| |
Home / Bitácora / abril 2009
Bitácora del analista antivirus
| Maria | 27 abril 2009 | 10:50 MSK |
Comentar
|
Puede sonar un poco extraño, pero el volumen del spam es casi constante; las grandes fluctuaciones por lo general están relacionadas con algún evento de gran importancia, como la clausura de McColo, que causó una disminución llamativa en la cantidad de spam en circulación. Pero este mes ocurrió lo opuesto: a continuación les mostramos un pequeño gráfico de nuestras estadísticas de spam del 15 al 23 de abril. Las fluctuaciones son sorprendentes. 
Sin embargo, los últimos dos días hemos recibido una cantidad de spam normal. Nos costó mucho encontrar una explicación lógica para este aumento súbito: el principal sospechoso, Kido (e Iksmas, que es el programa que descarga en los ordenadores infectados), no mostraba ningún cambio de actividad inusual. Pero entonces recordamos que aquí en Rusia celebramos pascuas el 19 de abril. Los spammers también son personas y tienen vidas que disfrutar. Las estadísticas indican que tomaron un pequeño descanso y después comenzaron a enviar mayores cantidades de spam para recuperar el tiempo perdido. Los casos como este son raros, pero los mantendremos informados si pasa algo novedoso y la cantidad de spam comienza a fluctuar sin control.
Un juego de niños: ¡Corre que te pillo! ¡Tú la llevas! |
| Maria | 21 abril 2009 | 18:57 MSK |
Comentar
|
Si alguna vez han leído nuestros informes de spam mensuales, seguro saben que los spammers rusos gastan bastantes recursos publicitando sus servicios y que la cantidad de spam publicitario en línea ha aumentado muchísimo en los últimos meses. Con la rápida evolución de la tecnología, puede que piensen que sólo los spammers menos actualizados envían sus propios mensajes. Sería mucho más fácil y efectivo contratar los servicios de una red zombi para que los envíe. Pero la situación económica está afectando a los spammers igual que al resto de la gente. Hemos estado viendo algunos mensajes masivos como los siguientes: El correo parece el equivalente tecnológico de un juego de niños que dice al usuario "¡Corre que te pillo! ¡tú la llevas! ☺/ Pasa la mancha a 10 amigos para dejar de llevarla!” Y ofrece números de ICQ y de teléfono en caso de que el usuario quiera encargar el envío de mensajes masivos. Es una forma de ahorrar dinero: si el usuario no lee el mensaje completo, lo enviará a sus amigos, quienes a su vez lo enviarán a sus amigos, etc. Un mensaje similar es el “Gato de la Felicidad” que se muestra abajo, en el que se pide al usuario que envíe el mensaje a cinco amigos para ganar prosperidad. Aquellos que no son fanáticos de los juegos de niños y que sólo eliminan el primer mensaje, tal vez se sientan más atraídos a reenviar esta adorable bola de pelos, sin darse cuenta de que están publicitando los datos de contacto del spammer. Al contrario de algunos mensajes spam, los datos de contacto están a la vista y no se hace ningún esfuerzo por esconderlos. Y aunque la cantidad de spam que se puede propagar de esta manera no se compara con la que puede enviar una red zombi, en estos días cualquier ayuda es bienvenida.
Un nuevo gusano XSS de Twitter anda suelto |
|
Hoy hemos detectado una nueva variante de Net-Worm.JS.Twttir rondando en Twitter. Los productos Kaspersky lo detectan como Net-Worm.JS.Twettir.h. El gusano apareció justo después de que se anunciara que una empresa de seguridad había empleado al autor del gusano original. No quiero desviarme del tema de esta entrada, así que sólo les digo que estamos seguros de que esta fue una muy mala idea. Esta nueva variante tiene varios mensajes predeterminados y selecciona uno para publicar en Twitter. Algunos mencionan nombres importantes de twitter, otros sólo hablan de “Mikeyy”, el autor original de los gusanos. Uno de los mensajes también afirma que esta vulnerabilidad XSS sólo afecta a los usuarios de Internet Explorer. Al momento de la publicación de esta entrada, sólo pudimos confirmar que la última versión de Firefox (3.0.8) no es vulnerable a este exploit. Lo interesante de esto es que el script XSS está alojado en el mismo dominio que el gusano original. Esto implica que Mikeyy lo ha hecho de nuevo. Es algo raro para alguien que acaba de obtener un trabajo en una empresa de seguridad, ¿no creen? Por otro lado, existen rumores de que el ordenador de “Mikeyy” y sus contraseñas están comprometidos. Así que es posible que, después de todo, sea otra persona quien está lanzando los ataques. Así que a todos los Tweeters que nos están leyendo y que disfrutan pulsando en perfiles y URLs, lo mejor es que utilicen la última versión de Firefox con el plugin noscript que se puede descargar de noscript.net. Esto les debería ofrecer suficiente protección contra los gusanos XSS de Twitter que puedan surgir en el futuro. Seguiremos monitorizando la situación y los mantendremos informados.
| Maria | 17 abril 2009 | 15:33 MSK |
Comentar
|
Cuando trabajas de analista de spam te encuentras con las cosas más diversas de todo el mundo. Hoy encontré un mensaje escrito en alemán con un texto estándar ( “[nombre] te ha enviado este enlace”) y con un vínculo que parece dirigir a Bild.de, un sitio de noticias alemán muy conocido. Si el usuario pulsa en el enlace, acaba visitando un sitio que imita el diseño y contenido de Bild.de. El texto que dirige al artículo de ‘noticias’ es bastante llamativo: comienza hablando sobre la crisis financiera (¡otra vez!), pero después comienza a desarrollar un tema mucho más original: ¡la pornografía produce dinero! Puedo que eso no suene como nada nuevo, pero lo interesante es que no te dicen cómo descargar o ver pornografía gratis. Los enlaces que se incluyen en el artículo falso (arriba) dirigen a artículos legítimos sobre economía en Bild.de, a un sitio pornográfico común y al sitio que se muestra a continuación: Este sitio ofrece a los usuarios la oportunidad de “ganar dinero desde sus casas en un área lucrativa del negocio de lo erótico”. Es “fácil…¡y gratuito!” Sólo registra un dominio, crea un programa partner en tu página y publicítala. Este sitio también contiene emocionantes testimonios de gente que se sentía angustiada por sus problemas económicos, pero que decidió probar este negocio como una última opción… y después sólo se sentó a ver cómo su dinero se acumulaba. Incluso son tan amables como para indicar en detalle cómo impulsar el negocio para que comience pronto y con el pie derecho. Con la situación de la economía actual y los spammers listos para ofrecer toda la ayuda necesaria, lo único que queda preguntar es ¿porqué no entrar al negocio de la pornografía y ganar millones?
Vigilando la red P2P de Kido-Conficker |
| Georg | 16 abril 2009 | 01:10 MSK |
Comentar
|
Mientras analizábamos el comportamiento de la red Kido, desarrollamos una aplicación que nos ayudó a comprender en detalle las comunicaciones peer-to-peer del malware, que se han utilizado para distribuir las actualizaciones en la última semana. En un periodo de observación de 24 horas hemos podido identificar 200652 IPs únicas participando en la red, mucho menos que las que estimaban los conteos iniciales de las infecciones de Kido. Esto se debe en especial al hecho de que sólo las últimas variantes de Kido participan en la red peer-to-peer y sólo una fracción de los nodos infectados con nodos de variantes anteriores se han actualizado con nuevas variantes. En cuestiones de distribución global, estamos viendo la figura prevista por los primeros conteos de la infección. Brasil y Chile sobresalen en el recuento de ordenadores que forman parte de la red P2P: Sin embargo, parece que ninguna región se salva de este problema en todo el mundo. La densidad de puntos de un país particular no representa el recuento de la infección debido a que la resolución del IP a la base de datos de GeoLocation que se usa es variable: 
Un vistazo más cercano a los Estados Unidos revela que las partes este de los EEU tienen más nodos peer-to-peer que la parte oeste: 
Un hecho interesante al observar la red es que se puede identificar el centro de la red (que está bien conectada) en poco tiempo debido al gran caché peer que mantiene cada nodo. En los primeros 20 minutos, notamos que el 10,4% de la población total de peers no mostró el crecimiento exponencial que se habría esperado de cachés peer más pequeñas. Por lo tanto se puede asumir que una vez que un nodo se encuentra con algún otro nodo infectado que ya está conectado a la red, puede mantener una conectividad estable y las particiones de la red son improbables. Sin embargo, encontrar este primer nodo parece ser bastante difícil para algunos hosts: hemos visto varios nodos que no estaban conectados a ningún otro nodo.
Los gusanos no son el único problema en Twitter |
|
A decir verdad, la aparición de estos gusanos no es ninguna sorpresa. Twitter ha tenido bastantes problemas de seguridad últimamente. Los gusanos no explotan la vulnerabilidad de una forma muy compleja.
