Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 25 de julio de 2007

LA CURIOSIDAD MATO AL GATO... Y EL NUWAR INFECTO TU PC

Lo que en un principio, los usuarios desinformados, pensarían que se trata de una verdadera, creativa, colorida y linda tarjeta virtual enviada por alguna amiga “o amigo”, puede traer consecuencias desagradables para nuestro equipo y fastidio para nosotros.

Muy sabio es aquel dicho que dice: “la curiosidad mató al gato”, como también lo es aquello que naturalmente poseemos como seres humanos: nos mata la intriga y la curiosidad; y más aún como usuarios informáticos, donde, como diría un experto profesional de la materia, nos convertimos en “pistoleros del doble clic”.

Así quedó comrpobado en ”Las tarjetas virtuales de Nuwar”, donde se demostró de qué manera este malware se disemina a través del correo electrónico incrustando un enlace que supuestamente nos invita a descargar una tarjeta virtual pero que en realidad se trata del código del gusano informático.

Inmediatamente después de ser ejecutada la supuesta tarjeta virtual, levanta un proceso bajo el nombre “ecard.exe” (el mismo nombre del archivo ejecutado) a su vez, éste ejecuta la herramienta “netsh.exe”.

Netsh.exe es una herramienta que trae incorporado el sistema operativo y sirve para configurar y supervisar en forma remota o local los equipos conectados a una red.

Si tenemos activo un firewall, situación deseable y recomendada para cualquier usuario, nos alertará cuando el malware intente establecer una conexión.

En la siguiente captura podemos ver las acciones realizadas por el Nuwar hasta aquí descriptas.

Acciones llevadas a cabo por el malware

Paralelamente a lo mencionado, genera un archivo llamado “spooldr.ini” en la misma carpeta desde donde se copió el código malicioso (ecard.exe) mediante el cual establece el puerto donde se quedará “escuchando”.

Por otro lado, el malware realiza una copia de sí mismo en la carpeta Windows bajo el nombre de “spooldr.exe” y genera en la carpeta Windows/System32 el archivo “spooldr.sys” (denominado por ESET NOD32 como Win32/Nuwar.AE) que contiene instrucciones para matar los procesos de varias herramientas de seguridad.

Archivos creados y apertura de puerto

Hasta esta instancia, los archivos creados por el Nuwar son fácilmente visibles y eliminados, esto puede llevar a suponer, por ejemplo, que el malware se encuentra en proceso de desarrollo y todavía adolece de ciertas características que el desarrollador intenta lograr con su creación.

Pero los que lidiamos con los códigos maliciosos, logramos dotarnos de algo en lo que la mayoría de los profesionales de Seguridad caen, la paranoia; dicho de otra manera, no creemos nada que un malware nos muestre, entonces probamos cada cosa que podemos para intentar saber el recorrido que los códigos maliciosos realizan por la computadora.

Y fue así que luego de reiniciar la PC donde nuestro amigo Nuwar se aloja cómodamente, pudimos descubrir que en realidad incorpora en su código propiedades de rootkit, ya que esconde sus archivos y procesos.

Procesos ocultos

Si bien es verdad que este tipo de técnicas, el engaño por intermedio de tarjetas virtuales, no es novedosa y que data desde hace mucho tiempo atrás, la realidad es que sigue siendo utilizada porque hay muchísimos usuarios que desconocen éste y la mayoría de las metodologías de los delincuentes informáticos.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio



Ver más

COMO DISTINGUIR LAS POSTALES FALSAS DE LAS VERDADERAS

¿Recibes en tu carta postales, felicitaciones de Navidad, de cumpleaños, de aniversario o cualquier otro tipo? Seguramente sí. Pero, ¿te las mandan personas conocidas? ¿o te las manda gente que no conoces de nada?

