| |
Home / Bitácora / septiembre 2009
Bitácora del analista antivirus
Conferencia Internacional Virus Bulletin 2009 |
| Stefan | 28 septiembre 2009 | 14:26 MSK |
Comentar
|
¡Saludos desde Ginebra, Suiza! Esta semana estoy aquí por la conferencia Virus Bulletin 2009.
Virus Bulletin nació en 1989 como una simple revista dedicada a prevenir los virus informáticos. No tardó mucho en convertirse en la publicación líder especializada en el área de virus y programas maliciosos relacionados. La conferencia de inauguración de VB se llevó a cabo en 1991, y sus objetivos son presentar información factual sobre virus informáticos, demostrar los procedimientos de defensa, discutir posibles desarrollos futuros de virus y contramedidas a tomar, y tratar de armonizar las investigaciones sobre el tema. Virus Bulletin es el evento principal que reúne a toda la industria Anti Virus.
Kaspersky Lab está muy bien representada en VB2009, con 25 de mis colegas de todo el mundo participando en la conferencia. Daremos cinco presentaciones sobre temas que abarcan desde las amenazas Web 2.0 y la búsqueda de URLs maliciosas en Twitter, hasta troyanos bancarios brasileños y estafas rusas de SMS. Podéis encontrar los abstractos de nuestros informes y el programa completo de la conferencia aquí, en el sitio web de VB. Mis colegas de Threatpost están cubriendo el evento completo en vivo en un blog dedicado especialmente a la conferencia VB. Y si eres un adicto a Twitter, el hashtag de esta conferencia es #vb2009. ¡Disfrútenla!
Un experimento psicológico |
| Josh | 23 septiembre 2009 | 13:30 MSK |
Comentar
|
El ataque de miedo que desató el virus Fan Check me ha hecho pensar sobre la psicología humana. Se escuchaban todo tipo de rumores: dependiendo de quién opinaba, la aplicación de Facebook Fan Check era maliciosa, no era maliciosa, una broma pesada... y mientras más pensaba en ello, no dejaba de venir a mi mente un complejo experimento psicológico. En 1963, el psicólogo de Yale Stanley Milgram publicó un artículo en la Revista de Psicología Social y Anormal explicando los resultados de un estudio que realizó sobre cómo la gente responde a las figuras de autoridad. El experimento de Milgram consistía en decirle al objeto de la prueba que lanzara descargas eléctricas (que aumentaban de intensidad) a una persona que se encontraba en otro cuarto si no respondía de forma correcta las preguntas que le hacían. También se decía al individuo en cuestión que la persona que recibía las descargas tenía un problema del corazón. En realidad no se lanzaba ninguna descarga, pero cuando se apretaba el botón para hacerlo, se escuchaba la grabación de una persona que gritaba y suplicaba que detuvieran el experimento. Muchas de las personas siguieron administrando las descargas hasta el “máximo voltaje”, aunque admitieron que se sintieron incómodos haciéndolo. El experimento de Milgram demostró que cuando se le dice a una persona que haga algo, lo más probable es que lo haga, aunque esto vaya en contra de sus valores. Nuestros adversarios, los creadores de malware, tienen un gran conocimiento de psicología básica, y saben que este principio también funciona en el mundo digital. Su último “experimento”, en el que enviaron mensajes a los usuarios de Facebook pidiéndoles que alertaran a sus amigos sobre el virus “Fan Check” fue bastante exitoso. La gente lo hizo sólo porque alguien les dijo que lo hicieran. Claro que este caso no es un análogo exacto del estudio de Milgram; quienes alertaron a sus amigos no pensaban que estarían haciendo ningún daño y tal vez creían que estaban haciendo una buena acción. Pero el comportamiento es muy similar al de la mentalidad de "obediencia ciega" estudiado por Milgram. El comportamiento demostrado en el estudio de Milgram se replicó en el mundo real. Y los límites entre el mundo físico y digital se están haciendo cada vez más difusos. Por ahora los ataques scareware en su mayoría se crean de forma inconsciente. Pero también hemos visto el nacimiento y aumento de casos de acoso e intimidación cibernética y otros tipos de comportamiento cruel. ¿Cuánto tiempo pasará antes de que veamos que los ciudadanos virtuales comiencen a actuar conscientemente en contra de sus valores sólo porque alguien les dice que lo hagan?
| Tim | 21 septiembre 2009 | 11:31 MSK |
Comentar
|
Hace poco, Microsoft lanzó una actualización que deshabilita parte de algunas funcionalidades autorun en los sistemas operativos anteriores a Windows 7. La actualización, denominada KB971029, está diseñada para Windows XP, Vista, Server 2003 y Server 2008. La función autorun se utiliza para iniciar procesos de instalación de forma automática desde CDs, DVDs y discos USB, así como otros dispositivos removibles. Autorun funciona utilizando un archivo llamado autorun.inf que se encuentra en la raíz el sistema de archivos para discos removibles. Mientras que este es un proceso útil cuando se lo utiliza con recursos de confianza, como instaladores de programas en CD, hace mucho que es un portador exitoso de infecciones por discos regrabables. Kaspersky pidió con frecuencia a Microsoft que desactivara este proceso, ya que cualquier cosa que instale programas o códigos de forma automática en un ordenador sin notificar al usuario puede ser y será utilizado de forma maliciosa. En el pasado hemos encontrado dispositivos para el consumidor que ya venían infectados desde la fábrica, y la función autorun se ha utilizado para propagar amenazas muy exitosas como Conficker (Kido). Esta lista les dará una idea de cuán seguido se utiliza “autorun” como portador de infecciones. Las versiones antiguas de Windows, incluyendo Windows XP Service Pack 1 y anteriores, ejecutaban el programa de forma automática en un disco regrabable sin notificar al usuario. La versión XP Service Pack 2 y posteriores abría una ventana de forma automática cuando se insertaba el dispositivo, en la que se preguntaba al usuario si quería abrir el archivo ejecutable. De hecho, se podía seleccionar una casilla para realizar siempre la acción seleccionada. Los creadores de malware a menudo crean un archivo autorun.inf en dispositivos ejecutables cuando se ejecuta un programa malicioso, y esto extiende los vectores del ataque más allá de la propagación por Internet. Un disco USB compartido puede convertirse en una amenaza a una red que ni siquiera tiene acceso a Internet. 
Con Windows XP Service Pack 2, y en Vista y Server 2008, se incluyó una nueva característica llamada Autoplay. La función Autoplay abre una ventana cuando se detecta un archivo autorun.inf y pide al usuario que seleccione una acción. Las opciones son instalar el programa, que abre el archivo ejecutable, o abrir la carpeta para ver los archivos que contiene. Aunque esto es mejor que abrir un ejecutable de forma automática sin el conocimiento del usuario, tampoco es seguro. Los usuarios más despreocupados están acostumbrados a seguir pulsando botones hasta que se abre el archivo, así que esto sólo alarga un poco más el proceso de infección. La actualización mencionada desactiva la función autoplay en medios regrabables como discos USB, pero la deja intacta para interactuar con CDs y DVDs. 
Windows 7 deshabilita la función por completo de forma predeterminada en archivos regrabables externos. Este es un enfoque mucho más seguro, aunque hace que sea más difícil para el usuario promedio saber qué hacer a continuación cuando está tratando de instalar algo nuevo: siempre hay un forcejeo entre la seguridad y la facilidad de uso. Aunque felicitamos a Microsoft por al fin haber arreglado este problema, tomó demasiado tiempo. Se podría haber evitado un sinnúmero de infecciones, y Conficker se habría propagado mucho menos si se hubiera tomado esta medida antes.
| Yury Namestnikov | 11 septiembre 2009 | 16:25 MSK |
Comentar
|
El lunes por la noche, varios usuarios rusos de ICQ recibieron este mensaje: Woland (23:07:23 7/09/2009)
Enlace para descargar el archivo Frogs.rar
http://file.qip.ru/file/*********/********/Frogs.html
[--Archivo enviado vía file.qip.ru. Más información en el sitio: http://file.qip.ru--] Si has estado utilizando ICQ por algún tiempo o tienes un mínimo de conciencia de seguridad, sabrás que no debes pulsar en los enlaces que te envían, aunque parezca que te lo envió un contacto conocido. En vez de ello, trata de detectar de alguna manera si quien te envió el enlace es una persona real o un zombi. Las pruebas de Turing están diseñadas para diferenciar a los humanos y los zombis, y en algún momento todos hemos llenado CAPTCHAs, una prueba de Turing. Por supuesto, si estás en ICQ no vas a utilizar una imagen para ver quién está al otro lado de la pantalla, pero puedes hacer alguna pregunta: después de todo, un ordenador no puede responder preguntas, ¿o sí? Pero hay un problema con esto: si te envían un enlace a un archivo, casi de forma automática preguntas “¿Qué es esto?” Y aquí es donde se pone interesante: el robot al otro lado del enlace no tuvo ningún problema respondiendo a esta pregunta. Yuk(23:07:28 7/09/2009)
¿Qué es esto? Woland (23:07:28 7/09/2009)
Un rompecabezas con una ilusión óptica, es divertido La respuesta parece humana, así que ¿por qué no descargar y ejecutar el archivo? El rompecabezas se ve así: Las ranas son sólo para distraerte. El tratar de dirigir la dirección donde deben saltar es una buena forma de perder tiempo. Pero mientras haces eso, un programa nocivo (que detectamos como Hoax.Win32.IMPass.al/ Hoax.Win32.IMPass.am) incluido en el paquete está robando en silencio tus datos de acceso a ICQ. Y cuando ha obtenido estos datos cambia tu contraseña y comienza a enviar el mismo enlace a todos los contactos de tu cuenta. Pero el zombi no es tan inteligente como parece a primera vista: sólo puede contestar preguntas que comiencen con «что», «чо», «чё» , «че» , «шо» , «що» и «чито» (la primera es la palabra estándar en ruso para "qué", las otras son jerga utilizada en Internet ruso). Esta situación nos enseña una interesante lección: la seguridad no sólo depende de revisar si los enlaces de verdad fueron enviados por tus amigos, ¡también es importante formular preguntas difíciles que ningún zombi pueda contestar!
¿Responderías a este correo? |
| Katerina Kalimanova | 11 septiembre 2009 | 16:03 MSK |
Comentar
|
Puede que pienses que si no realizas transacciones bancarias por Internet estás a salvo de los estafadores virtuales. O tal vez has oído sobre ataques phishing que afectan a los usuarios de eBay y PayPal, así que tienes cuidado de no caer presa de los correos fraudulentos que fingen provenir de estas empresas. Pero, aunque te protejas de forma razonable de estos ataques, ¡los mensajes phishing están diseñados para atraparte! Hoy recibimos un mensaje que parecía provenir de Blizzard: Por supuesto, el propósito de este mensaje es extraer los datos de las cuentas de los usuarios. Quien haya creado este correo fue tan inteligente como para no incluir ningún enlace en el mensaje: después de todo, mucha gente está atenta a los típicos signos de los mensajes phishing. Tampoco hay otros signos típicos de los mensajes fraudulentos: el correo parece provenir de wowaccountadmin@blizzard.com, aunque en realidad lo enviaron desde wowaccountadmin@blizarid.com. Entonces ¿qué se debe hacer cuando no se ven signos obvios de que el mensaje es falso? Una regla simple te ayudará a mantenerte protegido: si recibes un mensaje de correo pidiéndote tu contraseña u otros datos confidenciales, asume que es falso hasta que compruebes lo contrario.
| Aleks | 1 septiembre 2009 | 16:39 MSK |
Comentar
|
El 28 de agosto se lanzó la última actualización para MacOS X: Snow Leopard. La versión 10.6 tiene una gran diferencia con las anteriores: por primera vez en la larga historia de Apple, la empresa incluyó un escáner antivirus. Hace unos días se comenzaron a escuchar rumores sobre la función antivirus en el build de lanzamiento de Snow Leopard. Se publicaron en Internet capturas de pantalla mostrando una ventana en la que se detectaba uno de los troyanos para Mac OS X más conocidos. El efecto fue explosivo: hace no mucho tiempo, Apple hizo una declaración inconsistente sobre la necesidad (o, en realidad, la banalidad) de instalar programas antivirus en su sistema operativo. Portavoces oficiales de la empresa se negaron a comentar sobre este asunto antes del lanzamiento de la versión 10.6, haciendo entrever que podrían decir más después del 28 de agosto. Y la fecha del lanzamiento ya llegó y se fue, y se han confirmado los rumores. Los dedicados investigadores que lograron obtener el build 10a421A descubrieron que incluía este archivo: System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist, que contiene cinco informes muy simples de dos programas troyanos. Esto es algo que Apple desarrolló por si mismo, y Clamav no tuvo nada que ver en ello, como algunos pensaban. Es muy claro porqué no se ha usado Clamav. Apple no quería que algo con una licencia GPL (que es el tipo de licencia que usa Clamav) estuviera en su código. Y Clamav no está relacionado con ninguna empresa antivirus que exista por ahora. Intego, una empresa que desarrolla su propio antivirus para MacOS, realizó una investigación (en inglés) que destaca tres puntos clave: El antivirus incluido en Snow Leopard sólo analiza los archivos que se han descargado por Safari, correo electrónico, iChat, Firefox, Entourage y unos cuantos buscadores más. No analiza los archivos de otras fuentes, como torrent o archivos ftp. El antivirus sólo puede detectar dos troyanos, a pesar de que la industria antivirus conoce varias docenas de programas maliciosos que atacan el sistema operativo Mac. El antivirus se actualiza mediante las actualizaciones estándares de Apple. Muchos expertos han opinado que este tipo de antivirus no puede proveer protección apropiada y, peor aún, crea un falso sentimiento de seguridad entre los usuarios. Estoy de acuerdo por completo. Este antivirus es un obvio análogo al Microsoft Removal Tool de Windows, y esto crea varios retos para Apple. Significa que Apple está compitiendo con otras empresas antivirus y ha entrado a formar parte de esta industria. Si la empresa ha hecho esto, debe tener los departamentos apropiados: un laboratorio de virus, un servicio de vigilancia, servicio técnico antivirus, etc. Por ahora Apple no cuenta con nada de esto, pero sí tiene su propio “antivirus”. ¿Será que Apple está listo para seguir los pasos de Microsoft, que acabó involucrándose en la industria antivirus y dedicando mucho tiempo y recursos tanto para detectar los virus como para modificar otros de sus productos con el propósito de resolver problemas de seguridad? No lo creo. Además, la aparición de un antivirus en MacOS puede incitar a los escritores de virus a crear grandes cantidades de programas maliciosos para esta plataforma. Es como mostrar un trapo rojo a un toro, y alguien ya ha comenzado a agitarlo. Por un lado, Apple no está ofreciendo a sus usuarios ninguna protección real con su antivirus. Pero por otro lado, no sólo ha entrado a competir con empresas antivirus, sino que también se ha unido a la carrera contra el cibercrimen. Por ahora me parece que Apple se ha metido en una situación muy poco envidiable. P.D. Puedes conseguir la versión beta de Kaspersky Anti-Virus para MacOS aquí
| |
