| |
Home / Bitácora
Bitácora del analista antivirus
La curiosidad mató al gato |
|
Seguro que si estás leyendo esto no eres un gato, así que la curiosidad no te matará, pero puede que ponga tus datos confidenciales en manos de algún extraño. En mi artículo sobre Michael Jackson, mencioné que un pirata virtual había irrumpido en la cuenta de Twitter de Britney Spears y anunciado su muerte en su propio sitio. La vulnerabilidad que se explotó para realizar el ataque ya se ha parchado, el mensaje ya está borrado, y Britney (o alguna persona que trabaja para ella) publicó un mensaje diciendo que la cantante está viva. (Me alegra que lo hayan confirmado porque Britney está por dar un concierto en Rusia y ¡las entradas ya se están agotando!) Sin embargo, el mensaje de Britney no detuvo a los spammers. Acabamos de encontrar el siguiente correo: Este es otro ejemplo perfecto de cómo los spammers explotan la vulnerabilidad llamada "curiosidad". Las personas que sean tan ingenuas como para descargar el mensaje, acabarán infectando su equipo con Trojan-Spy.Win32.Zbot, un programa diseñado para robar datos personales. Parchar vulnerabilidades técnicas es fácil; deshacerse de las vulnerabilidades humanas es mucho más complicado.
La verdad sobre Michael Jackson |
| Maria | 30 junio 2009 | 17:37 MSK |
Comentar
|
Como era de esperar, la muerte de Michael Jackson desató un frenesí de actividades con cada nuevo "hecho" que se daba a conocer, comentarios de los fans y rumores difundidos por los medios. Por supuesto, los piratas virtuales no tardaron en unirse al movimiento mundial. Un ejemplo de ello son los hackers que irrumpieron en la cuenta de Twitter de Britney Spears para hacer creer a sus fans que había sufrido una muerte prematura. Los spammers también saltaron al vagón de Michael Jackson. La imagen de abajo muestra parte de un mensaje spam en italiano que detectamos hoy:
[Traducción: “Todo el mundo quedó devastado al enterarse de la muerte de Michael Jackson. Su muerte está rodeada de misterios. El siguiente video muestra los últimos momentos de la vida de Michael Jackson y la dura verdad sobre su muerte. ¡Los menores de 16 años no deben ver este video!"] El enlace que se muestra en el mensaje parece dirigir a YouTube, y quienes pulsan en él ingresan a un sitio muy parecido. La página contiene incluso un contador de visitas en la parte inferior del sitio que registra las más de 5 millones visitas que ha recibido el sitio.
Pero si los usuarios intentan ver el video, en vez de ver hechos sorprendentes, el sitio les pregunta si quieren abrir o guardar un archivo. Por supuesto, no es ningún codec ni archivo de videos: es Net-Worm.Win32.Kolab.cxa, un gusano que nuestros productos desactivan. 
La ingeniería social de este ataque es bastante buena, aunque hay algunas señales que lo delatan. El enlace no es 100% igual a los que dirigen al sitio legítimo de YouTube, y los visitantes que ingresan más de una vez notarán que el contador de visitas no aumenta. Así que si quieren enterarse de las últimas noticias, recuerden: usen su sentido común, analicen los enlaces con detenimiento antes de pulsar en ellos y no olviden actualizar sus programas antivirus.
Y que descanses en paz, Michael.
Descuidos en los mensajes de actualización de Firefox |
|
El fin de semana pasado estuve ocupado configurando unos nuevos sistemas. Mientras lo hacía, encontré una vieja máquina y decidí encenderla. Al ingresar a Firefox, apareció en mi pantalla el siguiente mensaje: 
¿Qué hay de malo con esta imagen? Si se analiza con cuidado, bastante. El problema es que Firefox 2.0.0.13 está muy lejos de ser la última versión de Firefox. Peor aún, el mensaje falla en dos cosas: No sólo ya estamos en Firefox 3.x, sino que Firefox 2.0.0.13 tampoco es el último lanzamiento en la saga de versiones 2.x. Así que el anuncio da un mensaje errado tanto en cuestión de lanzamientos mayores como de menores. Ahora, cualquiera puede pensar que el mecanismo de actualizaciones automáticas se ocuparía de este problema, pero eso puede deshabilitarse por una gran cantidad de razones. De una u otra manera, el punto es que este es un descuido muy grande de parte de Mozilla. Por desgracia, el mostrar mensajes incorrectos de este tipo no es exactamente un problema nuevo para Mozilla y en mi opinión esta dejadez de ignorar problemas tan fáciles de solucionar no da una buen imagen. Como la página se abre desde el sitio de Mozilla, no debería ser tan trabajoso resolver la falla. Cuando revisé la situación en el grupo de actualizaciones 3.x de Firefox, los resultados fueron mejores.
Esto significa que los chicos de Mozilla han estado arreglando la página para que incluya las versiones 3.x, pero olvidaron hacerlo con las anteriores. Esperemos que Mozilla arregle este problema pronto para que su sitio comience a anunciar de forma correcta si una versión está actualizada o no, aún cuando la afectada sea una versión antigua. Después de todo, todos sabemos que existen millones de personas que tardan una infinidad en actualizar sus sistemas.
El gusano de Twitter que no es gusano |
|
El sábado se lanzó una alerta sobre un nuevo gusano de gusano Twitter. ¿Acaso es otro gusano XSS? Al pulsar en el enlace, los usuarios ven lo siguiente: 
Pero hay más: se establece en secreto una conexión a otro servidor que descarga un archivo PDF malicioso. Este PDF contiene varios exploits. Si se logra explotar la vulnerabilidad, se descarga un archivo. Según los informes, se esperaría que fuera un gusano, pero resulta ser otro instalador de programas fraudulentos. Esta vez promueve un programa llamado “System Security”. Durante el proceso de investigación no pude detectar ningún componente correspondiente a un gusano. Pero existe otra explicación para que la actividad que hemos visto se asemeje a la de un gusano. 
Hace alrededor de una semana se detectó un ataque phishing bastante grave que atacaba a Twitter. Sólo sería cuestión de tiempo hasta que viéramos el uso que se le daba a la información robada. Lo más probable es que los cibercriminales responsables de este ataque simplemente usaron los datos de acceso robados para ingresar a las cuentas comprometidas y enviar los mensajes que se vieron en este ataque. Yo creo que esto es mucho más probable que haber usado un gusano. Este ataque es muy importante. Parecería que al menos un grupo criminal está explorando la posibilidad de utilizar Twitter para distribuir programas por dinero. Si las tendencias que hemos visto en otras redes sociales sirven de indicador, es muy posible que veamos un aumento en ataques a Twitter.
Revisión de los documentos de AMTSO |
|
La semana pasada escribí sobre los documentos que los miembros de AMTSO acababan de aceptar. Durante las próximas semanas, explicaré en detalle el contenido de cada uno de los documentos y por qué son importantes. El primer documento que estudiaremos será el de Las mejores prácticas para validar las muestras (Best Practices for Validation of Samples), pdf en inglés. Las muestras que se toman son un componente crucial de una buena prueba. Existen aspectos importantes, como que los productos estén configurados de manera apropiada y que se interpreten los resultados del análisis de forma óptima. Pero cuando pensamos en pruebas, las muestras son lo primero y más importante que pasa por nuestra mente. Cuando hablamos de validación, nos referimos de manera estricta a asegurarnos de que todas las muestras utilizadas funcionen. Así que esto no incluye definir la relevancia ni la clasificación de las muestras. ¿Por qué es importante la validación? Porque los archivos que no se pueden cargar no representan ninguna amenaza para el usuario. Por esta razón, los programas de seguridad no los detectan, ni deberían hacerlo. El tener estos archivos entre las muestras influiría en los resultados de la prueba. Veamos un ejemplo teórico: Tenemos un gran gusano de red de 100KB, que los productos antivirus A, B y D lo detectan, pero el C no lo hace.
Ahora veamos qué sucede cuando el gusano se carga. Mientras el gusano trata de infectar un ‘honey pot’ la conexión se rompe cuando se han transferido tan solo 80KB del archivo. De pronto los resultados de la prueba comienzan a variar:
- El producto A sigue detectando el archivo porque tiene una signatura en los primeros 80KB del archivo original.
- El producto B deja de detectar el archivo porque su signatura estaba basada en los últimos 20KB del archivo.
- El producto C nota que hay una diferencia entre la información en el encabezado PE y el tamaño real del archivo y comienza a detectarlo de forma heurística.
- El producto D deja de detectarlo porque tiene un modo de detección basado en emulación. Como el archivo ya no se puede cargar, no puede emularse.
El documento se concentra principalmente en la validación de archivos PE (portátiles ejecutables) porque éstos conforman la mayor parte del malware hoy en día. Lo ideal sería que quien esté manejando las muestras trate de ejecutar la prueba en un ambiente seguro para obtener los resultados más precisos. Si esto no es posible por razones como tiempo o recursos, el documento presenta algunos datos para revisar de forma estadística si una muestra puede cargarse. Aquí puede leer los documentos recién publicados.
Spammers alemanes se estancan en navidad |
|
Ya estamos en mayo y a casi medio año de la Navidad. Faltan más de seis meses hasta la próxima nochebuena. Pero al parecer esa no es razón suficiente para dejar de enviar spam con motivos navideños. Después de todo, cualquier festividad es buena para el negocio. Así que, ¿por qué no aprovechar la popularidad de esta fiesta en febrero, marzo, abril o mayo?