¿Quién los creó? Un adolescente aburrido de 17 años que no tenía nada mejor que hacer durante el fin de semana de Pascua. Un caso como este sin duda es similar a los casos de malware que se veían hace 10 años: el programa es molesto y llamativo, y no representa ningún peligro serio porque no intenta robar los datos de los usuarios. Ayer, mientras veía lo que sucedía en Twitter, observé varios Tweets que mencionaban Twizap. Pensando que podía ser un gusano, comencé a estudiarlo y descubrí que no lo era. Al parecer es un servicio aparte que funciona con un botón que dice "promuévenos" que permite al usuario publicar un mensaje que promueve el servicio.
¿Qué hay que hacer para activarlo? ¡Sólo pulsar el botón publica un mensaje publicitario en tu cuenta de Twitter! Una búsqueda rápida en la red reveló que este servició recién comenzó a llamar la atención de los medios de comunicación este lunes. Dada la atención que recibieron los gusanos XSS, creo que la promoción de este servicio pudo haber sido mucho más ruidosa. Además, en respuesta a la nueva amenaza de gusanos XSS, se han creado algunos servicios web con el supuesto propósito de proteger a los usuarios. Pero, una vez más, los servicios sólo piden a los internautas que pulsen en un enlace y que pidan a sus amigos que hagan lo mismo. Así se actualiza tu cuenta de Twitter pero, si el servicio fuera nocivo, ¡estarías enviando los datos de tu cuenta a una persona que desconoces por completo! Esta es la parte de las redes sociales que me da mucho más miedo que los gusanos XSS. Hay un sinnúmero de sitios web que ofrecen sus servicios a los usuarios de Twitter y de otras redes sociales. Mucha gente parece estar empleándolos sin cuestionarlos y sin tomar las medidas necesarias para verificar la integridad de estos servicios. ¿Qué significa esto? Que los usuarios se están acostumbrando a compartir sus datos personales sin pensarlo dos veces. Los gusanos XSS no son el verdadero problema aquí. El mayor problema es que estamos formando una nueva generación de usuarios ultra-vulnerables que van a ser más propensos a ataques sólo porque no quieren hacer preguntas.
Vigilando la red zombi II |
| Aleks | 10 abril 2009 | 18:56 MSK |
comments (2)
|
Acabamos de describir lo que pasa en los ordenadores controlados por Kido cuando la red zombi Iksmas se instala y ejecuta en ellos. Pero Kido también está descargando un antivirus falso llamado SpywareProtect2009 en los ordenadores de sus víctimas. Los dueños de los equipos infectados pueden ver los efectos de la actividad de SpywareProtect2009. Esto es lo que sucede: El antivirus falso comienza a mostrar mensajes cada cierta cantidad de minutos que advierten sobre supuestas infecciones, pues el programa dice ser capaz de detectar virus, ataques de red, problemas del servidor, etc: 
Este programa fraudulento es tan insistente con sus mensajes que puede llegar a convencer a los usuarios inocentes de que paguen por la desinfección de sus equipos, lo que los convertiría en víctimas de una estafa que les costará casi $50. Lo peor de todo es que, además de robarles su dinero, es posible que los delincuentes también obtengan los datos de las tarjetas de crédito de los usuarios, lo que podría dar lugar a todo tipo de terribles crímenes. Además de mostrar un sinfín de mensajes sobre infecciones, SpywareProtect2009 intenta instalar Trojan-Downloader.Wind32.Fraudload.ecl en el sistema. Este troyano está diseñado para descargar nuevas versiones de SpywareProtect2009. La variante .ecl descargaba estas versiones desde alsterstor.com. Notificamos al registrador de dominios sobre este sitio y lo clausuraron en menos de 20 minutos.
| Aleks | 10 abril 2009 | 18:31 MSK |
comments (1)
|
Como escribimos ayer, la red zombi Kido ha instalado otro conocido gusano en los equipos infectados: Iksmas, también conocido como Waledac. Iksmas se descarga del servidor goodnewsdigital.com, un recurso que no es nuevo para los investigadores y es una de las principales fuentes de distribución de Iksmas. Utilizando tecnología heurística, Kaspersky Anti-Virus detectó de forma proactiva la variante de Iksmas que descarga Kido como HEUR:Worm.Win32.Generic. La nueva versión de Kido (Worm.Win32.Kido.js) también se detectó como un programa nocivo utilizando esta tecnología. Decidimos mantener la red vigilada para ver qué haría el gusano Iksmas después de instalarse en los ordenadores infectados. En un periodo de 12 horas, Iksmas se conectó con sus centros de control en todo el mundo varias veces y recibió comandos para enviar correos spam. Todos los mensajes spam que la red zombi envió anoche ofrecían productos farmacéuticos. Estos son algunos ejemplos traducidos de estos mensajes: Asunto: ¡Una oportunidad única para disfrutar de una vida más saludable! Noticias Novedosas que te interesarán http://ie.hipraputt.com/ Asunto: Agrega potencia a la herramienta de tu hombre Distribuimos productos pornográficos desde 1972. ¡Prueba las píldoras azules y mantente despierto junto a todas tus mujeres! ^M http://bv.relaxkind.com/ Asunto: Una vida ardiente: recibe nuestra ayuda. ¡Asegura tu resistencia hoy mismo!
La solución para los miembros pequeños http://bj.jilfawris.com/ Asunto: ¡Soluciones perfectas para tenerla dura como una piedra!
Tu único y preferido farmacéutico en línea http://zer.jilfawris.com/ Asunto: ¡Soñará contigo día y noche!
Ámala donde y cuando quieras. http://lrmt.jilfawris.com/
En sólo 12 horas, un solo zombi envió 42.298 mensajes spam. Como pueden haber notado, los mensajes contienen enlaces a dominios de la red. Básicamente cada correo contiene un dominio único. Los delincuentes hicieron esto para evitar que los filtros de spam detectaran los correos masivos utilizando métodos que analizan la frecuencia en la que se envía un dominio específico. Detectamos 40.542 dominios de tercer nivel y 33 de segundo nivel. Todos pertenecían a spammers y a las empresas que contrataron sus servicios para que las publicitaran. Aquí hay algunas capturas de pantalla de los sitios: 
Esta es la lista completa de los dominios de segundo nivel que se utilizaron en los correos: aromatangy.com
calmchic.com
crisppride.com
cykduhdao.com
deblanf.com
eslihos.net
fabjust.com
fadvyil.com
fadvyil.net
faynetr.com
goodcure.at
gooddoctoronline.at
gooddoctorscare.at
gooddoctorsite.at
gooddoctorworld.at
gooddruginfo.at
gooddrugonline.at
gooddrugsite.at
gooddrugworld.at
goodearthlawncare.at
gotbake.net
hereftu.net
hipraputt.com
jilfawris.com
kepiseu.com
kepiseu.net
multinew.com
plumppeak.com
relaxkind.com
uljyelsel.com
vapshei.net
yuleaware.com
zwefopcyn.com Casi todos estos sitios se encuentran en China y están registrados bajo varios nombres, posiblemente inventados. Un cálculo simple muestra que un robot de Iksmas envía alrededor de 80.000 correos electrónicos en 24 horas. Asumiendo que existen 5 millones de ordenadores infectados, la red podría enviar alrededor de 400.000.000.000 (¡400.000 millones!) de mensajes spam en un período de 24 horas.
|
Anoche la red zombi Kido (también conocida como Conficker y Downadup) comenzó a entrar en acción, algo que todos estábamos esperando desde el primero de abril. Los ordenadores infectados con Trojan-Downloader.Win32.Kido (o Conficker.c) se comunicaron a través de redes p2p, ordenando a los equipos infectados que descarguen nuevos archivos nocivos. Esta última variante de Kido, Net-Worm.Win32.Kido.js, es muy diferente a las anteriores y hay que recalcar dos puntos importantes: también es un gusano, y sólo funciona hasta el 3 de mayo. Seguimos analizando los archivos y les avisaremos si hay alguna novedad. Kido no sólo descarga actualizaciones para su propia red, de hecho, el resto de los archivos que descarga son lo que hace que esta historia sea interesante. Uno de los archivos es una aplicación antivirus fraudulenta que detectamos como FraudTool.Win32.SpywareProtect2009.s. La primera versión de Kido, detectada en noviembre de 2008, también descargaba antivirus falsos al equipo infectado. Y, seis meses después, los delincuentes anónimos vuelven a utilizar el mismo truco. El programa fraudulento, SpywareProtect2009, se puede encontrar en los sitios spy-protect-2009.com., spywrprotect-2009.com y spywareprotector-2009.com. Al ejecutarlo, el usuario puede ver la interfaz de la aplicación, donde se encuentra un mensaje que pregunta al usuario si quiere eliminar las amenazas que el programa ha “detectado”. Por supuesto, este servicio no es gratuito: cuesta $49,95. Por ahora, el antivirus fraudulento proviene de sitios ubicados en Ucrania (131-3.elaninet.com.78.26.179.107), aunque Kido los descarga de otros sitios. La última versión de Kido también descarga Email-Worm.Win32.Iksmas.atz para infectar los sistemas de sus víctimas. Este gusano de correo electrónico, también conocido como Waledac, es capaz de robar datos personales de los usuarios y enviar mensajes spam. Cuando apareció por primera vez en enero de 2009, muchos expertos en informática notaron una similitud entre Kido y Iksmas. La epidemia de Kido se asemejaba a una epidemia de correo electrónico causada por Iksmas que se expandió tanto como Kido. Pero, hasta ahora, no se había encontrado ninguna prueba sólida que evidencie la conexión entre ambos gusanos. Esta prueba apareció anoche. Ahora mismo, tanto Kido como Iksmas están presentes en ordenadores infectados y forman parte de la gigantesca red zombi diseñada para enviar correos spam. Y aunque no se ha confirmado todavía, es posible que los sitios que pertenezcan a empresas y organizaciones que forman parte del Conficker Working Group sean víctimas de ataques. ACTUALIZACIÓN: Nuestros colegas de ISC acaban de publicar un mensaje diciendo que el sitio web del CWG está desactivado; están estudiando el caso.
ACTUALIZACIÓN 2: Wired anunció que el problema se debe a un incidente de sabotaje de los cables de fibra óptica.
Marcadores pornográficos para smartphones |
|
Hoy hemos detectado un nuevo programa potencialmente indeseado que ataca a smartphones que operan con la segunda edición de Symbian S60: not-a-virus:Porn-Dialer.SymbOS.Pornidal.a. Cuando se ejecuta un archivo llamado iPornPlayer.sis, aparece en la pantalla del usuario una Licencia de Usuario Final (EULA) común y corriente que advierte sobre el contenido pornográfico, explica las reglas de uso, etc. Detectamos este programa como not-a-virus: Porn-Dialer y no como un Trojan-Dialer porque contiene una EULA.
Además, la EULA explica que la aplicación llamará a los siguientes números premium internacionales para acceder al contenido:
- +43820911995
- +43810522237
- +239980254
- +3598815400096
- +22650500089
- +6744449333
- +423662690232
- +227171020
- +41773111701
- +2284260203
Se instalan los siguientes archivos:
- с:\system\apps\SexyVideo\SexyVideo.app
- с:\system\apps\SexyVideo\SexyVideo.rsc
- c:\system\programs\FullLengthViewer.exe
- c:\system\recogs\EZRECOG.MDL
El archivo MDL se utiliza para ejecutar de forma automática FillLengthViewer.exe. Este archivo ejecutable es el que realiza las llamadas a los números Premium. Este tipo de amenazas subraya dos puntos importantes. Primero, la mayoría de los usuarios no presta atención a lo que dicen las EULA, y no tiene la menor idea de lo que el programa hace en sus equipos (en este caso, llamar a números Premium). Segundo, este programa no se considera ilícito porque contiene un EULA. Aún así, se podría eliminar el EULA o cambiarlo para que no mencione las llamadas a números Premium. Esto convertiría a la aplicación en un programa malicioso, y las ganancias que obtenga se considerarían ilícitas.
Kido y Sober: algo en qué pensar |
|
Es dos de abril e Internet sigue funcionando en todo el mundo. Todo va bien por ahora. :-) Esta semana se ha prestado mucha atención a Kido/Conficker/Downadup. Como la mayoría de los expertos había anunciado, nada sucedió el primero de abril. Toda esta fiebre por el gusano me recordó a Sober, algo que por alguna extraña razón no se mencionó en ninguno de los muchos artículos que he leído estos últimos días. Hace poco más de tres años estuvimos tratando de apaciguar una gran epidemia: Email-Worm.Win32.Sober.y. Costin escribió sobre ella aquí. (en inglés). Cuando Sober.y iba a actualizarse, todo el mundo estuvo atento, igual que ahora con Kido. Y, como ahora, nada sucedió el primer día. Será interesante ver las similitudes y diferencias entre el caso de Kido y el de Sober. Muchos medios de comunicación han preguntado si la alarma sobre la actualización de Kido ha sido una broma del día de los inocentes. La respuesta es un no definitivo. Pero si han oído rumores sobre el arresto de los autores, lamentablemente esa sí es una broma del primero de abril.
| |
