La mayoria de los virus y troyanos actuales, modifican entradas de la DNS y el Winsock, para analizar por donde navegamos y mostrarnos publicidad, lo mas «molesto» de estos «bichitos» es que luego es bastante tedioso poder volver a navegar correctamente sin restaurar el sistema desde el disco de Windows o la consola de Recuperacion. Bueno pues existe una utilidad llamada WinSockXPFix que hace maravillas resolviendo el problema de una forma automatizada. solo hay que descargarla y darle a FIX. WinSockFix ... Leer más
Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» II (Troyanos)
Si mezclamos SSL con troyanos, el resultado es una completa confusión por parte del usuario. Un sistema troyanizado es un sistema en el que no se puede confiar, muestre el navegador una conexión segura o no. De nuevo, esta recomendación del candadito (válida, pero que necesita muchos matices) se convierte en un arma de doble filo. Si un sistema queda infectado, ya no solo puede aparecer el candadito, sino que el certificado puede ser válido y de hecho, estaremos en la página legítima del banco, pero nuestros datos pueden ser robados.
Las técnicas que usan los troyanos más difundidos hoy día, pueden invalidar la recomendación de la comprobación de la conexión segura. De hecho, los troyanos permiten la conexión a la página real del banco, pero pueden estar robando la información entre bambalinas gracias a diferentes técnicas.
Delephant
AVG Anti-Virus Free Edition 8.0
Via GenBeta: Ya está con nosotros la versión 8.0 del antivirus de AVG. AVG Anti-Virus Free Edition goza de tres licencias diferentes, la versión free, que es limitada aunque completamente gratuita, la versión normal que tiene un precio de 34,94 euros y la versión Internet Security, que es una completísima suite de seguridad con un precio de 51,74 euros. La versión gratuita, como ya he comentado antes, está muy limitada. Sólo tendremos acceso al antivirus y al antiespias, aunque pensándolo fríamente puede que no necesitemos mucho más. Comparándola con la versión normal de pago nos damos cuenta de que con las características que ofrece la versión free tenemos más que suficiente. Lo cierto es que la versión de pago viene con unas cuantas características más, pero la verdad es que casi todas son, a mi modo de ver, superficiales. Lo necesario lo tendremos con la... Leer más
Troyanos «simples»: «Keep it simple, stupid!»
Fuente: www.hispasec.com
Llevamos meses y meses hablando de lo sofisticado de las técnicas de los nuevos troyanos, de lo sutil y avanzado de sus métodos, siempre enfocados a pasar desapercibidos, engañar a usuarios cada vez más concienciados y entorpecer su propio análisis. ¿Evita eso que exista una corriente de "involución" en el mundo de los troyanos? Ni mucho menos. Técnicas simples (incluso chapuceras) siguen obversándose y no por ello con un menor "éxito" para el atacante. "¡Hazlo simple, idiota!" (conocida técnica KISS).
Ya se habló en el blog de Hispasec
(http://blog.hispasec.com/laboratorio/) de troyanos sencillos que pasaban desapercibidos para (en aquel momento) la totalidad de los motores antivirus con los que trabaja VirusTotal.com (“Cuando 30 antivirus no son suficientes” se llamó la entrada). Hoy vemos como esta técnica sigue teniendo éxito con numerosas campañas.
La última de las campañas lanzadas corresponde a un supuesto correo proveniente de la rimbombante "Dirección General de Servicios de Cómputo Académico de la Universidad Nacional Autónoma de México a través del Departamento de Seguridad en Cómputo y UNAM-CERT". En un correo donde precisamente (y con fina ironía) se dan consejos útiles y reales para prevenir el phishing. El el mensaje se pide la descarga de un manual.exe que supuestamente contiene más información para prevenir este tipo de estafas.
Manual.exe está alojado en un servidor legítimo comprometido, perteneciente a una organización sin ánimo de lucro con dominio .au
(Australia) y resulta ser de lo más chapucero. Sin ningún tipo de ocultación ni ofuscación de código (de hecho, si se usan técnicas habituales de ofuscación comienza a ser detectado por los motores gracias a una herústica paranoide), modifica el archivo "hosts" del sistema (pharming local) redirigiendo al usuario que pretenda conectarse a un importante banco mexicano hacia una web fraudulenta que simula ser la banca online de la entidad.
Un simple vistazo al código desnudo del archivo (abriéndolo con cualquier editor de texto) permite conocer qué y cómo modifica el sistema. Es tan "simple" que ni siquiera utiliza la variable de entorno %systemroot% para encontrar el archivo de "hosts" (usa c:\windows, afectando sólo a las instalaciones por defecto de XP y 2003). Está escrito en VisualBasic y su vida útil es muy corta. De hecho, a las pocas horas de analizarlo, la web fraudulenta a la que redirigía al usuario era desactivada, con lo que el troyano queda ya inutilizado (esa dirección se encontraba incrustada en su código).
Sin embargo este malware pasaba desapercibido para la totalidad de los motores en VirusTotal.com. 24 horas después de nuestro estudio ya lo detectan 3 motores, pero en el momento de ser lanzada la "campaña", pasaba inmaculado cualquier análisis. Precisamente comienzan a detectarlo cuando ya no sirve para nada, pero eso es otro problema.
En cualquier caso, no todo es simple en este tipo de ejemplares: este tipo de troyano en concreto ofrece ciertas ventajas que permiten “saltarse” el sistema de OTP (one time password) específico de la entidad a la que ataca.
El resurgir del virus Storm : Exprimiendo el correo basura (III)
Una vez más, merece la pena detenerse ante un correo basura que está inundando nuestros buzones (y por extensión, el de algunos millones más de usuarios) durante estos días. Se trata de un spam que intenta hacer que la víctima visite una página. Con cierta audacia, pretende que se descargue un ejecutable y si no, aprovechar fallos para infectar. Lo destacable en este caso, es la cantidad de variantes que se están creando y su capacidad para pasar a través de los filtros antispam.
Desde hace unos días estamos recibiendo decenas de correos con esta
estructura: