En las últimas horas se ha detectado un alto porcentaje de correo electrónico no deseado que propaga malware simulando ser enviado por Windows Live de Microsoft.

El spam es generado desde una computadora infectada con el malware desde la cual se reenvía el correo a los contactos que se encuentran en el equipo víctima. En este caso, la estrategia de engaño consiste en la recepción de un correo electrónico de un contacto conocido. El correo electrónico malicioso (en portugués) es similar al siguiente:

En el remitente del correo, se agrega una dirección falsa que simula el dominio microsoft.windowslive.com. Con esta acción, los creadores del malware intentan ganar la confianza del usuario.

Un detalle importante a destacar es la dirección que figura en la barra de tareas cuando se posiciona el cursor sobre el enlace. El mismo, no muestra la descarga de un archivo ejecutable sino las direcciones de correo involucradas (remitente y emisor); sin embargo, el malware es llamado desde el servidor a través del archivo panico.php. Este accionar también responde a la estrategia de engaño.

Ese enlace direcciona a la víctima hacia la descarga de un archivo binario llamado panico.scr que es el código malicioso intentando pasar como un protector de pantalla. El malware es detectado por ESET NOD32 bajo el nombre de Win32/VB.EA.

Este correo está siendo empleado de manera activa, por lo que recomendamos, además de la implementación de los productos de ESET, hacer caso omiso de correos similares, más aún, cuando el mensaje se encuentra, como en este caso, en otro idioma.

FUENTE

Muchas veces nos preguntan sobre alguna forma de probar que los delincuentes informáticos despliegan sus armas en todos los frentes posibles, por ejemplo que promocionan productos farmacéuticos y diseminan malware de distintas formas para infectar usuarios y lograr vender sus productos ilegales.

Un ejemplo de esto lo tenemos con un rogue reciente denominado Antivirus 2009 o Antivirus 2010 o AntiMalware 2010, que son una evolución del conocido Antivirus XP 2008 y detectado por ESET NOD32 como Win32/Adware.Antivirus2009.

En este caso al abrir el sitio web de promoción del producto se despliega también una publicidad para adquirir viagra:

FUENTE

A lo largo de la vida de este Blog, fueron muchos los spam que bajo la cobertura de provenir de una importante empresa o medio de comunicación, o bien la promesa de visualizar un video sobre alguna tragedia o noticia importante, fueron creados pensando en usuarios desprevenidos con intenciones maliciosas de propagar malware.

Casos como la falsa actualización de Microsoft, el de Coca-Cola, la supuesta muerte de Verónica Castro, de Felipe Calderón o Fidel Castro, son algunos pocos ejemplos. Ya casi no sorprende ver alguno de ellos, de hecho, los esperamos cada vez que una noticia recorre, en pocos minutos, la mayoría de las cadenas de comunicación a nivel mundial.

En esta oportunidad, la temática elegida fue una amenaza por parte de supuestos narcotraficantes. A continuación les dejo una captura:

Como podrán apreciar, no es más que otro engaño que desde ahora forma parte de la gran lista. El supuesto video que se promete es en realidad un troyano del tipo Banker, detectado por ESET NOD32 como BAT/Qhost.NAM, diseñado para ataques de phishing a través de pharming local.

Lo aconsejable es que aquellos usuarios que reciban correos de este estilo lo eliminen directamente. Jamás se debe hacer clic sobre los enlaces incrustados en el cuerpo del mensaje porque, como se ve en la imagen, se descarga algo diferente a lo prometido.

FUENTE

Evidentemente, los creadores y diseminadores de códigos maliciosos enfocan todos sus esfuerzos en encontrar nuevas maneras de engañar a los usuarios, normalmente a través de Ingeniería Social.

Es muy común que para propagar malware, ya sea a través de spam o de algún sitio web empleando técnicas Drive-by-Download o como el caso de los blog con contenido malicioso, se recurra a mentiras como la promesa de visualizar el video de alguna celebridad similar a la que se muestra en la siguiente captura:

Cada tanto se toma como referencia la imagen de algún famoso como en la que se basa este engaño donde la protagonista es Paris Hilton y, por lo general, suele ser explotada por un tiempo.

En este caso, lejos de la promesa de acceder a un video, “antes de que lo censuren”, el usuario descargará un archivo ejecutable. Un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.FakeAlert.MN, un troyano diseñado para robar información del usuario y desplegar ventanas pop-ups con falsa alertas de infección.

Si bien no es un método innovador, sigue causando efectos muy peligrosos para los usuarios desprevenidos. Siguiendo con Paris Hilton, veamos una captura más:

En este otro caso, también bajo la excusa de visualizar un video se descarga un malware. El mismo código malicioso.

Como verán, las trampas son muchas y peligrosas por lo que debemos actuar en consecuencia, es decir, mantener nuestro ESET NOD32 o ESET Smart Security actualizados, estar atentos, ser cautelosos al descargar y/o visitar determinados sitios web y no confiar en todo lo que nos ofrecen.

FUENTE

Sólo en el mes de septiembre de este año, la compañía Trend Micro detectó 1.899 blogs alojados en servicios muy conocidos.

Internet suma una nueva brecha a sus problemas de seguridad: los blogs. Según ha informado Trend Micro, la empresa especializada en soluciones y antivirus para contenidos Webs, han surgido nuevas formas de propagación de troyanos y spam a través de falsificación de blogs.

El trabajo realizado por los investigadores de Trend Micro, ha determinado que, sólo en septiembre de este año, se detectaron aproximadamente 1.899 blogs hospedados en servicios de publicación de blogs muy conocidos, que contenían contenido malicioso. El procedimiento utilizado por los ciber-criminales es redirigir a los navegantes a Webs con contenido para adultos y allí pedir la descarga de códecs, utilizados para insertar el código malicioso.

Los códecs de vídeo son máscaras comunes para el código malicioso, como puede ser el caso de las variantes ZLOB. La infección del ordenador se lleva a cabo cuando este archivo se descarga y se instala como Troyano, identificado por Trend Micro como TROJ_DROPPER.BX, que a su vez es capaz de descargar otro código malicioso.

Hace bastante tiempo que los creadores de spam descubrieron que a través de los blog se podía llegar a una mayor cantidad de usuarios. De hecho, en 2005 los investigadores definieron dos términos para referirse a este tipo de spam: los llamados “splog” o “blam”. El problema de los splogs es que contaminan los motores de búsqueda y, además, si su volumen es demasiado alto, pueden perjudicar también la velocidad del ancho de banda de Internet. Otros agentes perjudicados con la extensión de estas modalidades de propagación de spam y Spyware son las propias firmas ya que los blogs vinculan con URLs maliciosas y el usuario que descubre que su ordenador ha sido infectado pierde confianza en el sitio que ha visitado.

FUENTE

El pasado 19 de septiembre, el laboratorio de F-Secure, orientado principalmente a la protección antivirus, publicó un artículo en el que se hablaba del spam. En este artículo se hacía una recomendación clásica, si queremos evitar que nuestras direcciones de correo no acaben formando parte de listas de correo basura. Esa recomendación no es otra que evitar que nuestra dirección de correo electrónico aparezca en servicios y páginas web públicas, para evitar que los robots automáticos recolecten las direcciones, el primer paso necesario para que acaben engrosando una lista de distribución de correo no deseado.

Para ello, se empleó una dirección ficticia “info@bulk-mail.org”, utilizada frecuentemente en el argot técnico para denominar cuentas de correo ficticias y así evitar poner ejemplos de direcciones e-mail reales. El día 22, F-Secure volvió a publicar un pequeño texto llamado “You´re not paying attention” (no prestáis atención), en el que nos recuerda lo importante que es no publicar las direcciones. Y como el movimiento se demuestra andando, resulta sencillo ver el nivel de replicación consultando Google o Google Blog Search en busca del término “info@bulk-mail.org”

El blog de F-Secure, pese a ser muy empleado por usuarios técnicos, no es un foro generalista, y el nivel de replicación no es excesivamente elevado, a lo que hay que añadir que el ejemplo ya estaba presente en el buscador con anterioridad. La lección debemos aprenderla para extrapolar la situación a los sitios públicos con muchos usuarios, en los que las probabilidades de ser pasto del spam son directamente proporcionales al tráfico del sitio web donde publiquemos las direcciones de e-mail. A mayor tráfico, mayor replicación, y por tanto, mayores son las probabilidades de que nuestro buzón quede inundado de correo basura, al ser capturado por los distintos servicios automáticos de recolección que pueblan Internet.

FUENTE

La lacra del correo basura no cesa y una nueva tendencia está surgiendo con las redes de spammers enviando millones de correos electrónicos a los usuarios de esta red de intercambio de archivos. Los mensajes dicen proceder de MediaDefender, la compañía que ejecuta las sucias prácticas de la RIAA contra los P2P.

Con millones de usuarios en todo el mundo, BitTorrent se está convirtiendo en objetivo de las redes de spam. El último intento de estafa disfraza el mensaje como un aviso antipiratería de la firma MediaDefender y advierte al receptor del registro de actividades ilícitas contra los derechos de autor.

Un supuesto informe adjunto con la navegación por sitios de descarga de torrents o buscadores, resulta ser el clásico troyano que infecta y controla el equipo atacado que pasa a ser una fuente más de spam.

En otro intento fraudulento, enviado por la misma red de spammers a juzgar por su estilo y formato, se hacen pasar por el Consorcio de proveedores de Internet, amenazando a los usuarios de BitTorrent con el corte de suministro al servicio. Una vez más, el archivo adjunto con el supuesto informe de las infracciones de derechos de autor incluye el virus que infecta el equipo al ser abierto por el incauto internauta.

FUENTE

En las últimas horas hemos comenzado a recibir correos con actualizaciones falsas de Microsoft Windows XP y Windows Vista. El correo ofrece las actualizaciones en forma gratuita y el enlace permite la descarga de un archivo install.exe.

Por supuesto, este archivo es un malware que ESET NOD32 reconoce como Win32/TrojanDownloader.FakeAlert.HJ, una de las tantas variantes de Antivirus-XP-2008.

Vale recordar que las actualizaciones de Microsoft son gratuitas siempre y la empresa no envía correo a los usuarios con archivos ejecutables.

FUENTE

Los correos de Angelina Jolie desnuda siguen llegando casi en la misma proporción que lo hacen los correos de CNN y por eso dediqué un tiempito a analizar qué hace este singular malware.

Como siempre, el enlace del archivo dañino llega en un correo y el usuario termina descargando un programa llamado video-anjelina-jolie.avi.exe que evidentemente es ejecutable y no se debería descargar bajo ningún aspecto. El dominio desde donde se descarga el ejecutable cambia continuamente debido a que son sitios web vulnerables que se utilizan para subir los archivos.

Al ejecutar el archivo, se descarga un troyano detectado por ESET NOD32 como Win32/TrojanProxy.Small.NCA y que se copiará al sistema en c:\windows\services.exe y se ejecutará. A partir de este momento, el proceso se ejecutará cada vez que se inicie el sistema.

Al ejecutarse, el programa espera 5 minutos sin hacer nada para despistar a quien lo esté analizando. Luego, se inician múltiples procesos similares que se encargan de conectarse a un servidor en Internet ([eliminado]. 51.238.230/spm/slon.php aunque puede variar en cada variante del troyano):

Estos procesos se encargan de descargar todas las direcciones de correo a las que se debe enviar spam y así asegurar la continuidad de la propagación. Luego de tener las direcciones de correo se comienza con el envío de spam utilizando para ello, distintos servidores SMTP con conexiones simultaneas:

No es difícil adivinar que la cantidad de procesos creados y las múltiples conexiones a Internet ralentizan el sistema a límites insospechados (incluso ocasionando pantallazos azules).

Esta campaña de propagación de malware está íntimamente relacionada con Antivirus XP 2008 y los nuevos archivos video-anjelina-jolie.avi.exe ya son detectados como Win32/TrojanDownloader.FakeAlert.FZ por ESET NOD32.

FUENTE

En las últimas horas nuestro Laboratorio ha recibido correos con mensajes que simulan provenir de la red social Orkut, pero que en realidad tienen el objetivo de engañar al usuario para que este descargue un malware a su equipo.

Como puede verse el enlace conduce a un sitio que no pertenece a Orkut y, al hacer clic se descarga un archivo llamado Msg_111200310.scr. La extensión .scr en realidad es un archivo ejecutable renombrado que procede a infectar el equipo con un troyano que ESET NOD32 detecta como Win32/Agent.ETH.

FUENTE