avast! blog

La página web de la Corporación Super Glue (supergluecorp.com), fabricantes del mundialmente famoso pegamento, ha sido infectada con malware. Después de 5 días activa, esta infección parecía que estaba “pegada” con el mismísimo Super Glue.

El malware consiste en un troyano redireccionador realizado en JavaScript que lleva a los visitantes de ruta por una serie de páginas cuya ubicación final está situada en Rusia, en lo que parece ser un centro de distribución para un falso antivirus.

El malware fue encontrado por el laboratorio de avast! a través del sistema de sensores de la CommunityIQ. Después de recibir el primer aviso el 5 de Agosto, el laboratorio confirmó la autenticidad de la infección y marcó el sitio para que todos los usuarios de avast! estuvieran protegidos.

“El script crea una URL (hXXp://cameoprincess.com/index.php?go=lastnews&rf=) y crea un tag que básicamente activa el código en esa URL”, dijo Alena Varkockova, analista del laboratorio de avast!. La página “cameoprincess” contiene un código JavaScript que redirecciona al visitante a ‘hXXp://papucky.eu/ext/’ que, a su vez, redirecciona a ‘http://adeportes.es/images/info/js/js.php’ (nótese el uso de un dominio .es, propio de páginas ubicadas en España, en la cadena de saltos) y ésta a ‘hXXp://labource.ru/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34’.

Leer más…

Cuando se hace un análisis de malware, es muy común encontrar muestras que usan todo tipo de ofuscación con el objetivo de ocultarse del antivirus que protege tu ordenador. Esto es especialmente verdad en los casos de malware escritos en Flash (más específicamente, ActionScript). Flash es muy popular entre los desarrolladores de malware actualmente, ya que la gente está usando este formato de manera masiva diariamente. En muchas ocasiones, los usuarios ni siquiera son conscientes de que es Flash lo que hace que puedan ver esos efectos tan bonitos que pueblan sus pantallas. Recientemente, hemos tenido acceso a una muestra que usa un truco bastante bueno para ocultar su propósito ante las miradas de quien quiere mirar sus entrañas. Lo que resulta más interesante es que la muestra es actualmente más pequeña de 140 bytes, lo cual significa que podría caber en un mensaje de Twitter. Esto no es usual entre los ficheros Flash, que tienen a ser considerablemente más grandes. Pero no os asustéis, esto no quiere decir (ni mucho menos) que alguien se pueda infectar mirando el código en Twitter, a no ser que se expanda a través de links maliciosos, pero eso es otra historia.

Aparte de lo pequeño que es… ¿qué más hay que llame la atención? Vamos a echar un vistazo. Aquí tenemos la vista hexadecimal:

Nara raro que ver aquí, porque estamos viendo un fichero flash comprimido (mirad la cabecera CWS al principio). Bien, vamos a descomprimirlo y volvamos a mirar:

Leer más…

Pues sí, parece que existe un virus inmortal… al menos en comparación con el ciclo de vida habitual del malware. Aunque existe gran cantidad de familias de malware con un tiempo de existencia muy corto, sólo hay unos pocos que tengan lo que se puede considerar una “larga vida”. Parite (también conocido como Pinfi) – un jugador con mucho tiempo en el campo – es uno de ellos. Parite sobrepasará el hito de los 10 años este octubre… ¡10 años! ¿Podéis recordar cómo era vuestro ordenador hace ese tiempo? 10 años son una eternidad en el mundo de la informática. Para darse cuenta, sólo habría que hacer una lista de las cosas que han cambiado en ese período, empezando por la evidente evolución de Windows y de los antivirus. Pero, a pesar de todos esos cambios, Parite todavía está con nosotros.

Esto resulta, cuanto menos, sorprendente. Aquí tenemos cinco razones por las cuales Parite tendría que haber desaparecido:

- No tiene una red de distribución o actualización

- Es trivial

- Es de sobra conocido y detectado

- La gran mayoría de motores antivirus (incluyendo el nuestro) son capaces de curar completamente la infección (durante un escaneo regular o usando herramientas de desinfección específicas)

- La gente suele reinstalar/formatear su sistema operativo de vez en cuando, dando como resultado un PC libre de malware al menos inmediatamente después de estas actuaciones.

Pero, aún así, hay decenas de envíos de muestras de Parite en nuestros sistemas cada día (y no son falsos positivos). Creemos que la mayor parte de estas distribuciones se producen por intercambio de archivos entre amigos (sin contar las propagaciones a través de elementos compartidos en redes locales). Y es aquí donde los usuarios individuales deben tomar su decisión: ¿Debo confiar en que el archivo que me está pasando mi amigo, y que avast! detecta como infectado, está limpio o debo creer a mi antivirus?. Parite puede ser inmortal tanto tiempo como el primer grupo de usuarios no cambie su manera de pensar. Y entonces tendremos que decirle a Parite “feliz cumpleaños” en Octubre, en vez de “descanse en paz”.

Siguiendo con lo que mencionábamos en el post anterior, donde se hacía referencia a la presencia de malware en anuncios de Spotify, tenemos nuevos datos al respecto.

De acuerdo con el laboratorio de virus de avast!, la mayoría de usuarios de Spotify que reportaron la presencia de malware estaban en Suiza (59%), seguidos de otro gran porcentaje en el Reino Unido (40%). El resto (1%) venía de otros países. No hubo informes desde Francia, lo cual resulta francamente interesante dado el gran nivel de penetración de avast! en dicho país.

Los anuncios infectados eran servidos dependiendo de la procedencia geográfica del usuario que visitaba la web, y es por ello que las infecciones se centraron mayoritariamente en los dos países anteriormente mencionados. La dispersión geográfica es una función resultante de cómo opera Spotify, ya que no tienen derecho a distribuir música en Estados Unidos.

El malware estaba contenido en anuncios infectados, que contenía el exploit PDF “JS:Pdfka-gen [Expl]”, que intentaba instalar un antivirus falso en los ordenadores de los visitantes. De acuerdo con VirusTotal, avast! fue el primer antivirus en detectar el malware (junto con GData, dado que éste antivirus usa el motor de avast!).

Para un detallado informe de cómo fue el ataque, podéis leer el artículo de websense.com.

Hace unos pocos meses, se realizó una entrevista a los fundadores de avast! (Pavel Baudiš  y Eduard Kučera) en la que se expone un pequeño resumen de lo que llevó a a estos dos hombres a fundar una empresa de software en plena época de incertidumbre política y transiciones económicas en su país, la República Checa. El artículo refleja algunos de los problemas que tuvieron que enfrentar como una compañía naciente en un nuevo mundo globalizado. Seguidamente os ofrecemos la traducción de dicha entrevista, que fue publicada en http://respekt.ihned.cz/:

¿Qué productos checos son más populares alrededor del mundo? No son coches, ni zapatos, ni turbinas, ni trenes. Los usuarios de ordenadores saben que uno de los más exitosos es el programa antivirus avast!, creado por la compañía Avast Software en Praga. En el momento d escribir estas líneas, dicho programa es usado por más de 130 millones de personas en el mundo. A pesar de la crisis económica global, la empresa sigue creciendo. Las ventas se han incrementado hasta los 690 millones CZK y 40 nuevos empleados han entrado a formar parte de la firma.

Baudiš y Kučera se conocieron en los 80, en el Instituto de Investigación de Máquinas Matemáticas de Praga. Los ordenadores todavía estaban en su infancia, el primer virus no apareció hasta 1988. Uno de sus colegas fue el que les trajo un ejemplar como suvenir de un viaje de trabajo, grabado en un floppy disk (medio de almacenamiento que hoy está obsoleto).

Un año más tarde, los dos empezaron a dedicar tiempo a los virus fundando una empresa que se denominó inicialmente ALWIL Software. Los expertos en informática eran una especie rara en aquellos tiempos, por lo que no les faltó trabajo en bancos y otros negocios. Tiempo después, la situación cambió drásticamente, las empresas locales fueron siendo compradas por multinacionales que no estaban interesadas en realizar negocios con una pequeña empresa checa. “En ese momento pareció que teníamos que cerrar nuestro negocio”, comenta Baudiš, y así habría sido si los programadores de ALWIL no hubieran realizado un último empujón para hacer sobrevivir a la empresa.