Abajo les mostramos algunos mensajes que recibimos el 27 de marzo y 29 de abril. 
Este mensaje contiene el típico texto explicando los beneficios del Viagra. Al final del mensaje se ofrecen 12 tabletas gratis por navidad. Cuando en febrero recibí los mensajes en alemán que contenían felicitaciones navideñas, pensé que los spammers habían olvidado eliminar las líneas extra que ofrecían felicitaciones y regalos. Pensé lo mismo en marzo. En abril estaba un poco confundida. Pero hoy, al recibir la oferta de 12 tabletas de viagra por Navidad, me di cuenta de que lo más probable era que los spammers estén anticipándose a la fecha. 
Uno nunca sabe, tal vez lo que los spammers querían decir era que si compras un paquete de Viagra ahora recibirás otro gratis en Navidad. ¿Quién sabe lo que pasa por sus cabezas? De cualquier modo, el que ofrezcan productos gratis no es nada novedoso.
En vivo desde Interop Las Vegas |
Estoy en el evento Interop Las Vegas que una vez más se está llevando a cabo en el centro de convenciones Mandalay Bay. Es la primera vez que visito Las Vegas y es una experiencia maravillosa. Ayer hablé sobre los peligros de las redes sociales y el problema aún mayor de la confianza ciega que los usuarios tienen en ellos. Hoy hablaré sobre los métodos que utilizan los atacantes y sobre cómo funciona el ecosistema del malware. Como muchos de nuestros competidores, también tenemos un espacio en Interop. Así que si están cerca pueden pasar por el stand #1212 y visitarnos cuando tengan tiempo. 
| Dmitry Bestúzhev | 20 mayo 2009 | 16:28 MSK |
Comentar
|
La semana pasada los medios de comunicación le prestaron bastante atención a un nuevo ataque phishing que afecta a Facebook, una de las redes sociales más usadas, con alrededor de 200 millones de usuarios registrados. Se cree que los delincuentes atacaron Facebook para aprovechar su popularidad y la gran cantidad de usuarios que tiene. Lo interesante es que los ataques a redes sociales más pequeñas pero igual de conocidas también están basados en la ingeniería social. Por ejemplo, hace poco detectamos una nueva ola de ataques phishing que afectaba al sitio Odnoklassniki (‘compañeros de clase’ en Ruso), que es muy popular entre los internautas de la antigua Unión Soviética. En la actualidad el sitio cuenta con alrededor de 35 millones de usuarios. Los atacantes utilizan un método similar: Un contacto de confianza te envía un mensaje con un enlace a un recurso externo. El mensaje falso parece legítimo porque contiene el nombre del usuario y a veces hasta un sobrenombre que sólo sus amigos conocen. {¡Hola Diman! Ayer Nastya me mostró un concurso interesante. Entra a
http://furnish.comforts.me ¡es genial!} 
{¡Hola Diman! Ayer Nastya me mostró un concurso interesante. Entra a t
http://furnish.comforts.me ¡es genial!}
El usuario que ‘envía’ este tipo de mensajes debe haber entregado su contraseña sin darse cuenta a estafadores virtuales o su ordenador debe estar infectado con un programa nocivo que roba contraseñas.
Al pulsar en el vínculo del mensaje se abre una ventana que imita al sitio de Odnoklassniki, en la que se ofrece a los usuarios la oportunidad de participar en un concurso. Después se pide al usuario que escriba sus datos de acceso al sitio (dirección de correo y contraseña). 
Después se le pide que envíe un mensaje SMS desde un teléfono móvil para recibir un código especial que necesita para participar: 
Un solo mensaje SMS cuesta a los usuarios rusos entre 150 y 200 rublos, el equivalente a 6 dólares estadounidenses. Por supuesto, el usuario no recibe ningún código. Los más persistentes y entusiasmados pueden enviar un segundo mensaje SMS y acabará gastando $12. Una vez que las víctimas se dan cuenta de que no vale la pena mandar más mensajes, ya es demasiado tarde: los usuarios tienen los datos de la cuenta del usuario, que seguramente utilizarán para lanzar más ataques phishing. En este caso particular, los phishers intentan ganar dinero de los mensajes SMS que las víctimas envían. Así que ahora que la conocen, ¡no caigan en la trampa!
|
Durante toda la primera semana de mayo, parte de la comunidad de analistas antivirus se reunió en el soleado Budapest, Hungría. El primer grupo de empresas asistió al tercer taller anual CARO. Más de cien analistas de todo el mundo acudieron al taller. Además del taller se realizó la reunión de miembros de AMTSO. La reunión tuvo muchos menos asistentes que las veces pasadas: alrededor de 40 personas, entre las que estábamos Dennis Nazarov y yo en representación de Kaspersky Lab. Llegamos con un plan para votar en cuatro documentos: - Las mejores formas de validar los ejemplares,
- Las mejores formas de analizar productos de seguridad en la nube,
- Análisis de los procesos de revisión y
- Problemas en la creación de malware para pruebas.
