| |
Home / Bitácora
Bitácora del analista antivirus
Camino a una mejor evaluación de los productos antivirus |
| Magnus | 2 febrero 2010 | 15:23 MSK |
Comentar
|
¿Alguna vez has recibido un falso positivo al analizar un archivo en un sitio web como VirusTotal? A veces más de un producto detecta el archivo y lo clasifica como malicioso. Esto puede hacer que los usuarios desconfíen de todos los productos que no detecten el archivo porque no se dan cuenta de que es sólo falso positivo. Por desgracia, lo mismo ocurre en el caso de las evaluaciones de los productos antivirus, en especial en análisis a pedido estáticos en los que a veces se analizan cientos de miles de muestras. Por supuesto, se necesita invertir muchos recursos para validar un número tan grande de muestras. Por eso la mayoría de los evaluadores sólo puede verificar un pequeño grupo de los archivos que utiliza. ¿Qué pasa con el resto? La única forma de clasificarlo es combinando la reputación de la fuente y el análisis múltiple. Esto significa que, como en el ejemplo de VirusTotal, las empresas que no detectan los archivos que otras sí detectan darán una mala impresión aunque los archivos sólo estén corrompidos o completamente limpios. Como los buenos resultados de pruebas son un factor clave para las empresas antivirus, se ha aumentado la detección a base de análisis múltiples. Por supuesto, las empresas antivirus, incluyéndonos, han estado analizando los archivos sospechosos con productos de la competencia durante años. Sin duda, conocer el veredicto de otras empresas es útil. Por ejemplo, si 10 empresas antivirus clasifican un archivo sospechoso como Trojan Downloader, esto ayuda a saber por dónde empezar. Pero esto es muy diferente a lo que se está viendo en la actualidad: Como todas las empresas necesitan obtener buenos resultados en las pruebas, el uso de detección basada en análisis múltiples ha aumentado mucho en los últimos años. Claro que a nadie le gusta esta situación: al fin y al cabo nuestro deber es proteger a nuestros usuarios, no burlar las metodologías de las pruebas. Esta es la razón por la que una revista alemana sobre informática realizó un experimento y presentó sus resultados en una conferencia de seguridad el pasado octubre: la revista creó un archivo limpio y nos pidió que lo detectáramos como un programa nocivo para agregar la detección en VirusTotal. Unos meses después, más de 20 productos detectaban el archivo en VirusTotal. Después de la presentación de la revista, los representantes de varias empresas antivirus estuvieron de acuerdo con que se debía encontrar una solución. Pero la detección basada en análisis múltiples es sólo el síntoma: la raíz del problema es la metodología que se utiliza para evaluar los productos antivirus. Por desgracia las empresas antivirus no pueden hacer mucho al respecto porque las revistas son las que organizan las pruebas, y la mayoría prefiere una prueba barata, estática y a pedido con 1 millón de muestras (algunas con muchos meses de antigüedad) para impresionar al público en lugar de una prueba cara y dinámica con una cantidad menor (pero validada) de amenazas completamente nuevas. Como ya he mencionado, las compañías antivirus y la mayoría de quienes organizan las pruebas conocen este problema y no les complace para nada. De hecho, la necesidad de mejorar las metodologías de las pruebas fue la principal razón por las que hace dos años un grupo de empresas antivirus (incluyendo Kaspersky Lab), investigadores independientes y evaluadores fundaron AMTSO (Anti-Malware Testing Standards Organization). Pero a fin de cuentas los periodistas son los que tienen el papel más importante. Por eso decidimos presentar el problema durante nuestro último tour de prensa en Moscú, en el que recibimos periodistas de todo el mundo. Por supuesto, nuestro propósito no era desacreditar a ninguna compañía antivirus (también hay ejemplos de cuando nosotros detectamos archivos por la influencia de los análisis múltiples), sino resaltar el efecto negativo de las económicas pruebas estáticas a pedido. Lo que hicimos fue como una réplica de lo que la revista de informática alemana hizo el año pasado, pero con más muestras. Creamos 20 archivos limpios y agregamos detección falsa a 10 de ellos. Poco después volvimos a subir los veinte archivos a VirusTotal para ver lo que pasaba. Diez días después, hasta 14 empresas antivirus detectaban todos los archivos que habíamos creado (y que no eran maliciosos). En algunos casos es probable que los análisis heurísticos hayan causado la detección falsa, pero los análisis múltiples sin duda influenciaron algunos de los resultados. Entregamos todas las muestras utilizadas a los periodistas para que las analicen ellos mismos. Comprendemos que esto fue algo arriesgado: Como nuestra presentación también tocó el tema de la propiedad intelectual, existía el riesgo de que los periodistas se enfocaran en averiguar quién