, ¿una historia interminable?

Lunes, 19 de Octubre de 2009 Sin comentarios

avast virus Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.

Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.

Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?

Leer más…

Win32:Induc, ¿nuevo tipo de malware?

Martes, 6 de Octubre de 2009 Sin comentarios

Hace poco tiempo, Andreas Marx (probador independiente de productos antivirus) envió a la mayoría de casas antivirus un archivo infectado por “Delphi Source Code infector”. Este fichero fue enlazado por páginas tan famosas como chip.de y algunas otras. Poco después fue publicado un análisis de este innovador elemento infeccioso por Kaspersky Lab y F-Secure. Pero esto sólo representa el principio de la burbuja mediática. Este virus tiene actualmente varios meses de antigüedad y prácticamente todos los desarrolladores antivirus permanecieron ciegos ante él. ¿Por qué?

virus induc

Hasta ahora, los llamados “file infectors” (como Virut, Sality, Parite, etc.) han modificado archivos ejecutables en el ordenador de la víctima. Pero Win32:Induc es diferente. El proceso consiste en buscar el compilador Borland Delphi en la máquina del usuario. Si lo encuentra, el archivo SysConst.pas es sustituido por una copia maliciosa del mismo. A partir de entonces, cada proyecto Delphi que construya el usuario en un ordenador infectado estará igualmente comprometido. En otras palabras, el malware será producido por los programas que creen los desarrolladores, los cuales no tienen ninguna intención de provocar daño ya que los mismos no son conscientes de lo que está ocurriendo en sus PCs. Muchos de estos programas luego serán distribuidos (incluso estando firmados digitalmente) de manera global a través de servidores de descarga.

Un dato estadístico: pocas horas después de que la actualización de la base de datos de virus de avast! (VPS 090818-0) incluyera detección para este nuevo tipo de malware, nuestro laboratorio recibió cientos de reportes de usuarios que nos indicaban que avast! estaba produciendo falsos positivos. Todos ellos resultaron ser detecciones certeras y los archivos estaban realmente infectados. En las 12 horas siguientes a la publicación de la antedicha VPS, avast! encontró más de 200.000 ficheros comprometidos por este virus.