Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 11 de octubre de 2007

CUANDO QUEDAN RASTROS DEL MALWARE

Si bien es cierto que un usuario final, al adquirir una solución antivirus, siempre busca lo mejor debido a sus características en cuanto a la detección de códigos maliciosos, además de otro tipo de factores que involucran la performance de nuestra computadora, la realidad es que en algunas oportunidades nuestro antivirus puede no eliminar ciertas amenazas.

Y esto de ninguna manera significa que la solución elegida es poco efectiva o que hemos optado erróneamente. Debe notarse que he remarcado las palabras detección y eliminar ya que muchas veces se piensa, erróneamente, que son sinónimos. Que se detecte una amenaza no significa que se elimine la misma luego de una infección. Se debe recordar que el objetivo de un antivirus es detectar una amenaza para prevenir la infección, y sus capacidades de limpieza pueden ser otras ventajas incorporadas.

En este punto, y si bien no viene al caso vale la pena mencionarlo, detrás de cada herramienta antivirus se encuentran muchísimas personas trabajando para ofrecer siempre la mejor respuesta de detección y eliminación dependiendo el caso que se trate.

¿Qué quiero decir con esto? Nada raro, tampoco vender algo. Simplemente contar que ningún software de seguridad es 100% seguro, sí se puede alcanzar un nivel muy alto de detección dependiendo de las técnicas que utilice el AV.

Aclarado ese punto, el tema es que al eliminar un código malicioso, se puede dar el caso de que queden “secuelas” del paso del malware por nuestra PC, que en la mayoría de los casos tienen que ver con claves de registro y archivos que ha creado el malware, y que el producto no ha eliminado completamente.

Lo importante en este caso es que el malware deje de reproducirse y de ejecutarse en el sistema. Una buena solución sería explorar manualmente el registro del sistema en busca de las “restos” que pudieran haber quedado.

El malware actual suele agregar y/o modificar algunas de las siguientes claves de registro:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
  • HKLM\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg

Los creadores de malware no buscan dejar referencias del código maliciosos en estas claves del registro por que sí, lo hacen por que estas claves en particular son las que permiten que los programas que en encuentran referidos en ella se ejecuten.

Es decir, toda referencia a archivos ejecutables que se encuentren en la clave “Run” del registro, implica que se levantarán como procesos en cada inicio del sistema operativo, lo que asegura, en el caso de los códigos maliciosos, que el proceso dañino se activará al arrancar la computadora. En la siguiente imagen podemos ver una clave maliciosa creada por un malware:

Clave maliciosa creada por un malware

Nota importante: que un programa figure en esa lista no significa que sea malicioso ya que los procesos legales del sistema también utilizan esta técnica. Lo dificil suele ser identificar qué es qué.

Pero más allá de las explicaciones que se pueden dar, es importante que recuerden que la principal barrera contra los códigos maliciosos somos nosotros mismos y la prevención (o detección como se mencionó al comienzo). Además, con un antivirus con detección proactiva como ESET NOD32 estableceremos una suerte de “antivirus humano” dentro de nuestro sistema.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

LOS HOAX

Correos que generan alarma pública afectan a empresas nacionales...

La Universidad Iberoamericana de Ciencias y Tecnología realizó un estudio de monitoreo y análisis de un fenómeno cada vez más creciente en la red global: los denominados "hoax" (del inglés: engaño). Hemos
constatado que, a pesar de su proliferación, la población –en general– ignora su carácter, en circunstancias que constituye una severa amenaza para las redes informáticas y puede llegar a afectar la propia seguridad de las personas y las instituciones.

En los últimos 45 días, se han incorporado a la red correos electrónicos que anuncian un terremoto en el norte, aludiendo a investigadores de la Universidad de Chile. Mas alarmante aun, la acusación en contra de la cadena nacional de comida rápida, Kentucky Fried Chicken, a la que acusan de vender pollo con bases cancerigenas, señalando una fuente de la Fundación Arturo López Perez y otro que señala peligro de consumir Coca Cola Zero.

1. El hoax es un mensaje de correo electrónico con contenido falso o engañoso, pero con un relato con pretensiones de verosimilitud. Es distribuido en cadena por sus sucesivos receptores a raíz de sus contenidos impactantes, que además parece originarse en una fuente fiable y que el mismo mensaje concluye con la solicitud de que sea reenviado.

Por lo general, su contenido se refiere a alertas sobre hechos catastróficos (virus informáticos, amenazas a la seguridad de las personas), mensajes de temática espiritual, cadenas solidarias, leyendas urbanas, regalos de grandes compañías, métodos para ganar dinero o denuncias de diversa naturaleza (hasta el cierre de Messenger en Hotmail).

Los hoax pueden ser reconocidos. Sus características distintivas son el hecho de no tener firma, carecer de fecha o dato que permita ubicarlos temporalmente, y solicitar al receptor su reenvío a todos sus contactos. Pese a que suelen invocar fuentes de autoridad o sostenerse en un relato que pareciera coherente, suelen tener inconsistencias lógicas o fácticas que hacen posible que se develen como una falsedad.

2. Precisemos en términos operacionales y específicos parte de lo indicado:

– La mayoría de las alertas de virus que son recibidas por e–mail son falsas. En general, inician señalando que se descubrió un nuevo virus que no posee cura, que fue informado por alguna fuente de autoridad, y que el virus borrará todos los datos del disco duro.

– Las falsas cadenas de solidaridad se caracterizan por patrones comunes, tales como apelar a la sensibilidad del receptor ("nada pierdes reenviando este mail y un niño puede salvar su vida"). Incluso tienen fotografías de niños, que serían los extraviados o que padecerían graves enfermedades.

– Las leyendas urbanas se caracterizan porque su soporte siempre es una forma de transmisión oral (el emisor lo conoció a través de un tercero), se refieren a historias sobre peligros que acechan, no tienen fuentes para ser comprobadas (o cuando las citan no agregan links de verificación) ni origen identificable, a pesar de ser increíbles o absurdas parecieran ser ciertas, concluyen con frases tales como "¡¡¡Tengan mucho cuidado!!!", y comienzan pidiendo que "¡¡¡no ignoren este mensaje!!!".

Ejemplos: alertas sobre fraudes telefónicos o a celulares, tampones con asbesto, desodorantes que provocan cáncer, jeringas infectadas con VIH en los cines, contaminación de latas de bebidas, calcomanías con LSD,
efectos de celulares en las estaciones de servicio, origen de las carnes de locales de comida rápida y la llamada "droga de los violadores" (progesterex): en este caso, la circulación de la falsa información trascendió incluso a la opinión pública.

– En materia de cadenas de denuncia/solidaridad, el hoax más conocido es una supuesta campaña para detener la deforestación del Amazonas. Este correo ha circulado desde 1998, en circunstancias que señala que "el
Congreso de Brasil está actualmente votando un proyecto de ley" y que no hay ningún nombre de persona o institución que se haga cargo de la supuesta campaña.

Hace unos años, un hoax con la supuesta denuncia del secuestro político de una profesora Isabel Margarita Pavez Guzmán obligó a desmentir al embajador de Chile en México, Luis Maira, y Amnistía Internacional.

Recientemente ha circulado una campaña orientada a una huelga de celulares, sin identificar los organizadores y ocupando una estructura narrativa similar en diferentes países.

3. Las motivaciones de las personas que producen hoax son diversas, desde las más elementales como comprobar la capacidad propia de hacer perder tiempo a los receptores y confundir a la opinión pública, con la
consecuencia de aumentar el tráfico de la red y llegar a saturar servidores, hasta propósitos más complejos tales como intentar persuadir al destinatario para que revele su contraseña o captar direcciones de correo (para mandar spam, virus e incluso mensajes con phising).

Los phising (del inglés "fishing", pescando) se refiere al intento delictivo de robo de información personal o financiera de modo electrónico utilizando el nombre de un tercero (banco o entidad financiera), ya sea logrando que los usuarios, vía correo electrónico, proporcionen esa información o entren a sitios en apariencia iguales a
la real del banco.

4. Pensamos que, junto con las medidas legislativas que deben adoptarse en los casos de naturaleza delictiva, el problema de los hoax debe ser enfrentado por el Estado, las comunidades académicas, las empresas
informáticas y los medios de comunicación principalmente en el ámbito de la información.

La investigación de la Universidad Iberoamericana se propone la identificación y la clasificación del mayor número posible de hoax, e instalar una página en el portal institucional con la información acumulada. Constituye una contribución a un esfuerzo más amplio de naturaleza preventiva, considerando la velocidad de propagación de los
hoax y la creciente masificación del uso del e–mail en la sociedad chilena.

Básicamente, podemos dividir los hoaxes en las siguientes categorías:

  • Alertas sobre virus incurables
  • Mensajes de temática religiosa
  • Cadenas de solidaridad
  • Cadenas de la suerte
  • Leyendas urbanas
  • Métodos para hacerse millonario
  • Regalos de grandes compañías
  • Otras cadenas
Algunos detalles sobre los hoaxes
  • No tienen firma.
  • Algunos invocan los nombres de grandes compañías.
  • Piden al receptor que lo envíe a todos sus contactos.
  • Te amenazan con grandes desgracias si no lo reenvías.
  • En algunos casos son bastante convincentes.
Precauciones recomendables

Para evitar propagar hoax, así como spam, virus y mensajes con phishing conviene tener en cuenta:
  • Desconfiar de los mensajes que no contienen ninguna fecha o dato que pueda ubicarlos temporalmente. el hoax esta redactado de forma que pueda ser reenviado indefinidamente (en ocasiones llega a estar activo durante años)
  • Cuando recibamos un mensaje que hable de algo que desconocemos conviene consultar su veracidad (por ejemplo a partir de buscadores de la www).
  • Sólo si, tras el paso previo, estamos seguros de que lo que dice el mensaje es cierto e importante de ser conocido por nuestros contactos lo reenviaremos, teniendo cuidado de poner las direcciones de correo electrónico de los destinatarios en la casilla CCO.
  • Conviene que hagamos saber lo dicho en los dos puntos anteriores a nuestros contactos en cuanto nos reenvían mensajes con contenido falso o sin utilizar la casilla CCO.

Ver más

10 AMENAZAS PARA LA SEGURIDAD DE INTERNET
No se asuste. Reunir en una lista diez riesgos potenciales para la seguridad de la Red y su ordenador no quiere decir que todos ellos vayan a caer sobre usted de inmediato. Internet sigue siendo un lugar maravilloso en el que uno puede moverse con ciertas garantías siempre que se cumplan unas normas básicas de protección. Para evitar resultar afectado, basta con mantener su sistema actualizado y aplicar el sentido común. Pensar antes de hacer click puede ser el mejor antídoto contra el desastre que pueden provocar alguna de las siguientes amenazas.

1. Los mensajes no solicitados
Una auténtica avalancha de promociones de medicamentos, mensajes en chino y anuncios nunca pedidos. El año pasado, un 95% de los correos recibidos eran spam, y el problema no tiene pinta de solucionarse a medio plazo. El mal que puede matar al email amenaza también a otras tecnologías. Afecta a las redes de mensajería instantánea (spim) y a los sistemas de telefonía basados en Internet (spit), e inunda de comentarios los blogs y sitios de noticias.

2. Botnets y zombies.
Cuando un atacante logra entrar en una máquina ajena prefiere mantenerse oculto y controlar el PC infectado desde el anonimato. Los ordenadores zombies, auténticos autómatas al servicio del hacker, pueden ser controlados de forma remota. Millones de ordenadores de todo el mundo han sido esclavizados. Vinton Cerf, uno de los padres de la Red, alerta sobre el crecimiento del problema: entre 100 y 150 millones de los 600 PCs conectados han sido esclavizados, y su uso para el crimen amenaza con estrangular Internet. Para lanzar un ataque o enviar millones de correos basura es posible alquilar un conjunto de zombies: 1.000 o 2.000 ordenadores, por entre 50 y 60 dólares.

3. El phishing.
La suplantación de sitios legítimos por otros destinados a robar datos personales y financieros creció en España el año pasado un 290%, según datos proporcionados por la Asociación deInternautas. Ya no son sólo los usuarios de la banca online los que pueden caer en el error de proporcionar sus claves de acceso a atacantes malintencionados. El phishing se ha extendido a otras páginas web, como las de búsqueda de empleo, las campañas solidarias, las plataformas de pago o las subastas.