Leer más…

AVAST Software, desarrollador del galardonado  programa antivirus avast!, está detectando un creciente número de ataques de malware dirigidos a la función de ejecución automática en Windows y dispositivos USB. Los investigadores encontraron que, de los 700.000 ataques registrados en los equipos de la CommunityIQ de avast!  durante la última semana de octubre, uno de cada ocho ataques – el 13,5% – llegó a través de dispositivos USB.

El punto clave de ataque del malware es el “AutoRun”, característica de los sistemas operativos Microsoft Windows. La ejecución automática alerta a los usuarios informáticos cuando un nuevo dispositivo, como una tarjeta de memoria, está conectado y está diseñado para ayudarles a elegir qué aplicación debe ejecutar con los nuevos archivos.

“AutoRun es una herramienta realmente útil, pero también es una forma de distribuir más de dos tercios del malware actual. La amenaza del malware distribuido mediante dispositivos USB es mucho más amplia que sólo los ataques de Stuxnet en los equipos de empresas – que se extendió también a través de las memorias infectadas USB “, dijo el analista del laboratorio de virus Jan Sirmer. “Los ciberdelincuentes se están aprovechando de la  inclinación natural de la gente a compartir con sus amigos y la cada vez mayor capacidad de memoria de los dispositivos USB. Ponga los dos factores juntos y tenemos un escenario interesante. “

Esta característica, AutoRun, se usa mal cuando un dispositivo USB infectado por “INF: AutoRun gen2 [Wrm]“, término genérico de avast! para este tipo de software/gusano malicioso, se conecta a un ordenador. El dispositivo infectado -no sólo una tarjeta de memoria, sino, potencialmente, cualquier dispositivo con una capacidad de almacenamiento masivo, tales como una cámara digital, una PSP, algunos teléfonos móviles y reproductores de mp3 – inicia un archivo ejecutable que a su vez invita a una amplia gama de software malicioso al equipo. Las copias de software malicioso entrante en el núcleo del sistema operativo Windows y puede replicarse a sí mismo cada vez que se inicia el equipo.

Del total de los ataques de “INF: AutoRun gen2 [Wrm]“, el 84% de los intentos fueron repelidos por las exploraciones en acceso del  Escudo del Sistema de avast!. El malware se ha detectado en el momento en el que el dispositivo USB se conecta inicialmente. El 16% restante fueron descubiertos durante las exploraciones de los discos duros de los equipos.

Leer más…

Es sorprendente hasta qué punto la comunidad avast! funciona de manera sobresaliente. Un nuevo ataque basado en web ha sido descubierto hoy y los usuarios han hecho un detallado análisis de manera inmediata para saber qué estaba pasando. ¿De qué estamos hablando? ¿Y cuál es la relación con el título de este post? Es muy simple.

Si quieres convertirte en un nerd o comprobar tu nivel de “nerdismo”, quizá quieras visitar www.nerdtest.com… ¡PERO CUIDADO! Un usuario descubrió que era un sitio infectado, esto es lo que pasó:

Un aviso relacionado con un Javascript malicioso en la web, que contiene un iframe apuntando a otra URL con la intención de insertar malware en el ordenador del visitante.

Para aquellos que estéis interesados, podéis ver el post original donde nuestros usuarios analizan el caso aquí.

Como siempre, es un placer que nuestro producto realice tan buenas detecciones para nuestra increíble comunidad de “avasteros”.

Nota: el antivirus GData utiliza como uno de sus sistemas de análisis el motor de avast!, por eso la coincidencia en el nombre y en la detección.

De manera usual, el malware se expande a través de páginas web inocentes que han sido infectadas porque no han sido protegidas suficientemente. El método de infiltración por anuncios está creciendo en popularidad de manera asombrosa. En estos momentos, estamos frente al que probablemente sea el más grande envenenamiento de anuncios que hayamos visto nunca (todos los servicios importantes pueden estar afectados). Esto significa que tus ordenadores pueden resultar infectados simplemente leyendo un periódico online o haciendo una búsqueda en tu buscador favorito. Hemos llamado al origen de este ataque JS:Prontexi (código javascript que inicia la infección en el ordenador de la víctima usando varias vulnerabilidades como los últimos exploits en documentos PDF).

Todos los usuarios de avast! que tengan las actualizaciones al días están plenamente protegidos contra este ataque. En otras palabras, estamos impidiendo a los chicos malos que puedan acceder a tu sistema. Esto nos permite poder contar cuántos ordenadores están siendo protegidos por nuestro antivirus ante este ataque usando el sistema de inteligencia colectiva que incorpora avast! 5 antivirus.  El siguiente gráfico muestra el número de incidentes que hemos encontrado en los últimos 6 días en una ventana de 4 horas (clic en la imagen para ampliar):

En el gráfico, sólo se muestran con su propia línea los 8 sistemas publicitarios más afectados. Los que cuentan con más infiltraciones son yieldmanager.com (Yahoo) y firmserve.com (FOX Audience Network), los cuales cubren más del 50%. La lista de servicios publicitarios con infiltraciones no está limitado al “Top 8” mostrado en el gráfico, estos dominios también están afectados:

Leer más…

Tal y como podemos leer en la Wikipedia: “ILoveYou (o VBS/LoveLetter) es un gusano informático escrito en VBScript, que en mayo de 2000 atacó a aproximadamente 50 millones de computadores alrededor del mundo, provocando una pérdida de más de 5.500 millones de dólares en daños.” (más info aquí).

La encriptación/ofuscación de Javascript o HTML puede ayudar a proteger el trabajo del diseñador de una página web, de manera que se dificulta la copia de la misma. Pero esta actuación está bajo una gran controversia: como norma general, la encriptación y la ofuscación son propios de scripts maliciosos. En avast! procedimos a añadir la detección de un extraño script que encontramos recientemente, que bautizamos como JS:LoverCrypt-A [Trj].

El principio y el fin de dicho script lo mostramos más abajo en la imagen, y podréis ver las partes importantes subrayadas en rojo. Estamos ante una ofuscación bastante inusual: la cadena “ILOVEYOU” se usa para reconstruir la cadena “eval” usando la secuencia substring -> split -> reverse -> join -> toLowerCase –> replace. Raro, muy raro. Pero no es lo único desconcertante en este script. El script original está oculto bajo una larga cadena, que consiste en un número limitado de caracteres que son desencriptados usando la última secuencia de llamadas a función (se muestra en la última línea de esta imagen, clic para ampliar):

¿Quién usaría esto para un objetivo legítimo? En principio, no es posible creer que algo así sea utilizado por una gran empresa, ¿verdad? Pues bien, hemos tenido que eliminar esta muestra de nuestra base de datos porque este script pertenece a un portal de noticias de la República Checa (es parte de su nuevo sistema de anuncios). Y todavía estamos esperando una respuesta a estas preguntas:

Leer más…

En los tiempos que corren, muchos de los ordenadores que se venden vienen con Windows 7 de 64 bits preinstalado. Este nuevo sistema operativo, en conjunto con las nuevas mejoras en los procesadores (DEP+ASLR) hacen que nuestros sistemas sean menos vulnerables a exploits. La manera más fácil de conseguir desplegar un código dañino en el ordenador de una víctima es convencer a ésta de que descargue dicho código de manera voluntaria. La semana pasada en avast! recibimos un buen ejemplo de esto. Vamos a verlo.

Muchos de vosotros conoceréis el sitio de hosting denominado Sourceforge.net, destinado a alojar proyectos de código abierto. Aquí se aloja también un software muy conocido llamado PDFCreator. En la imagen de abajo, puedes ver la página de descarga con dos unidades de anuncios de Adsense (clic para ampliar):

La descarga es ralentizada durante unos segundos para que así los anuncios puedan ser vistos y, así, aumentar las posibilidades de que la gente haga clic sobre ellos. Pero profundicemos en la imagen. El anuncio de la derecha tiene un diseño gráfico muy similar al propio de Sourceforge.net, y es prácticamente seguro que muchos visitantes pincharan por inercia donde pone “Download now” (de hecho esa es la intención de los creadores del malware).

Los desarrolladores de estos sistemas deben ser muy buenos en SEO, ya que la elección de las palabras clave adecuadas consigue que puedan mostrar este anuncio en esta determinada página.

Si pulsamos en este anuncio, seremos dirigidos a la página fraudulenta, que es esta (clic para ampliar):

Leer más…