Después de discutir el tema, decidimos que este último punto todavía no estaba listo para someterse a votación. Este es sin duda el documento más controversial en el que AMTSO está trabajando. Existe una clara división entre la gente que cree que está bien modificar y crear malware con el propósito de examinar los productos de seguridad y los que opinan lo contrario. Se ha mantenido un fuerte tabú hacia la creación de malware hasta hace un par de años, tanto por razones técnicas como éticas. Sin embargo cada vez hay más gente que piensa que está bien hacerlo mientras que se tomen las debidas precauciones. Se consideró que los otros tres documentos estaban listos para someterse a votación. Se votó en los tres documentos. El documento de validación se concentra en un tema muy importante: cómo asegurarse de que todos los archivos en un grupo específico sean válidos, es decir, que no estén corrompidos. Como cada vez más productos están adquiriendo ‘habilidades en la nube’, existe el problema de cómo examinar estos productos de forma apropiada. Como la nube siempre está cambiando se vuelve imposible reproducir los resultados de las pruebas. Este documento contiene muy buenas propuestas para abordar el tema. El que seguro tendrá el mayor impacto es el documento de Análisis de procesos de revisión. Este documento contiene los pasos que deben seguir las pruebas publicadas para ser aprobadas de forma oficial por AMTSO. Un comité especial revisará si las pruebas siguen los principios fundamentales de pruebas de AMTSO y verá si tienen validez. Seguimos mejorando algunos de los otros procesos, pero este paso nos tiene muy emocionados. Aquí.puede leer los documentos recién publicados. 
Foto de Costin (izq.) y yo (der.) en la soleada Budapest, no tomamos ninguna en la reunión de AMTSO.
|
Hace poco lanzamos un producto especial para netbooks, así que constantemente estamos realizando pruebas de compatibilidad con cada nuevo netbook que aparece en el mercado. El otro día compramos un M&A Companion Touch nuevo para examinarlo. Tras realizar los primeros análisis, el equipo de examinadores me contactó porque sospechaba que había una infección de virus. ¿Sería posible que este sea otro ejemplo de un aparato que viene infectado de fábrica? Un análisis antivirus detectó los siguientes programas nocivos: Worm.Win32.AutoRun.aayn, Rootkit.Win32.Agent.hwq y Packed.Win32.Krap.g. Por si les interesa, estos son sus MD5s: Worm.Win32.Autorun.aayn: 0x4f90e62489e5a891a1d9520408164b8c
Rootkit.Win32.Agent.hwq: 0x7f289b08a41ef6c26b684dc4d95028ee
Packed.Win32.Krap.g: 0x1928c09bdb7d2c7d1180bf2105e1315a Después de estudiar el caso con mayor profundidad, descubrí que los archivos habían estado en el aparato desde febrero de 2009, mucho tiempo antes de que compráramos el netbook. El gusano AutoRun se propaga a través de dispositivos removibles, aprovechando vulnerabilidades en la forma en que Microsoft ejecuta la funcionalidad. Escribí sobre el problema en el blog de Zdnet (en inglés). Lo que debe haber pasado es que alguien utilizó un dispositivo USB infectado y lo conectó al netbook para instalar algunos drivers del aparato. El verdadero propósito de este gusano es robar las contraseñas de algunos juegos en línea, como el de El señor de los anillos y Maple story. También utiliza un mecanismo especial de descarga. Los archivos PE están codificados y vinculados de forma previa por un encabezamiento RAR falso para burlar a las soluciones de seguridad. Detectamos estos archivos “defectuosos” como Trojan.Win32.Ramag. Este caso demuestra una vez más que hasta los productos nuevos pueden venir infectados desde la fábrica. Protegerse de los dispositivos nuevos que ya vienen infectados es muy difícil. Por lo general lo más efectivo es hacer un análisis con una solución antivirus actualizada sin conexión a la red. Como siempre habrá transcurrido cierto tiempo entre el momento de la infección y el de la compra, tu programa de seguridad no debería tener ningún problema en detectar las amenazas. Como es de esperarse, hemos informado a M&A sobre nuestro descubrimiento. Pero, como los aparatos también están dando vueltas en casas y oficinas, también estamos alertando a los usuarios.
| |