4. Virus, adware y programas espía.
Los virus informáticos siguen siendo capaces de borrar discos duros y convertir en inservibles equipos de reciente adquisición. Los métodos de infección han evolucionado y los objetivos de los atacantes ya no son los mismos, pero sólo tomando las precauciones necesarias puede uno librarse de resultar infectado. Según Message Labs el año pasado la cantidad de detecciones de malware creció un 172% respecto a 2005. Los programas espía y aquellos destinados a mostrar publicidad sin el consentimiento del propietario del ordenador siguen causando estragos.

5. Dominios en riesgo.
Entre las amenazas que pesan sobre el sistema de doinios se encuentra la vulnerabilidad de los servidoresq ue vinculan las direcciones que todos recordamos por otras numéricas. En febrero de este año, un ataque coordinado contra estos ordenadores ralentizó el tráfico de datos en buena parte de la Red, obligando a Verisign a tomar cartas en el asunto. Si un atacante lograse dañar buena parte de esa infraestructura el funcionamiento de Internet podría resentirse gravemente. La internacionalización de dominios, por otra parte, abre la puerta a posibles intentos de engaño. Los atacantes utilizan además otras técnicas, como el pharming, para suplantar un dominio legítimo y cometer todo tipo de estafas.

6. Infraestructuras anticuadas.
"No podemos seguir confiando en tecnologías de hace 40 años para impulsar el funcionamiento de la Red". Las declaraciones de Larry Roberts, uno de los responsables del nacimiento de Internet en The Wall Street Journal, despiertan cierta preocupación. Él y otros pioneros de la red explican que los sistemas que soportan la Red son cada vez menos adecuados para manejar el ingente tráfico de datos que circula por las cañerías digitales. Sólo enEE UU, el volumen de información crecerá un 264% hasta 2011, hasta alcanzar los 7.8 millones de terabytes , el equivalente a 40 billones de mensajes de correo electrónico.

7. Ataques contra redes inalámbricas
Entre el 20 y el 30% de las redes inalámbricas no han sido protegidas con ninguna contraseña, por lo que en ellas un curioso no lo tendrá muy difícil para husmear en los datos que circulan entre el ordenador y elrouter WiFi. Incluso en algunos casos cuando el punto de acceso cuenta con algún tipo de sistema de cifrado es posible que los atacantes logren pinchar la conexión y obtener información sensible. A finales de este año habrá en todo el mundo 179.000 puntos de acceso inalámbrico a internet (un 25% más que el año anterior), estando el 75% de ellos en EE UU y Europa. Ya sabe, si se conecta a alguno de ellos tome precauciones.

8. Las redes sociales y el vídeo online.
Aquellos que se dedican al crimen online saben que el correo electrónico ya no es una puerta tan fácil de traspasar como hace algunos años. Las barreras psicológicas y tecnológicas levantadas por los usuarios de este servicio derivan a los atacantes hacia otras vías de infección. El vídeo online y las redes sociales parecen ser campos abonados para los asaltos del futuro, dada la baja percepción del riesgo de sus usuarios y la falta de costumbre a que sitiosweb como YouTube o MySpace sean utilizados para la distribución de programas maliciosos.

9. Almacenamiento portátil
Los disquetes están a punto de desaparecer, pero los datos siguen circulando fuera de cualquier control gracias a la gran oferta de dispositivos portátiles de almacenamiento, como las llaves USB. Éstas permiten que cualquiera pueda transportar grandes cantidades de información de casa a la oficina y de allí de vuelta al hogar o al ordenador de un amigo. Como método de distribución de virus es por supuesto mucho más lento que la Red, pero está sometido a menor vigilancia.

10. La estupidez humana.
Falta de originalidad y exceso de confianza, dos males que se encuentran en el origen de gran parte de los ataques informáticos. Hay estudios que señalan que los empleados pueden ser más peligrosos para una compañía que un atacante externo. La mayoría de las amenazas citadas tienen su origen en una accion del usuario: olvidamos actualizar, usamos aplicaciones sabiendo que no son seguras, nos negamos a renovar el antivirus y contestamos a los mensajes que nos envían los spammers. Además, carecemos de originalidad a la hora de elegir nuestras contraseñas, y creemos protegernos usando claves como '123456'. En la cadena de la seguridad somos el eslabón más débil.

Fuente: http://www.20minutos.es

Ver más