No, nos hemos vuelto locos. Ni tampoco te has equivocado de blog y has ido a uno de cine, aunque algo de ello hay en este post. Vamos a comprobar hasta qué punto los creadores de malware están al día en lo que se refiere a buscadores.
Supongamos que vemos la última película de Clooney, Up in the air, y nos entran ganas de buscar información en internet sobre ella. Sabemos que el actor ha sido nominado al Óscar por ella, así que escribimos “clooney oscar” en Google y nos encontramos con esto:
Parece bastante inocente, ¿verdad? Bien, pues cuando hacemos clic sobre este resultado (y sólo funciona cuando accedemos desde Google) estaremos siendo redirigidos a una web alemana hackeada que a su vez redirige a un sitio que intentará instalarnos de manera fraudulenta uno de tantos falsos antivirus que pueblan internet desde hace tiempo y que tanto daño están haciendo a numerosos usuarios:
Diseñado inicialmente como una broma dirigida a una pequeña comunidad de moteros de la región central de Eslovaquia, el gusano Win32/Zimuse.A y Win32/Zimuse.B ha alcanzado notoriedad en todo el mundo. Se trata de una amenaza que sobrescribe todos los MBR de los discos disponibles con sus propios datos, haciendo inaccesibles los datos almacenados en el equipo del usuario. Además, la restauración de los archivos afectados es complicada, y requiere el uso de software especializado o la intervención de un experto. Por otra parte, si no se utiliza el método de desinfección adecuado, el gusano activa su modo destructivo, que consiste en la paralización total del equipo al que ataca.
El gusano utiliza dos vías de infección, bien a través de su inserción en webs legítimas, en forma de archivo ZIP autoextraíble o de programa de prueba, o bien a través de dispositivos, como las memorias USB. El hecho de que utilice dispositivos USB para propagarse es el responsable de su rápida diseminación, que se espera aumente todavía más.
Hasta la fecha, las dos variantes del gusano difieren en el método de difusión y en el tiempo de activación. Mientras que la variante Win32/Zimuse.A necesita 10 días para comenzar a distribuirse a través de dispositivos USB, la variante Win32/Zimuse.B necesita sólo 7 días para hacerlo. Además, el tiempo necesario para la ejecución de sus rutinas destructivas también se reduce en la variante Win32/Zimuse.B, desde los 40 días de la variante original, a sólo 20 días.
Como siempre en estos casos, recomendamos que el usuario se asegure de tener tanto su sistema operativo como su software antivirus lo más actualizados posible para hacer más difícil la entrada a estos virus tan peligrosos.
Estamos ya en el 2010 y queremos desear a todos nuestros lectores lo mejor durante este nuevo año; esperamos que nuestro muy próximo avast! 5 sirva para que los usuarios de avast! empiecen el año lo más seguros posible. Dado que la fecha de lanzamiento está muy próxima, es buena idea que vayamos aclarando qué se puede esperar en las desinfecciones de los virus denominados “file infectors” (infectadores de ficheros). Nuestra versión 4.x ha sido criticada en ocasiones por no poder “curar” las familias más recientes de file infectors (entendiendo por curar a la acción de limpiar todos los daños que el virus ha causado al sistema, no al hecho en sí de eliminar el virus). Las buenas noticias son que avast! 5 será mucho mejor en este aspecto.
Vamos a adentrarnos un poco más profundamente en este tema (pero no tan intensamente como para perdernos en detalles técnicos). Primero debemos expresar que avast! 4 también tiene un motor de limpieza (o “curación”). Este motor es capaz de limpiar los daños causados por cierto número de familias de malware (básicamente las más propagadas y las más peligrosas). Como muchos de vosotros habréis notado, estas infecciones son cada vez más complejas. Las familias de virus más recientes necesitan tecnología muy avanzada para realizar curaciones y esta es la primera limitación del motor de limpieza de la versión 4: no está integrado en el escaneo programado para el inicio. También se necesitan tecnologías de emulación muy depuradas. Pero esto no quiere decir que avast! 4 sea manco o inferior a cualquier otro producto (ahí están las comparativas realizadas por organismo independientes y de las cuales hemos hablado de tanto en tanto), es capaz de limpiar por ejemplo Win32:Parite (que es un elemento perenne entre las familias de virus). La cuestión clave es: ¿qué hará avast! 5 para ser mejor incluso que avast! 4?
Una de las consultas que más recibimos es relativa a usuarios de avast! que nos informan de que el antivirus está detectándoles amenazas en páginas web que dichos usuarios afirman que son “de confianza”. Como muestra clara, podéis leer este hilo en nuestro foro:
Es muy importante tener en cuenta que, en muchos casos, los administradores de una web pueden no ser conscientes de que están propagando infecciones. Por ejemplo, algún hacker puede haber accedido a los archivos que están en el FTP que contiene la página y modificarlos posteriormente sin que el administrador se percate de este hecho.
Las infecciones que son producidas por sitios web de confianza se basan, en ocasiones, en encriptaciones bastante simples que son fácilmente detectables por usuarios avezados. Sin embargo, en muchos casos se usan algoritmos bastante complejos que tienen como fin último ocultar el proceso de redirección. Pero sea cual sea el método utilizado, el objetivo siempre es el mismo: redireccionar a los visitantes a páginas propagadoras de malware que incluyen algunos packs de exploits.
Hay también muchas infecciones que intentan imitar servicios muy conocidos y de confianza (en muchos casos de Google), siendo el más usado Google Analytics. Empieza con algunos pequeños cambios en las urls usadas por estos servicios, como por ejemplo cambiando “analytics” por “analitics”. En este artículo vamos a describir dos infecciones recientes que imitan este famoso servicio de Google de manera bastante compleja, y que a primera vista parecen ser legítimas.