Parece obvio que, salvo errores postales, las felicitaciones y postales que recibimos en casa son de gente conocida, y no de desconocidos, ya que no es muy normal que nos dediquemos a enviar christmas navideños o felicitaciones de cumpleaños a personas que no conocemos de nada. Siempre cabe el error postal, y que acabe en nuestro buzón una postal del vecino del quinto, pero en ese momento es fácil leer que el destinatario no es el nuestro y por tanto, disntiguir lo que es nuestro de lo que no.

¿Porqué no aplicar en el mundo de las postales virtuales el mismo razonamiento?

Muchas personas reciben en sus correos postales virtuales al cabo del día. A mí no me gustan mucho, pero confieso que alguna que otra he enviado en alguna ocasión. No obstante, comprendo que para un usuario no muy avezado, puede resultar complicado distinguir las postales legítimas de las fraudulentas. Para ello, seguiremos estos pasos elementales:

1. Generalmente, las postales fraudulentas se emiten en lengua inglesa. Si somos españoles, argentinos, ecuatorianos o chinos, no parece muy razonable que en nuestro buzón un tal Mike Roberts, Andy Charlton o Mary Smith nos feliciten por nuestro cumpleaños, especialmente teniendo en cuenta que no conocemos a ninguno de los tres.

2. Tampoco es normal recibir postales virtuales cuyo asunto esté escrito en un idioma que no es el nuestro. Asuntos como You’ve received an ecard from a Worshipper! deben, al menos, hacernos sospechar. Seguro que si recibes en casa una tarjeta en casa con matasellos de Korea del Norte, o con un dibujo de Filipinas en el sobre, lo menos que te produce es sensación de extrañeza.

3. Los servicios postales virtuales suelen funcionar de un modo muy sencillo: yo escribo mi nombre y mi dirección de correo, y selecciono a quién enviar una postal, escribiendo un nombre y un correo. Es habitual también que acompañemos a la postal de un mensaje de texto personalizado. Así que cualquier mensaje extraño que no contenga el nombre, el correo o un mensaje inequívocamente asociable a un conocido o amigo, debe ser motivo de sospecha.

4. Los servicios de postales virtuales no trabajan por amor al arte, y suelen sustentar su actividad en ingresos publicitarios, con lo que bien el contenido en sí de la postal o bien la página a la que apunte el mensaje de recepción de postal, contendrán con mucha probabilidad publicidad legítima (nada de viagra online y cosas parecidas)

Imaginemos que aún así seguimos teniendo dudas, y hemos abierto la postal

Mal hecho. Ante la duda, deberías haber preguntado a quien creamos autor del envío si nos ha enviado algo. Una llamada de telefóno o un mensaje de correo pueden aclarar si el envío es o no legítimo. Si no has podido sospechar de nadie, con más razón hubieras hecho bien en borrar la postal y olvidarte de ella. Aún así, te gusta el riesgo, y te la has seguido jugando.

Al abrir el mensaje, lo normal es que te encuentres algo parecido a esto:

postales

Marcadas en rojo hay 5 cosas que nos deben hacer pensar mal:

1- Un asunto de mensaje en inglés, tal y como habíamos comentado anteriormente. ¿Tienes amigos en Inglaterra o en un país de habla inglesa?

2- Una dirección de origen desconocida y compuesta por caracteres aleatorios que no se parecen a un nombre (pcxly). Además, si visitamos el dominio wilco.ca, no encontraremos servicios de envío de postales alguno. ¿Recuerdas haber agregado a pcxly@wilco.ca a tu cuenta de Hotmail por un casual?

3- Ausencia de personalización: el mensaje es impersonal. ¡ No te están felicitando por nada !

4- La presunta postal no se almacena en una dirección verificable, sino en una IP (70.246.16.65) ¿Hay algo en esa línea que haga pensar que es un servicio de postales virtuales?

5- La persona que firma el envío es impersonal, y no es asociable a un contacto. ¿Tienes algúna migo que se llame postmaster? Yo el único postmaster que conozco es el mayordomo de mi servidor de correo postfix.

Sigo pensando que la postal es legítima

Tranquilo, también hay gente que cree que Elvis vive, y que la cara oculta de la luna está poblada de hombrecillos verdes urdiendo planes de invasión terráquea.

Llegados a este punto, muchos usuarios, por desgracia, pincharán en el enlace. En el caso que nos ocupa, ese enlace apunta a una descarga llamada ecard.exe (las postales jamás se envían como ejecutables, todavía tienes una oportunidad de cancelar). Con los datos que apuntamos, había una sospecha elevada de que fuera un contenido malicioso, y como bien dice el refrán, piensa mal y acertarás:

La muestra sólo la detectan AntiVir (Found TR/Crypt.XPACK.Gen), BitDefender (Found Trojan.Peed.IAM (probable variant)) y Kaspersky Anti-Virus (Found Trojan-Downloader.Win32.Tibs.mr). El resto de motores del servicio no encuentran nada, y eso es probablemente, por la frescura de la muestra.

Pues yo he pinchado y he ejecutado el fichero ecard.exe, paso de tus consejos

Mala suerte amigo. Desconecta tu PC de Internet de inmediato. Trata de limpiar el PC con un buen antivirus, y ante la duda, solicita a un soporte técnico de confianza que restaure una copia limpia de tu sistema operativo.

También puedes pasar de este consejo, y esperar tranquilamente sentado a que tu cuenta bancaria se quede vacía, o que tu máquina quede comprometida y a merced de algún botnet, claro. En tu mano queda.

Un saludo, y cuidado con las postales. No cuesta tanto darse cuenta de cuándo nos quieren felicitar, y cuándo lo único que se pretende es engañarnos.

Ver más

PWDUMP 7

Hace ya algun tiempo que no escribiamos por aqui, así que he decidido publicar una nueva herramienta. no esta completamente acabada pero es completamente funcional.

Actualmente hay muchas versiones de herramientas como pwdump o fgdump que se encargan de volcar los hashes de un sistema windows, para que puedan ser posteriormente descifrados. Cada version de estas herramientas tiene su propio modo de funcionamiento, creando servicios, inyectando código al proceso lsass, sin embargo, hay formas de hacer que estas versiones dejen de funcionar, por ejemplo deshabilitando los recursos administrativos, o eliminando privilegios de debug a un usuario administrador.

Pwdump7 sin embargo funciona de una forma totalmente diferente.

Este software funciona con su propio driver de sistema de archivos, usando tecnologia del software de deteccion de rootkits rkdetector de forma que un usuario con privilegios de administración, será capaz de volcar directamente los ficheros de registro SYSTEM y SAM directamente del disco duro.

Una vez volcados, se extraera la clave de syskey del fichero SYSTEM y se utilizará para generar los hashes lanman y ntlm del fichero sam, en un formato igual al que otras versiones de pwdump hacen.

Esta version es todavia una beta, y necesita alguna funcionalidad mas que ire añadiendo a lo largo del tiempo.

- Modificacion de contraseñas "online", actualizando las contraseñas de cualquier usuario directamente sobre el fichero SAM. De esta forma, no quedarán trazas en el sistema de que el fichero/password ha sido manipulado.
- compilar directamente con openssl (ahora requiere una de las librerias en el path) :)
- Meter soporte de contraseñas del directorio activo (a dia de hoy se desconoce el formato de las contraseñas almacenadas en el fichero ntds.dit)


Consultar fichero readme.txt
Podeis descargar aqui la ultima version de Pwdump 7.1

Fuente: http://www.514.es/

Ver más

FAST HTTP AUTH SCANNER
Fast HTTP Auth Scanner, es un nuevo scanner web que permite la automatización de tareas de pen-test contra routers y otros dispositivos que requieran autenticación a través de HTTP, permite comprometer rápidamente multiples dispositivos web

