| |
Home / Bitácora / agosto 2009
Bitácora del analista antivirus
Una breve biografía de Induc |
| Aleks | 31 agosto 2009 | 15:55 MSK |
Comentar
|
Los medios de comunicación han estado muy alterados, mostrando una y otra vez las opiniones de las empresas antivirus más conocidas. Y todas las noticias hablan de lo mismo: algo que no habíamos visto desde Kido (Conficker) y la última vulnerabilidad de Adobe. ¿El causante del escándalo? Virus.Win32.Induc.a.
Induc era un caso tan insólito que al principio sólo publicamos un corto artículo en la bitácora dando detalles técnicos sobre el virus. Ahora es tiempo de dar un paso atrás, y analizar el impacto real de Induc con calma. El nombre tiene una relación directa con la funcionalidad del virus. Una vez que infecta el ordenador de su víctima, revisa si tiene instaladas las versiones 4.0, 5.0, 6.0 y 7.0 de Delphi. Si detecta alguna de estas versiones, copia el archivo .pas que utilizará (en este caso, sysconst.pas) a \Source a \Lib y agrega su código al archivo. Crea una copia de seguridad de sysconst.dcu, llamándola syscont.bak, y compila el archivo .pas infectado, que resulta en un nuevo sysconst.dcu que contiene código nocivo. Después elimina el archivo .pas infectado. Así que tenemos un virus que agrega su código a un archivo con una extensión .dcu. Se podría decir que el código está “en dcu”(en inglés “in dcu”). Se mezclan un poco las letras (que es lo que normalmente hacemos para nombrar los virus) y el resultado es Induc. (Por supuesto, algunos virus reciben diferentes nombres de diferentes empresas antivirus. El hecho de que todos lo llamen Induc es un indicador de que fuimos los primeros en agregar su detección y tratamiento a nuestra base de datos: por lo general el primer nombre es el que pega). Cuando el virus ha inyectado su código en sysconst.dcu con éxito, todos los programas Delphi del ordenador quedan infectados. No lanza ningún otro ataque. La única amenaza es el hecho de que Induc se puede difundir por sí mismo. Lo interesante es la forma en la que se propaga: no infecta archivos exe, sino los archivos de compilación de lenguaje de programación. Sin embargo, este no es un planteamiento nuevo. Seguro recuerdan un virus similar de los años 90, que atacaba MS-DOS e infectaba los archivos Pascal. También hay ejemplos de un pasado más reciente: Por ejemplo Lykov, que apareció en 2003, anexa su código a los archivos fuente de los programas de Visual Basic. Su sucesor, Lykov.b, que infecta los archivos fuente de los programas de VB.NET, apareció pocos años después. Pero, hasta donde sabemos, nadie había tratado de infectar de forma directa los archivos servicio de un compilador. Este enfoque es tan insólito que no encaja en ninguno de nuestros sistemas de clasificación actuales. Induc no es un virus en el sentido estricto de la palabra, porque no infecta los archivos de forma directa. Modifica un sistema específico en vez de cualquier archivo que encuentre en su camino. Tampoco se lo puede llamar gusano ni troyano, a pesar de que contiene algunas características de estos tipos de programas. Así que en realidad Induc es algo nuevo. El segundo punto interesante es lo mucho que se ha extendido el virus. El día después de que comenzamos a detectarlo, los datos de Kaspersky Security Network revelaron que Induc era uno de los 70 programas maliciosos más comunes. No nos sorprendería si Induc apareciera en nuestro Top 20 de programas maliciosos detectados en agosto. Es posible que existan millones de copias de Induc en todo el mundo, ¡incluso puede haber causado una epidemia como la de Kido! El tercer punto interesante tiene que ver con las aplicaciones que infecta Induc. El virus acabó infectando ordenadores de desarrolladores, entre otros, y algunos de ellos creaban aplicaciones muy populares. Por ejemplo, hemos visto varias versiones infectadas del reproductor de música AIMP y de QIP, el popular programa de mensajería instantánea. Se ha detectado a Induc en aplicaciones de todo el mundo, en sitios de programas y en los CDs que regalan algunas revistas. El hecho de que Induc se haya encontrado en aplicaciones legítimas, muchas de las cuales se encuentran en las listas blancas de vendedores, ha creado otro problema. Esta vez es un gran dolor de cabeza en especial para la industria que ofrece listas blancas por medio de tecnologías “en la nube”. Cuando se detectaban archivos infectados en las bases de datos de archivos de confianza, se debía renovar la base de datos. Esto resalta las debilidades de estas bases de datos, y si ocurren incidentes similares en el futuro, no hay duda de que se comenzará a perder la confianza en las listas blancas. Desinfectar los archivos infectados no es un asunto trivial. Aunque es posible hacerlo, puede tener resultados indeseados: muchos programas (como QIP, por ejemplo) realizan un análisis de integridad con checksum al arrancar. Pero como QIP se infectó en su etapa de compilación, el checksum que se crea incluye el componente malicioso, así que cuando se lo desinfecta, QIP no funcionará de forma correcta. Sin embargo, los programas que no realizan esta revisión de integridad siguen operando de forma normal después de su desinfección. Cuando comenzamos a recibir archivos infectados, notamos casi de inmediato que algunos programas troyanos diseñados para robar datos de cuentas bancarias estaban infectados con Induc. Los autores de estos troyanos también habían sido víctimas de este virus: deben haber compilado sus archivos troyanos utilizando una versión infectada de Delphi. Todos los troyanos infectados que vimos provenían de Brasil, a pesar de que habían sido creados por diferentes grupos de escritores de virus. Pero esto no significa que Induc haya sido creado en Brasil: es sólo que este país es uno de los pocos en los que Delphi es el lenguaje de programación más usado (también es muy popular en Rusia). Pero dejemos el tema de los troyanos infectados y pasemos a la importante cuestión de cuánto tiempo ha estado el virus rondando en el mundo real sin ser detectado y por qué. Para dejar las cosas claras: un programador ruso llamado Aleksandr Alekseev, también conocido como Gun Smoker, identificó el virus por primera vez el 12 de agosto de 2009. El fue la única persona que, al encontrarse con el virus, no sólo descubrió lo que estaba pasando, sino que también alertó a la comunidad informática sobre la situación y envió los archivos maliciosos a las empresas antivirus. ¡Gracias, Gun Smoker! Gun Smoker publicó un artículo detallado sobre su descubrimiento (que se encuentra aquí, pero está escrito en ruso). Según Gun Smoker, los archivos infectados aparecieron por primera vez en enero de 2009. Nuestros datos muestran archivos infectados de noviembre y diciembre 2008 pero, por desgracia, Delphi no registra la fecha de compilación, así que no podemos decir con certeza cuándo se crearon estos archivos. Pero podemos decir con bastante seguridad que Induc ha estado dando vueltas en el mundo real por un año. Esto significa que tenemos una situación sin precedente: un programa malicioso que se mantuvo “invisible”, sin ser detectado por programas antivirus, por más de un año. Esto es más sorprendente que Rustock, el rootkit que detectamos el año pasado. Pero antes de que empiecen a buscar culpables, me gustaría defender a la industria antivirus: Induc estuvo en la red por tanto tiempo porque no hace nada que las tecnologías antivirus actuales puedan detectar. Induc no roba datos, ni establece ninguna conexión de red, ni envía spam... ¡no hace nada que pueda detectarse! Si tuviera un verdadero propósito, se lo habría identificado hace mucho tiempo. Y esto nos lleva a otra pregunta: ¿Qué pasará si este método de propagación se vuelve común? Es claro que Induc es un código de prueba de concepto. Tal vez lo escribieron para ganar una apuesta, o por accidente. Claro que los cibercriminales pueden adoptar la idea de Induc, pero ellos no están interesados en sólo propagar archivos: quieren tener el poder de utilizar el sistema infectado de alguna manera. Pero las tecnologías antivirus actuales pueden detectar todas las actividades maliciosas que puedan realizar. O, en otras palabras, sus ataques no pasarían desapercibidos por un período de tiempo tan largo. En realidad no creemos que los criminales adopten la rutina de propagación de Induc, existen formas mucho más simples de lanzar ataques. Sin embargo, Induc nos enseñó una lección muy valiosa: demostró a las empresas antivirus que las listas blancas no son perfectas, y que la velocidad de detección de una amenaza no lo es todo. También mostró a los desarrolladores de programas que necesitan comprender en profundidad cómo funcionan sus lenguajes de programación. Y, por último, Induc abrió los ojos a todos los usuarios de ordenadores y nos hizo notar que hasta las aplicaciones confiables no están tan limpias como parecen.
Induc: El innovador programa que infecta archivos |
| Denis Nazarov | 18 agosto 2009 | 18:30 MSK |
Comentar
|
Hace poco agregamos a nuestra base de datos un nuevo virus que infecta archivos, que hemos denominado Virus.Win32.Induc.a. Desde entonces, hemos recibido muchas preguntas sobre él. Por ahora no realiza ningún ataque malicioso y no infecta de forma directa los archivos .exe. En vez de eso, revisa si el ordenador de su víctima tiene instaladas las versiones 4.0, 5.0, 6.0 y 7.0 de Delphi. Si las encuentra, copia SysConst.pas a \Lib y escribe su código allí. Después realiza una copia de seguridad de SysConst.dcu, llamándola SysConst.bak (los archivos dcu se mantienen en \Lib). A continuación compila \Lib\SysConst.pas para producir una versión infectada de SysConst.dcu. Por último, elimina el archivo .pas modificado. "uses windows;
var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle', "
El resultado: todos los programas Delphi del ordenador quedan infectados. (Ya hemos recibido quejas de una empresa que nos contactó porque pensaba que habíamos detectado una infección inexistente en su producto). Tal vez este virus en particular no es una amenaza muy grande: no es la primera vez que vemos este método de propagación, el código es bastante primitivo, el ataque no es muy dañino y hay formas mucho más fáciles de infectar ordenadores. Pero a lo largo de los años hemos visto que las nuevas formas de infección se reutilizan, alteran y mejoran. Así que mantendremos este programa vigilado en caso de que esto suceda.
¿Cuánto cuesta una tarjeta de crédito? |
| Dmitry Bestúzhev | 18 agosto 2009 | 18:29 MSK |
Comentar
|
“Crisis crediticia” se refiere a cómo todos estamos cada vez más pendientes de nuestros gastos bancarios, de los porcentajes de interés y de las formas para ahorrar unos cuántos centavos. Los asesores financieros han escrito bastante sobre cómo puedes ahorrar dinero al hacer transferencias de tu tarjeta de crédito a la cuenta de otra persona, y la mayoría de la gente está buscando las mejores ofertas antes de comprar artículos. Por supuesto, la TAE y otras tasas no preocupan a los cibercriminales. Todo lo que quieren es conseguir números de tarjetas de crédito ajenos y venderlos a otros criminales. ¿A quién le importa si su verdadero dueño acaba pagando dinero extra por su culpa? Pero lo más interesante es el precio fluctuante de los datos de tarjetas de crédito. Estaba analizando algunos programas nocivos que me redirigieron un par de veces hasta que aterricé en un sitio que ofrecía números robados de tarjetas de crédito. Los precios varían según el país de procedencia y la disponibilidad. Y no sólo se venden tarjetas provenientes de muchas fuentes diferentes, los delincuentes también están ofreciendo un servicio completo: servicio al cliente de 9:00 a 22:00 en inglés y alemán y su propio sistema de garantías.  El hecho de que los datos de tarjetas de crédito alemanas cuesten más, pero su garantía caduque más pronto parece contradecir los principios básicos del mercado libre. Parece que existe más demanda por los datos de países específicos. Tal vez esto se deba a que es más fácil utilizar los números de tarjeta robados de algunos países: quizás porque la burocracia en algunos lugares haga que se tarde más en bloquear las tarjetas, porque el proveedor de tarjetas devuelva los fondos robados a la víctima sin hacer muchas preguntas, porque haya menos obstáculos para utilizarla en Internet, o porque sea menos probable que se lleve a cabo una investigación criminal debido a las restricciones locales de la policía, las posibilidades son muchas. Pero aún con un producto tan perecedero, los delincuentes no realizan esta actividad por diversión: es obvio que el sitio está establecido como un negocio, e incluye enlaces a otros sitios que ofrecen servicios e información a los cibercriminales.