copió la detección de quién en lugar de abordar el tema principal (los análisis múltiples como síntoma, no como raíz del problema). Pero al final son los periodistas quienes tienen el poder de impulsar la implementación de mejores pruebas, así que teníamos que dar un primer paso. Entonces, ¿qué hacemos ahora? Hay algunas buenas noticias: en los últimos meses, algunos evaluadores han comenzado a desarrollar nuevas metodologías para las pruebas. En lugar de los análisis estáticos a pedido intentan evaluar toda la cadena de componentes de detección: módulo anti-spam -> protección “en la nube” -> detección a base de firmas -> emulación -> análisis en tiempo real basado en el comportamiento, etc. Pero a fin de cuentas está en manos de las revistas el comenzar a emplear este tipo de pruebas y abandonar los métodos anticuados. Si nos deshacemos de las pruebas estáticas a pedido y sus muestras masivas y sin validación, la copia de clasificaciones al menos se reducirá significativamente, los resultados de pruebas serán más cercanos a la realidad (aunque esto signifique deshacerse del 99,x% de las tasas de detección) y todos saldremos beneficiados: la prensa, los usuarios y, por supuesto, nosotros.
¡Instalen los parches YA! MS10-002 |
| Costin | 25 enero 2010 | 18:23 MSK |
Comentar
|
Hace poco Microsoft lanzó el Boletín de Seguridad de Microsoft MS10-002, un parche fuera de ciclo (OOB) considerado “Crítico”. La actualización de seguridad acumulativa para Internet Explorer 978207 soluciona algunos problemas serios que permiten la ejecución remota de código a través de páginas HTML maliciosas, vulnerabilidades que se emplearon en el ataque a Google/Adobe. El boletín está disponible aquí: http://www.microsoft.com/spain/technet/security/bulletin/ms10-002.mspx Para parchar el sistema debe utilizar Windows Update. Además, Microsoft creó una herramienta que permite activar Data Execution Prevention (DEP) en Internet Explorer si tu procesador tiene esta característica y el sistema operativo la reconoce. DEP es una tecnología maravillosa que hace que a los hackers les sea mucho más difícil explotar vulnerabilidades como ésta. Recomendamos que la tome en cuenta, está disponible aquí: http://support.microsoft.com/kb/978207 También tengan en mente que existen otras muy buenas alternativas a IE que están a su disposición. Recomiendo Chrome (http://www.google.com/chrome), Firefox (http://www.getfirefox.com/) y Opera (http://www.opera.com/download/).
Búsquedas infectadas…otra vez |
| Fabio | 18 enero 2010 | 14:34 MSK |
Comentar
|
Un nuevo día, un nuevo desastre: esta vez, el terremoto en Haití. Y una vez más, los cibercriminales están explotando este tema para infectar los resultados de búsquedas para que quienes buscan noticias visiten una página que ofrece una solución antivirus fraudulenta. Detectamos este programa antivirus y todas sus variantes como UDS:DangerousObject.Multi.Generic. Nuestros colegas de Sunbelt Software han identificado más de 50 términos usados en motores de búsquedas para dirigir a los usuarios a un sitio malicioso. Esto es sólo para Google, pero la misma maña también afecta a los resultados de Yahoo!: Otro hecho interesante es que sólo apareces en el sitio malicioso que ofrece el antivirus fraudulento si has pulsado en un enlace que encontraste entre los resultados de un motor de búsqueda. Si intentas ingresar a la URL de forma directa, el sitio estará limpio:
Martes de parches: enero de 2010 |
|
Parece que Microsoft está empezando el año con lentitud: este mes sólo lanzó un boletín, mejoró otro y publicó una advertencia. Sin embargo, aún no hay ningún boletín para el Documento Informativo sobre Seguridad de Microsoft 977544, la vulnerabilidad en SMB que puede causar una denegación de servicio. Microsoft dice que sigue desarrollando un parche para este problema y no ha visto ningún ataque que aproveche este código exploit. El boletín que publicó es MS09-035 para Active Template Library (ATL), después de haber agregado Windows Embedded CE 6.0 a la lista de productos afectados. Este boletín está dirigido a los desarrolladores y fabricantes que trabajan con CE 6 o crean aplicaciones que utilizan este sistema operativo. El último lanzamiento de Microsoft fue el Documento Informativo sobre Seguridad 979267 para recalcar el peligro de las vulnerabilidades en Adobe Flash Player 6 en Windows XP. Me gustaría aclarar que, tomando en cuenta que vino con XP, Flash 6.0 es una versión muy antigua, así que por favor reemplácenla por la última versión de Flash. Por favor tomen en cuenta que Adobe también lanzó el Boletín de Seguridad APSB10-02 este martes para solucionar vulnerabilidades críticas que se están explotando en Adobe Reader y Acrobat 9.2 en Windows, Mac y UNIX. Aunque Microsoft sólo haya lanzado una actualización, recomiendo que todos la instalen como se debe hacer cada mes. Pero esta vez creo que la prioridad debe ser la actualización de Adobe.
Época de caza de contribuyentes |
| Dmitry Bestúzhev | 11 enero 2010 | 13:30 MSK |
Comentar
|
Como los lectores de este blog ya saben, los cibercriminales pueden robar dinero no sólo instalando malware en tu ordenador, también por medio de ataques phishing. Los ataques phishing no sólo tienen como blanco a los usuarios de bancos y sistemas de pagos en línea, también atacan a los usuarios de cualquier sitio que exija los datos personales de sus visitantes. Los sitios de agencias gubernamentales son un clásico ejemplo de estos sitios, ya que es común que pidan una gran cantidad de datos personales que van más allá de un nombre o un número de cuenta bancaria y PIN. Aunque llenar un formulario de declaración de impuestos en Internet parece una excelente opción para ahorrar tiempo y papel, da a los cibercriminales la oportunidad de robar todos tus datos de un solo tirón, y después pueden utilizarlos para robar tu identidad o cometer otros crímenes con tu nombre. Hace poco descubrimos un sitio phishing de este tipo. Ahora que llegó el año 2010, los contribuyentes han comenzado a enviar sus formularios de declaración de impuestos de 2009. (Aunque la fecha límite para enviarlos es el 15 de abril, mientras antes envíen los papeles, más pronto recibirán la respuesta). Para mayor conveniencia, se pueden llenar los papeles en Internet en el sitio de la Hacienda Pública (IRS). Los cibercriminales no piensan desaprovechar esta oportunidad: el sitio phishing tiene una similitud escalofriante con el original, y los delincuentes hasta copiaron minuciosamente la barra de herramientas de Acrobat Reader. Es posible que este tipo de sitios aumente mientras más se acerque la fecha límite para enviar las declaraciones de impuestos. Así que, como siempre, les recomendamos que estén alerta: estos ataques pueden robarles mucho más que un número de tarjeta de crédito que, después de todo, se puede bloquear con facilidad, y no olviden revisar la dirección completa de los sitios que visitan para asegurarse de que sean genuinos.
Trojan.Sejweek: una nueva variante |
| Denis | 28 diciembre 2009 | 16:14 MSK |
Comentar
|
Hace una semana escribí sobre un troyano para dispositivos móviles llamado Sejweek. Acabamos de detectar una nueva versión: ¿qué ha cambiado en una semana? En primer lugar, la dirección URL ha cambiado: Sejweek.b (la última variante) descarga un archivo XML desde http://unique*****.com/*****/get.php, que es una URL diferente a la que usaba la anterior variante. En segundo lugar, el archivo XML al que dirige el enlace ha sido modificado: ahora se ve así: Y en tercer lugar, aunque Sejweek sigue enviando mensajes SMS a un número corto Premium, ahora los envía al 7122 (un número diferente al que usaba la anterior variante) y cada SMS cuesta $10. Lo único que no ha cambiado es que Sejweek sigue enviando mensajes SMS cada 11 segundos, así que seguirá teniendo un fuerte impacto en el balance de tu cuenta. Por último, tengan cuidado: Sejweek se hace pasar por un gran número de aplicaciones, así que no descarguen nada si no están seguros de que saben lo que están haciendo.
Todo sobre Brittany en Twitter |
| Dmitry Bestúzhev | 24 diciembre 2009 | 18:43 MSK |
Comentar
|
Anteayer, nuestros colegas de la industria escribieron sobre cómo las búsquedas sobre “Brittany Murphy” en motores de búsqueda mostraban sitios que contenían enlaces a programas maliciosos. Así que una vez más tenemos una situación que pasa a menudo: los cibercriminales aprovechando la muerte de un personaje famoso, tal y como lo hicieron cuando murió Michael Jackson. Ayer identificamos algunas cuentas de Twitter que se estaban utilizando para propagar estafas para “hacer dinero en Internet” y para difundir enlaces a sitios infectados. En ambos casos se utilizó el nombre de Brittany Murphy. Estos son algunos ejemplos: El texto en los mensajes de este tipo puede variar. Lo que los caracteriza es que el primer enlace es genuino, dirige a un sitio que de verdad habla sobre el tema que se promete. Pero el segundo enlace dirige a un típico sitio de publicidad de spam que dice cómo ganar dinero en Internet, ofrece artículos a la venta, etc. El segundo tipo de tweet que estamos viendo es sin duda alguna malicioso. Estos tweets, como los del primer tipo, utilizan el nombre de Brittany Murphy, pero tienen una URL acortada por bit.ly que dirige a un sitio que propaga malware: En teoría, bit.ly revisa todas las URLs para asegurar que no sean infecciosas. Pero en este caso parece que ha habido tantas que la empresa no las ha podido procesar a tiempo para prevenir su propagación. Esta imagen lo confirma: el enlace se publicó en un tweet un día antes de que lo encontráramos, y seguía activo. Este tipo de tweet sigue el patrón estándar: si pulsas en él, te redirigen a un sitio malicioso. ¿Qué es lo que esconden estos videos? Malware, por supuesto: en este caso es Packed.Win32.Krap.ag. Tiene una función de puerta trasera. También descarga programas antivirus falsos que piden a la víctima que “compre” el producto para eliminar “virus” que supuestamente se encuentran en su equipo. Cuando escribí esta entrada había 6.950.994.912 tweets sobre la muerte de Brittany Murphy. Muchos usuarios de Twitter están reenviando los tweets de los cibercriminales, lo que va a impulsar el aumento de tweets maliciosos y el número de víctimas potenciales. En resumen, los cibercriminales están explotando la muerte de Brittany Murphy con dos propósitos:
- Para enviar spam que dirige a sitios que ofrecen una gran gama de bienes y servicios
- Para propagar malware
Así que por favor tengan mucho, mucho cuidado cuando busquen noticias sobre Brittany Murphy en Twitter (o cualquier otra red social). Los delincuentes siempre van a explotar el tema más popular del momento, pero puedes evitar que se salgan con la suya: no pulses en las URLs cortas y, lo más importante, no reenvíes tweets que se vean sospechosos.
| Dmitry Bestúzhev | 23 diciembre 2009 | 17:11 MSK |
Comentar
|
El crimen en general aumenta durante la época navideña, y el cibercrimen no es la excepción. Los escritores de virus, spammers y estafadores están buscando nuevas presas. Hace poco invadieron Odnoklassniki con este mensaje: “¡Hola! Tengo una sorpresa de año nuevo para ti [emoticon] envía 2133 279 (debe tener el espacio) al 4460 y ¡recibirás una grata sorpresa! y si no lo haces, me pondrás de mal humor [emoticon]” El mensaje está diseñado claramente para regalar algo de dinero en Navidad a los criminales: el SMS que se envía al número que se especifica en el mensaje cuesta entre $5 y $12, dependiendo del proveedor de servicios móviles. Como hay mensajes similares rondando en otras redes sociales como VKontakte, Facebook y MySpace, los spammers bien podrían salirse con la suya. Y como es posible que provengan de amigos o contactos con cuentas comprometidas, es fácil confundirse. Disfruten las fiestas de fin de año, pasen buenos momentos con su familia y amigos y diviértanse en Internet, ¡pero no olviden tener cuidado y mantenerse a salvo!
Lanzamiento de mwcollectd |
| Magnus | 23 diciembre 2009 | 16:59 MSK |
Comentar
|
Se acaba de lanzar mwcollectd v4, un “honeypot” de última generación y poca interacción para atraer malware. Está escrito en C++, pero la fácil integración de otros módulos Python hace que los analistas de malware de todo el mundo puedan mejorarlo sin problemas con nuevos protocolos y características. Nos complace auspiciar este proyecto, desarrollado en gran parte por Georg Wicherski (uno de nuestros analistas de virus en Alemania) y Mark Schloesser, de RWTH Achen University. Está publicado bajo la licencia LGPL. Si quieren conocer mwcollectd pulsen aquí, y libemu, utilizado por mwcollectd, está aquí.
Facebook: ¿En busca de mulas de dinero o tarjetas de crédito? |
| Roel | 23 diciembre 2009 | 16:33 MSK |
Comentar
|
Estaba en Facebook buscando spam y estafas cuando encontré esto: Borré algunas cosas por razones de privacidad y, más importante, seguridad. Lo importante de este mensaje es el nombre de dominio. Los espacios que rodean el punto y el cero en “C0M” están igual que en el mensaje spam original. Si los spammers se están tomando la molestia de hacer que sus mensajes sean confusos, debe ser porque los filtros de spam de Facebook están teniendo algún efecto. Los enlaces alterados hacen que debas esforzarte mucho más para visitar el sitio que promueve el spammer. Y, por lo tanto, si alguien se toma el trabajo de hacer todo eso, es muy posible que esté dispuesto a hacer lo que se le pida al otro lado del enlace. Si pulsas en el enlace, de inmediato te desvían a otro sitio sin que te des cuenta: Algunos programas para filtrar el contenido web detectan este tipo de desvíos como sospechosos, aunque estén diseñados para evadir filtros. Pero lo más probable es que tengan el propósito de generar ganancias para un “programa afiliado” manejado por gente que gana dinero desviando usuarios a un sitio particular. Echemos un vistazo al sitio web al que se dirige a los usuarios: "The Massachusetts Financial Journal". Los criminales están utilizando GeoIP para detectar la ubicación de sus visitantes y cambian el nombre del “Diario Financiero” dependiendo del estado o provincia en el que se encuentra el ordenador de su víctima. El título parece reclutar mulas de dinero: habla de trabajar desde casa, una forma clásica de atraer mulas de dinero potenciales. Y hay un conmovedor testimonio bajo el título que utiliza GeoIP para llamar aún más tu atención. En otras palabras, no importa dónde estés, los estafadores pueden detectar tu ubicación y alterar la historia para que parezca que la cuenta alguien de tu región. Continuación de la página: El sitio utiliza métodos de ingeniería social clásicos para hacer que la estafa suene legítima. Menciona a Google, y todos saben que se puede ganar dinero con GoogleAds, ¿no es así? Entonces, ¿por qué no usar Google Profit? Lo que debes hacer es muy fácil: Y hay muchos comentarios alentándote para que lo hagas: Por desgracia, es sólo una estafa. Si pulsas en cualquiera de los enlaces de arriba apareces aquí: Aunque pulsaste en un enlace que dice “Google Profit”, esto no se menciona en esta página. Hay un enlace afiliado, y en la página se emplean tácticas clásicas para reclutar mulas de dinero: se promete la oportunidad de ganar dinero trabajando desde casa y no se necesita experiencia. Pero si escribes tus datos y pulsas en "Comprobar disponibilidad" deja de parecer una estafa para mulas de dinero. Debes pagar alrededor de $2 para acceder a la “Búsqueda en Sistemas Secretos”. Pero una mirada rápida a las letras chicas revela una suma mucho más substancial: “El séptimo día se cobrará a su tarjeta de forma automática un pago de $89,26 una vez al mes por tres meses. Después de los tres meses no se le volverá a cobrar dinero”. Por lo tanto, no es una estafa para mulas de dinero, aunque así parezca a simple vista. Una búsqueda para este dominio específico revela que es ‘sólo’ una estafa de tarjetas de crédito: consigue los datos financieros de una víctima, toma su dinero y escapa con tu fortuna. Lo interesante es que hemos visto que los delincuentes han utilizado este método muchas, muchas veces para reclutar mulas, y ahora también lo utilizan para realizar estafas financieras clásicas. Hay muchas formas de mantenerse a salvo de las estafas de Internet, pero existe una regla de oro: si te piden que pulses en un enlace, pero debes quitar espacios, añadir caracteres o modificarlo para poder pulsar en el... ¡No lo hagas!
| |