Esta herramienta soporta las siguientes funcionalidades:
- Escaneo: realiza un barrido rápido sobre un amplio número de sistemas, identificando las versiones de los servidores web
- protocolos: establece conexiones contra sistemas a través http y https
- autenticación: realiza un ataque de fuerza bruta contra los sistemas que requieren autenticacion basic en la página principal.
- Busqueda de recursos: En el caso de que la página principal no requiera autenticación, en base al fingerprint del sistema, se intentan localizar recursos que si la requieran para lanzar un ataque de fuerza bruta.
- Identificación de version del servidor: Si no se encuentra la cabecera Server del servidor Web en la petición inicial (GET) se probará adicionalmente el método HEAD
- Identificación de Webforms: Muchos routers y servicios HTTP fuerzan a que la autenticación se realice en formularios. En base a firmas se puede ampliar el esquema de autenticación a estos formularios.
- Multithreading: Soporte multihilo (por defecto 200 threads con un timeout de 15 segundos)

Seguir leyendo

Fuente: http://www.514.es

Ver más

CONSEJOS BASICOS PARA DESCRIBIR UN VIRUS

El lunes 16 de julio fuimos unos de los primeros en anunciar la aparición de Gpcode.ai, la última variante del troyano ransomware.
Ahora la mayoría de las empresas de antivirus saben que este programa nocivo está rondando en la red y ofrecen al público gran variedad de artículos y descripciones detalladas de este troyano. Es un lindo detalle de su parte.

Sin embargo, leer la información que los distintos vendedores proveen es más divertido de lo normal. Me llamó la atención que las empresas de antivirus, al tratar de no revelar información que podría ser peligrosa, acabaron perjudicándose a ellos mismos y a los demás. La industria necesita una serie de reglas generales de publicación para unificar y definir la información que se publica.

Veamos algunos ejemplos:

La descripción de Symantec incluye información sobre el sitio que Gpcode usa para intercambiar información.

¿Por qué no muestran la URL completa? Por una buena razón: Las empresas de antivirus nunca proveen los enlaces completos a sitios que pueden contener programas maliciosos o información confidencial. Por esa razón los analistas solo proveen enlaces parciales y reemplazan la parte omitida con [REMOVED].

Ahora veamos la descripción de Trend Micro.

Los analistas de Trend decidieron no publicar la URL completa,. pero por desgracia ellos eliminaron una parte del enlace, y Symantec la otra.

Ambas empresas querían, con las mejores intenciones, resguardar la información de este sitio. Sin embargo, en conjunto, lograron publicar esta información.

Esto demuestra la necesidad de una regla general de publicación que abarque todas las empresas de antivirus.

En otros casos, se puede ver qué tipo de información es encubierta por unas compañías y revelada por otras.

Este es otro ejemplo de Trend, sacado de “read_me.txt”, un archivo que el troyano Gpcode deja en el ordenador de la víctima. En este caso, la empresa reemplazó el correo electrónico del autor y el código personal de la víctima con %s y %d.

Nosotros hicimos lo mismo cuando presentamos nuestra descripción de Gpcode.ai:

“Para comprar el programa, por favor contáctenos al correo: xxxxxxx@xxxxx.com e ingrese su código personal -xxxxxxxxx.”

En este caso está claro que Trend Micro y Kaspersky Lab pensaron lo mismo: Que no debían publicar esa información.

¿Y qué decidió hacer Panda Software?

Esta empresa no solo decidió publicar esta información, ¡también la resaltó!

A pesar de que Symantec decidió sustituir esta información por [MAIL ADDRESS] y [PERSONAL CODE], la publicó en otra parte del mismo informe y acabó proveyendo la dirección de correo de cuatro víctimas…

En otras palabras, la situación es desastrosa. El colmo fue cuando, como se muestra arriba, los analistas de Symantec decidieron que ocultar el enlace al artículo de Wikipedia sobre RSA.

Sin comentarios.

Fuente: http://www.viruslist.com

Ver más