Twitter y Adobe: ¿Cuál es la diferencia? |
| Roel | 13 agosto 2009 | 14:14 MSK |
Comentar
|
Hoy Twitter fue blanco de otro ataque DDoS. Muchos se preguntan por qué Twitter no parece aguantar estos ataques. Y al mismo tiempo cada vez más personas se unen al grupo que dice que hay que alejarse de los productos Adobe.
¿Cuál es la relación entre ambos casos? Dos empresas muy destacadas que son el blanco de varios cibercriminales de todo el mundo. Además, ambas empresas proyectan una muy mala imagen respecto a los a los problemas de seguridad que tienen. Pero esas son todas las similitudes entre ambas empresas. Viendo a Twitter en el transcurso de un año, ¿a qué conclusiones podríamos llegar? En primer lugar, la seguridad actual de Twitter no parece ser mucho mejor que la de principios de año. Esa es sólo mi opinión personal, por supuesto. En segundo lugar, el servicio está aumentando su popularidad cada vez más. Twitter está en todas partes, y lo digo en serio: echen un vistazo a los medios de comunicación dominantes y verán decenas de referencias a Twitter cada día. Los ataques a Twitter no han tenido ningún impacto notable en su popularidad. Dado el actual modelo empresarial del servicio (cualquiera que sea), sólo los ataques DDoS parecen causarle un verdadero daño a Twitter. Y el mismo modelo empresarial puede ser la razón por la que Twitter no parece estar tomando en serio las investigaciones de seguridad. Tal vez, por suerte para la comunidad de Internet, Adobe no tenga la misma actitud. El llamado constante a alejarse de Adobe hace que la empresa sienta el impacto que la falta de seguridad tiene en su negocio e invierta más en mejorarla. Aunque está claro que está a la cabeza del mercado en su área, tiene una gran desventaja: existen buenas alternativas para sus productos. Yo creo que Adobe está en la misma situación que Microsoft hace unos siete años. Sin embargo, el principal competidor de Microsoft no era tan maduro entonces como los de Adobe son ahora. Adobe tiene varios rivales en diversas áreas: Tiene competencia en lectores y editores de PDF, y varias opciones están surgiendo para reemplazar Adobe Acrobat/ Reader. Los rivales de Adobe Flash aún no están bien definidos. Como el formato Flash está patentado, es casi imposible para otras empresas crear reproductores de Flash que puedan igualar y reemplazar al de Adobe. Algunos códigos de acceso público pueden servir como alternativas, pero su funcionalidad es limitada. Y esto no resuelve el problema de crear y editar archivos Flash. Es posible que la competencia más fuerte para Adobe vaya a ser Microsoft. Silverlight no ha dado ningún paso decisivo hasta ahora, pero si los problemas de seguridad de Adobe (Flash) persisten, sin duda se presentará la oportunidad para Silverlight. Los líderes de Adobe y Twitter pueden pensar que ahora mismo su mejor inversión está en los negocios en vez de en la seguridad. (Esto se aplica más a Twitter, ya que los medios empresariales dicen que no parece tener una estrategia empresarial rentable). Pero, tomando en cuenta el ambiente de Internet hoy en día, está muy claro que cualquier buena estrategia de mediano o largo plazo debe incluir seguridad, y esto supone códigos seguros, respuesta rápida a ataques, etc. Desde mi punto de vista, nunca es demasiado pronto para adoptar este tipo de estrategias. No es que me importen mucho las empresas, sino que me preocupa la comunidad que utiliza sus servicios. Si se nos motiva a publicar tweets y a compartir y divulgar nuestros datos, al menos asegurémonos de que todo lo que usamos es lo más seguro posible (aunque no existe la seguridad verdadera, ¡esforcémonos lo más posible por conseguirla!).
Actualización de Koobface |
| Stefan | 6 agosto 2009 | 16:33 MSK |
Comentar
|
La URL que Koobface estaba usando para propagarse (vean esta entrada para más información) ha sido desactivada, así que se están bloqueando los ataques.
| Stefan | 6 agosto 2009 | 16:29 MSK |
Comentar
|
Como la actividad de los anteriores ataques estaba llegando a su nivel máximo, Twitter se desconectó de la red. La gente de Twitter todavía no sabe a qué se debe el problema (http://status.twitter.com/post/157160617/site-is-down). Lo más probable es que el ataque de Koobface y el hecho de que Twitter se desconecte al mismo tiempo no sea más de una coincidencia. Pero bueno, este ataque también tiene un lado bueno: al menos ya no estamos viendo más tweets maliciosos. ACTUALIZACIÓN: Twitter cambió su dirección IP durante el tiempo en que estuvo desactivado. El servidor responde a pings, pero no a peticiones de HTTP. ¿Será esto un indicador de que fue víctima de un ataque DDoS? ACTUALIZACIÓN 2: Twitter ha confirmado que se está “defendiendo” de un ataque de negación de servicio.
Los nuevos trucos de Koobface |
| Stefan | 6 agosto 2009 | 16:23 MSK |
Comentar
|
Una vez más, ha aparecido una nueva ola de ataques de Koobface.
Pero esta vez, el método es diferente. Koobface está utilizando una nueva táctica de ingeniería social, mensajes infectados que contienen enlaces que dirigen a una página diseñada para imitar a Facebook (mucho más convincente que la anterior de YouTube). Y Koobface envía ahora tweets diferentes. Los mensajes que enviaba en ataques anteriores eran todos iguales: “Mi video casero :) [URL]" Ahora agrega un componente aleatorio, con expresiones como "HA-HA-HA!!", "W.O.W.", "WOW", "L.O.L.", "LOL", ";)" o "OMFG!!!" al final de cada tweet, así que los tweets maliciosos se ven así: También agregan un componente aleatorio al sitio de destino de Koobface, así que ahora las URL cortas dirigen cada vez a un sitio diferente acortado por bit.ly (vean mi entrada sobre los peligros de las URLs cortas), haciendo que sea más difícil para Twitter filtrar y eliminar los mensajes infectados. Por ejemplo http://u*******.se/pub1icm0vies/?[RANDOM] -> http://bit.ly/[RANDOM] Esta semana todo el mundo ha estado hablando sobre cómo Twitter comenzó a utilizar el API de Navegación Segura de Google para bloquear los tweets con URLs maliciosas. Esto sin duda detendrá algunos ataques pero, como vemos en el ataque de ahora, no erradicará el problema por completo. Es obviamente un paso en la dirección correcta, pero no es suficiente. Detectamos el binario malicioso como Net-Worm.Win32.Koobface.d y el script que redirige a los usuarios al sitio de destino como Trojan-Clicker.HTML.IFrame.ob. Hasta ahora hemos identificado casi 100 direcciones IP diferentes que alojan a Koobface. Los mantendremos al tanto de la situación. ACTUALIZACIÓN: Estamos tratando de desconectar el sitio principal de Koobface.
| |