Primero, vamos a mostrar el código original usado por Google Analytics:
JS:Redirector-T [Trj]
Este código fue detectado el 16 de Junio de 2009. Se trata de una imitación del código original de Google Analytics. La siguiente imagen muestra el código de la infección:
Hoy os traemos una historia sobre una familia de malware exitosa. Le damos este calificativo porque estableció un nuevo método de propagación hace algún tiempo, y principalmente porque siempre obtiene buena puntuación en las estadísticas de malware detectado por avast!. ¿Y qué es Kavo? Es un nombre derivado de los ficheros de ciertos binarios usados por esta familia de malware (kavo0.dll, kavo1.dll, etc.). Esta familia se conoce por diferentes nombres como Oliga, Kavos, Kamso, OnLineGames, Taterf, etc.
Vamos a empezar con la historia de Kavo. Tenemos que remontarnos dos años atrás para ver los primeros intentos del autor de Kavo de expandir su software encargado de robar contraseñas de juegos online. Fue aproximadamente cuando los rootkits se estaban haciendo populares. Así que el autor desarrolló un rootkit. También programó o compró un ofuscador para proteger los binarios y para el polimorfismo. Una vez ya tenemos el payload (efectos nocivos que causa el virus en el sistema) listo, ¿cómo lo expandimos? La vía más eficiente sea quizá la explotación de puntos débiles de los sistemas operativos. El autor de Kavo se decidió por los autoruns. Esta función está activa por defecto así que.. ¿por qué no aprovecharlo? Esta vía tiene su eficacia más que probada, y un gran número de ordenadores son fácilmente infectados a través del intercambio de pendrives (entre amigos, entre compañeros de trabajo, etc.). Kavo fue, de hecho, la primera familia de malware que usó masivamente esta vía de contagio (que fue copiada luego por otros elementos como Conficker, Virut y algunos otros). Es triste comprobar que, hoy en día, esta vía sigue siendo una manera masiva de propagación de virus.
Después de la fase de inicio el autor decidió cambiar el ofuscador (acción que ha sido repetida unas cinco veces en el ciclo de vida de Kavo) y estrechó la cohesión entre el rootkit y el sistema. La época estable de Kavo no conllevó cambios que le dieran más funcionalidades, las cuales permanecen intactas incluso en variantes recientes. Así pues, ¿qué hace esta familia de malware?
Hace poco tiempo, Andreas Marx (probador independiente de productos antivirus) envió a la mayoría de casas antivirus un archivo infectado por “Delphi Source Code infector”. Este fichero fue enlazado por páginas tan famosas como chip.de y algunas otras. Poco después fue publicado un análisis de este innovador elemento infeccioso por Kaspersky Lab y F-Secure. Pero esto sólo representa el principio de la burbuja mediática. Este virus tiene actualmente varios meses de antigüedad y prácticamente todos los desarrolladores antivirus permanecieron ciegos ante él. ¿Por qué?
Hasta ahora, los llamados “file infectors” (como Virut, Sality, Parite, etc.) han modificado archivos ejecutables en el ordenador de la víctima. Pero Win32:Induc es diferente. El proceso consiste en buscar el compilador Borland Delphi en la máquina del usuario. Si lo encuentra, el archivo SysConst.pas es sustituido por una copia maliciosa del mismo. A partir de entonces, cada proyecto Delphi que construya el usuario en un ordenador infectado estará igualmente comprometido. En otras palabras, el malware será producido por los programas que creen los desarrolladores, los cuales no tienen ninguna intención de provocar daño ya que los mismos no son conscientes de lo que está ocurriendo en sus PCs. Muchos de estos programas luego serán distribuidos (incluso estando firmados digitalmente) de manera global a través de servidores de descarga.
Un dato estadístico: pocas horas después de que la actualización de la base de datos de virus de avast! (VPS 090818-0) incluyera detección para este nuevo tipo de malware, nuestro laboratorio recibió cientos de reportes de usuarios que nos indicaban que avast! estaba produciendo falsos positivos. Todos ellos resultaron ser detecciones certeras y los archivos estaban realmente infectados. En las 12 horas siguientes a la publicación de la antedicha VPS, avast! encontró más de 200.000 ficheros comprometidos por este virus.
Parece que los programadores de malware están usando tácticas cada vez más sutiles para expandir sus programas maliciosos. Con el fin de aprovechar el buen nombre y reputación de algunas páginas web, están alojando redireccionadores dañinos en páginas famosas de algunas universidades (principalmente en Estados Unidos). Se da el caso de que los dominios pertenecientes a estas instituciones educativas son, como norma general, bien considerados por los internautas y se tiende a confiar en ellos, cosa que como veremos puede resultar muy peligrosa.
El mundo académico suele ser bastante abierto y suele dejarse bastante libertad a sus usuarios para subir/bajar archivos sin demasiado control, lo cual deja una puerta abierta a programas y servicios inseguros. Aquí os dejamos un ejemplo, un extracto de nuestra lista de urls maliciosas (los nombres de las escuelas y otros datos identificativos han sido borrados):
¿Cómo se accede a estos sitios? Muy simple, solo escribe algunas palabras clave en Google relacionadas con el porno y los verás en los primeros 20 resultados casi por seguro:
Así pues, mucho cuidado con fiarnos simplemente por la extensión de un dominio, puede haber sorpresas en el otro lado.
Aquí tenemos un estupendo vídeo en el que se usa avast! para liquidar al peor virus que he visto jamás. Nuestro antimalware resulta ser el arma última y definitiva:
