Un programa malicioso para sistemas Windows, identificado como “Troj/Qhost-AC” por la empresa de seguridad Sophos ha aparecido en BitTorrent. Lo curioso del caso es que su función se limita a bloquear el acceso a los principales tracker de la red de intercambio de archivos.

El troyano además de bloquear el acceso a Mininova y The Pirate Bay editando el archivo de hosts, intenta moralizar a los dueños de los equipos infectados con un aviso que dice “descargar está mal”, lo que ha llevado a pensar que los creadores del troyano podrían ser las compañías que ejecutan el juego sucio de organizaciones como la RIAA o MPAA, a pesar de su anunciado cambio de estrategia “de no perseguir a los usuarios”.

El troyano se incluía en un torrente que ha sido retirado y los equipos infectados pueden ser limpiados fácilmente, borrando sus entradas en el archivo host de Windows. Más parece la actuación de un bromista que de las organizaciones de derechos de autor o de la industria, aunque no sería la primera vez que éstas infectan las redes de intercambio.

La aparición de software malintencionado en las redes de BitTorrent llega cuando se confirma la ruptura de la RIAA con MediaSentry, una compañía que espió ilegalmente a los usuarios por orden de la asociación de discográficas.

FUENTE

Analizando un malware desarrollado para redes sociales, el Koobface, me encontré con una sorpresa interesante. Al instalarse una variante determinada de dicho troyano, el mismo descarga un malware que nada tiene que ver con las redes sociales.

Se trata de un troyano que ESET NOD32 detecta como Win32/Agent.OLA y que tiene una capacidad que no hemos desarrollado hasta este momento en el Blog: se trata de un troyano utilizado para romper captchas.

Recordemos que los CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart) son una prueba de Turing automática para diferenciar a máquinas y humanos y se utilizan con el objetivo de evitar que programas automáticos (robots) realicen registro de usuarios en cualquier servicio disponible en Internet.

Si bien en el último tiempo distintos captchas han sido crackeados, permitiendo el registro automático en Live, Yahoo!, y otros, la verdad es que gran parte del trabajo es realizado por seres humanos creando grandes bases de datos relacionando la imagen del captcha y su respectiva solución (la palabra descifrada).

En mi caso, al descargarse y ejecutarse automáticamente, el troyano crea un archivo captcha.exe en el directorio del sistema y luego se ejecutará en cada reinicio mostrando la siguiente pantalla:

Como puede verse se amenaza al usuario de que si no ingresa la palabra mostrada en la imagen, su sistema se reiniciará. Con esto se logra que el usuario resuelva el captcha, enviando la solución al sitio del atacante y almacenando el mismo en grandes bases de datos.

La próxima vez que el captcha sea utilizado en algún registro de cualquier servicio, el atacante ya tiene la solución almacenada. Con esto, el delincuente puede registrar cuentas falsas automáticamente en cualquier servicio del mundo, para luego utilizarla en otros ataques.

En este caso no se ha crackeado el captcha, sino que se utiliza a miles de usuarios infectados para que resuelvan los mismos, creando bases de datos con la imagen y la solución. Una vez más se logra que el usuario colabore, sin saberlo, con los delincuentes.

FUENTE

En las últimas horas ha habido un gran revuelo basado en el troyano (que no es un virus) Koobface. Pero, ¿de qué se trata realmente Koobface? ¿vale la pena crear tanto revuelo por este troyano?

Detectado por ESET NOD32 como Win32/Koobface (un anagrama de la conocida red social Facebook) es un troyano orientado a propagarse por la red social del mismo nombre y Myspace, dependiendo de la versión que se trate. Su origen se remonta a agosto de 2008 y para nada de trata de un troyano de reciente aparición o de algo especial que las empresas antivirus deban tratar con cuidado.

Sus características son las siguientes:

* Como cualquier troyano, busca alojarse y permanecer en el sistema del usuario, controlando ciertas acciones que en este caso es el login en una de las redes sociales mencionadas y la obtención de credenciales del usuario.
* Se copia al sistema con distintos nombres según la versión analizada.
* No tiene características de rootkit o alguna otra que dificulte su remoción.
* Busca cookies y credenciales de login a las redes sociales.
* Modifica la clave RUN del registro para autoejecutarse al encender el equipo.
* Al instalarse por primera vez en el sistema, muestra un mensaje en inglés sobre la invalidez de un codec (”Error installing Codec. Please contact support”) y luego se autoelimina.
* Si el usuario ingresa a una de las redes sociales mencionadas el troyano envía un mensaje a todos los contactos del mismo, con un enlace a un Youtube falso como se ve a continuación.

* El contacto que caiga en la trampa e ingrese al sitio web verá un mensaje mencionado la falta de un codec y al descargarlo se infectará, continuando la cadena. Como puede verse este punto es el único que hace que el troyano tenga relación con una red social.

¿Por qué Koobface no representa el peligro con el cual lo anuncian?

* Kooface no infecta redes sociales, porque eso no es posible. Como siempre, los infectados son los usuarios en dichas redes y utiliza a los contactos para continuar la propagación.
* No solo los usuarios de Facebook deben tener cuidado, sino también los de Myspace y cualquier otra red ya que Koobface podría ser modificado en el futuro cercano.
* El troyano no representa peligro alguna para la red social.
* Cualquier antivirus actual es capaz de detectarlo y eliminarlo.
* Cualquier usuario puede darse cuenta del engaño al ver un mensaje como el mostrado en la imagen.

En este caso la noticia se está exagerando y como siempre debemos tener cuidado, informarnos y no tener miedo.

FUENTE

El e-mail contiene links a archivos llamados ´BarackObama.exe´. Este archivo es un Trojan Downloader.

Websense Security Labs ThreatSeeker Network ha descubierto que los creadores de los puertos maliciosos están aprovechando los recientemente anunciados resultados de las elecciones presidenciales de 2008, y se están empezando a enviar e-mails maliciosos como cebo prometiendo enseñar en un video una entrevista con los consejeros del recién elegido presidente de Estados Unidos.

Sobre la ejecución de los archivos llamados system.exe y firewall.exe entran dentro del directorio de sistemas. Un kit de phishing se abre localmente, y los archivos que han entrado saltan para arrancar. Los archivos del host también se modifican.

FUENTE

A lo largo de la vida de este Blog, fueron muchos los spam que bajo la cobertura de provenir de una importante empresa o medio de comunicación, o bien la promesa de visualizar un video sobre alguna tragedia o noticia importante, fueron creados pensando en usuarios desprevenidos con intenciones maliciosas de propagar malware.

Casos como la falsa actualización de Microsoft, el de Coca-Cola, la supuesta muerte de Verónica Castro, de Felipe Calderón o Fidel Castro, son algunos pocos ejemplos. Ya casi no sorprende ver alguno de ellos, de hecho, los esperamos cada vez que una noticia recorre, en pocos minutos, la mayoría de las cadenas de comunicación a nivel mundial.

En esta oportunidad, la temática elegida fue una amenaza por parte de supuestos narcotraficantes. A continuación les dejo una captura:

Como podrán apreciar, no es más que otro engaño que desde ahora forma parte de la gran lista. El supuesto video que se promete es en realidad un troyano del tipo Banker, detectado por ESET NOD32 como BAT/Qhost.NAM, diseñado para ataques de phishing a través de pharming local.

Lo aconsejable es que aquellos usuarios que reciban correos de este estilo lo eliminen directamente. Jamás se debe hacer clic sobre los enlaces incrustados en el cuerpo del mensaje porque, como se ve en la imagen, se descarga algo diferente a lo prometido.

FUENTE

Evidentemente, los creadores y diseminadores de códigos maliciosos enfocan todos sus esfuerzos en encontrar nuevas maneras de engañar a los usuarios, normalmente a través de Ingeniería Social.

Es muy común que para propagar malware, ya sea a través de spam o de algún sitio web empleando técnicas Drive-by-Download o como el caso de los blog con contenido malicioso, se recurra a mentiras como la promesa de visualizar el video de alguna celebridad similar a la que se muestra en la siguiente captura:

Cada tanto se toma como referencia la imagen de algún famoso como en la que se basa este engaño donde la protagonista es Paris Hilton y, por lo general, suele ser explotada por un tiempo.

En este caso, lejos de la promesa de acceder a un video, “antes de que lo censuren”, el usuario descargará un archivo ejecutable. Un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.FakeAlert.MN, un troyano diseñado para robar información del usuario y desplegar ventanas pop-ups con falsa alertas de infección.

Si bien no es un método innovador, sigue causando efectos muy peligrosos para los usuarios desprevenidos. Siguiendo con Paris Hilton, veamos una captura más:

En este otro caso, también bajo la excusa de visualizar un video se descarga un malware. El mismo código malicioso.

Como verán, las trampas son muchas y peligrosas por lo que debemos actuar en consecuencia, es decir, mantener nuestro ESET NOD32 o ESET Smart Security actualizados, estar atentos, ser cautelosos al descargar y/o visitar determinados sitios web y no confiar en todo lo que nos ofrecen.

FUENTE

En esta ocasión, nuestro Laboratorio ha encontrado un nuevo caso mediante el cual se aprovecha un sitio web para la propagación de códigos maliciosos. Se trata de una página que ofrece la descarga del conocido cliente de descarga de archivos para redes P2P, eMule. A continuación pueden ver una captura de la falsa web, que simula ser la oficial:

Los usuarios desprevenidos que accedan a la descarga del archivo en cuestión, descargarán en realidad un código malicioso que tanto ESET NOD32 como ESET Smart Security detectan bajo el nombre de Win32/Adware.NaviPromo. Un malware que, además de ejecutar constantemente ventanas emergentes con publicidad, posee propiedades de rootkit mediante el cual oculta su proceso malicioso.

Es importante que los usuarios que habitualmente utilizan las redes P2P para la descarga de archivos, sean conscientes que representan uno de los vectores más aprovechados para la propagación de diferentes códigos maliciosos, por lo que debemos actuar y prevenir en consecuencia. En nuestro artículo el malware en las redes P2P podrán encontrar más información sobre la relación que une a los códigos maliciosos con este tipo de redes.

Pero, miremos este malware con más detalle. Si comparamos los instaladores, es decir, el descargado desde el sitio web oficial del proyecto eMule y el descargado desde el sitio malicioso, notamos algunas leves diferencias como: cambia el nombre y el archivo malicioso es más pesado. Veamos una captura:

Al momento de la instalación, también se observa una leve diferencia:

El tema es que, una vez ejecutado, el malware instala el verdadero programa eMule pero, paralelamente, también instala el malware en cuestión activando un proceso malicioso llamado “ftddkbah.exe“, además se asegurar su ejecución en cada reinicio al agregar una referencia en la clave Run del registro.

Al finalizar la instalación, ejecuta una instancia del navegador abriendo una página web similar a la que se muestra en la próxima captura, desde la cual ofrece la descarga de un archivo llamado “Instant-Access.exe“. Como se podrán imaginar, se trata de otro malware, en este caso llamado Win32/Dialer.InstantAccess.NAE, un tipo de troyano diseñado para acceder a determinados sitios web, por lo general con contenido pornográfico, a cambio de costosas tarifas telefónicas.

Como podrán apreciar, la propagación de malware se puede realizar, y de hecho se realiza, a través de diferentes vectores como se demuestra en este caso, donde la prevención por parte del usuario radica principalmente en la descarga de programas desde los sitios oficiales.

Estar atento, es una buena medida de protección.

FUENTE

PandaLabs informa sobre el falso antivirus VirusResponseLab2009 y el gusano P2PShared.M, así como sobre un nuevo ataque de pharming protagonizado por el troyano Banker.LKC, que modifica las direcciones web por las cuales navega el usuario. 01.10.2008, 18:59

El supuesto antivirus que en realidad es un Adware VirusResponseLab2009 es un ejemplo más del protagonismo que están tomando en el mundo del malware los falsos antivirus como forma de obtener beneficios económicos por parte de los delincuentes online.

Cuando se ejecuta, este software malicioso simula un análisis del sistema y hace creer al usuario que está infectado con un virus
(http :// www.flickr.com/photos/panda_security/2881336631/). Además, cada cierto tiempo hace saltar una ventana emergente de alertas, situada en la barra de tareas, que informa de falsos ataques desde Internet, o de la posibilidad de que el usuario sufra un ataque de robo de contraseñas (http :// www.flickr.com/photos/panda_security/2889552552/).

El objetivo de este código malicioso es que el usuario crea que realmente está infectado y compre la versión del antivirus que se le ofrece cada cierto tiempo (http :// www.flickr.com/photos/panda_security/2889552552/) para poder limpiar su ordenador de unas amenazas que, en realidad, no tiene.

P2PShared.M es un gusano que se propaga a través de redes P2P (peer to peer o punto a punto). Para ello, se copia en las carpetas pertenecientes a varios programas que hacen uso de estas redes, haciéndose pasar por diversos programas de software, con el fin de incitar a otros usuarios a su descarga.

Además, este gusano crea una copia de sí mismo en los ordenadores que infecta y realiza varias modificaciones en el Registro de Windows.
PandaLabs ha informado esta semana, además, de un troyano, Banker.LKC, que se hace pasar por un vídeo del iPhone para engañar a los usuarios y llevar a cabo un ataque de pharming que puede conllevar la pérdida de importantes datos confidenciales para las víctimas.

FUENTE

Andrea se conecta ansiosa al eMule para descargar el último capítulo de Prison Break que se estrenó hace una hora en Estados Unidos.

“¡Perfecto! ¡Un usuario conectado compartiendo el archivo!”. La descarga se completa y se dispone a verlo sin más dilación… “qué extraño, Windows Media Player solicita la descarga de un codec, bueno, estará codificado con algo nuevo, no pasa nada, aceptar”. A las pocas semanas Andrea se encuentra en una comisaría poniendo una denuncia porque le han sacado todos los ahorros de su cuenta bancaria.

¿Has reproducido con Windows Media Player algún archivo de audio o video últimamente? Podrías estar infectado.

A finales de Julio hubo bastante revuelo con la aparición de un nuevo troyano que afectaba a archivos multimedia. Este malware, que muchas casas antivirus han denominado GetCodec, emplea una técnica de infección que no había sido vista hasta el momento.

El troyano se ha detectado propagándose encubierto como cracks en páginas de warez y cracks. Es totalmente silencioso, lo cual induce a pensar que tan sólo se trata de otro crack corrupto más. Tras su ejecución, el troyano busca todos aquellos archivos con extensiones
.MP2 .MP3 .WMA .WMV .ASF. El formato ASF es un formato propietario de Microsoft empleado por Windows Media Player que permite introducir secuencias ejecutables en flujos de audio/video. El troyano aprovecha esta propiedad para introducir en los archivos multimedia de la víctima una secuencia que solicita la descarga de un codec falso desde un Sitio Web. Éste codec es a su vez otro troyano, aunque la técnica podría emplearse para servir cualquier tipo de contenido.

Este método de infección también funciona con los archivos MPx porque el troyano los convierte primero a formato ASF para después inyectarles el código malicioso. De forma que un archivo con extensión .MP3 puede estar infectado.

El espécimen modifica la configuración del usuario de tal forma que este nunca llega a notar que sus archivos multimedia han cambiado, sin embargo, todo aquel que no esté infectado e intente reproducirlos sí notará el cambio. Cuando se reproduce un archivo multimedia infectado, en una máquina limpia, Windows Media Player despliega una ventana solicitando la descarga de un codec falso. Este codec puede ser cualquier otro tipo de malware. Al aceptar la descarga se produce la infección.

Tal y como se puede intuir, estas características lo hacen ideal para la propagación vía redes P2P, unidades compartidas e intercambio de medios de almacenamiento. Tomando como ejemplo las redes P2P, cualquier usuario infectado estará actuando como servidor del malware.
Otro usuario que descargue sus archivos multimedia se verá infectado si no es lo suficientemente cuidadoso.

Desde Hispasec, nuestro compañero Marcin Noga ha realizado un análisis de ingeniería inversa del troyano con el fin de detallar su mecanismo de infección. El documento se puede encontrar en las siguientes URLs:

(Español) http://www.hispasec.com/laboratorio/AnalisisGetCodec.pdf
(Inglés) http://www.hispasec.com/laboratorio/GetCodecAnalysis.pdf

De igual forma, Marcin ha desarrollado una herramienta para limpiar la infección en todas aquellas máquinas que se han visto afectadas, eliminando el código malicioso de los archivos multimedia infectados.
La herramienta puede ser descargada desde:

http://www.hispasec.com/laboratorio/MulTrojDisinfector.exe

Hashes
MD5…: dddb5fc1af0405dff247c6704d4e6b37
SHA1..: 5826c6d78604255bccec00c67efcd123795ddfd4

Hasta el momento los archivos de audio y video habían sido relativamente inofensivos a no ser que estuvieran intencionadamente malformados para causar la explotación de un reproductor vulnerable. Los usuarios de a pie parecen seguir teniendo la idea equivocada de que tan sólo los archivos ejecutables son peligrosos, como siempre, todo se resume a una cuestión de concienciación. Esperamos que los documentos producidos por el laboratorio de Hispasec ayuden en esta labor de concienciación y educación.

FUENTE

Como hemos comentado en otros post, los sitios web que alojan material orientado al público adulto constituyen canales aprovechados para diseminar malware y, dentro de este rubro, no todo el material es fotográfico y/o fílmico.

Existe también una buena cantidad de público fanático de lo que se conoce como animé (dibujos de origen japonés) donde una variante son los dibujos tipo hentai (dibujos animados sobre actividades sexuales) que, como no podía ser de otra manera, tampoco escapan al ámbito de actuación de los diseminadores y creadores de códigos maliciosos.

Un claro ejemplo es el siguiente: a través de un sitio que presenta pequeñas imágenes (thumbnails) sobre hentai, el usuario, al hacer clic sobre cualquiera de las imágenes, es redireccionado a una página que presenta lo que vemos en la captura:

En consecuencia, al pretender visualizar cualquiera de las dos imágenes hentai, se abre la ya tan explotada animación .gif que simula una ventana de reproducción de video pero que, lejos de la posibilidad de ver el hentai, se intenta descargar un archivo ejecutable, un malware.

Este código malicioso es detectado por ESET NOD32 bajo el nombre de Win32/TrojanDownloader.Zlob.CES y es inmediatamente bloqueado al intentar descargarse.

FUENTE