Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 3 de septiembre de 2007

SERIE RETRO: LO QUE DEJO LA HISTORIA (III)
Durante junio de 1998 surgió un nuevo virus que infectaba sólo archivos ejecutables de computadoras con sistemas operativos Microsoft Windows 95 y 98 y tenía la capacidad de dejar inutilizable una computadora si se daban ciertas condiciones en su hardware.

Win95/CIH fue creado en Taiwán por un estudiante de Ingeniería del Instituto Tecnológico de Taipé llamado Chen Ing-Hou y cuyas iniciales forman el nombre de su creación. Al momento de ser detenido, durante el año 2000, acusado de haber sido el creador del virus, Chen manifestó que la motivación que lo llevó a crear este virus fue venganza hacia quienes llamó “incompetentes desarrolladores de software antivirus”.

Este código viral recibió alias como CIH SPACEFILTER, CIH 1003, PE_CIH, CIHV, TSHERNOBYL, TSERNOBYL y más, pero sin lugar a dudas el más conocido fue el de Chernobyl recibido por el accidente nuclear que tuvo lugar en Chernobyl, ciudad de Ucrania, el 26 de abril del 1986.

El virus Win95/CIH, en su versión 1.2, posee un módulo de ataque que precisamente se activa el día del aniversario del accidente que dio lugar a su alias más conocido, la versión 1.4, denominada Tatung, se activa el día 26 de cada mes e incluso otra variante de esta familia de virus acciona su carga dañina el día 26 de junio.

En consecuencia, los usuarios podrían estar infectados sin saberlo hasta el momento en que se activa el módulo con instrucciones de daño y el virus comienza a desplegar sus acciones maliciosas sobre todos los archivos de 32-bits (ejecutables de Windows con extensión .EXE) que encuentra en su camino.

Al ejecutar su módulo de ataque, CIH sobrescribe los primeros 2048 bits de los discos rígidos borrando todo su contenido e intentando al mismo tiempo borrar la información contenida en la memoria flash de la BIOS de las computadoras Pentium basadas en chips Intel 430TX, que tienen la capacidad de ser actualizadas y configuradas como write-enabled (habilitar escritura). El CIH tiene la particularidad específica que sólo ataca a los equipos con estas características.

La BIOS es la encargada de mantener los datos vitales del sistema y permite realizar el proceso de arranque de las computadoras. La solución a la infección termina siendo el cambio del chip de la BIOS o, en caso de encontrarse soldada, la consecuencia es inevitable y consiste en cambiar la placa madre (mother). Por estos motivos, el Win95/CIH fue considerado uno de los virus más peligrosos de la historia.

Con el fin de dificultar su detección, también se encarga de copiar su código viral en espacios no utilizados (vacíos) de los archivos infectados sin modificar su tamaño, quedando residente en memoria para luego seguir propagándose a través de archivos con extensión .exe al momento de su ejecución y/o copia.

Debido a la publicación de su código fuente, muchos creadores de malware vieron la posibilidad de incluir en otros virus la porción de código correspondiente al módulo de ataque del CIH dando lugar a la creación de variantes como por ejemplo el virus llamado “Emperor”, también capaz de dañar específicas BIOS de computadoras.

Por accidente, Win95/CIH logró difundirse a través de varios canales comerciales como por ejemplo: el juego Wing Commander resultó infectado, la empresa Yamaha distribuyó una actualización de drivers para su CD-R400 también infectada y hasta IBM vendió un lote de computadoras con el virus Win95/CIH preinstalado durante marzo de 1999, un mes antes de que el virus activara su carga dañina.

A pesar de que todas las firmas antivirus detectan este código malicioso, como se puede apreciar en la imagen, en la actualidad siguen apareciendo casos de equipos infectados con este malware. Para las víctimas de este virus, existen herramientas que permiten recuperar los discos rígidos dañados por este virus.


Por ello es muy importante que los usuarios tengan la precaución de no ejecutar ni instalar nada nuevo sin antes haber verificado los archivos contenidos en medios de almacenamiento como CDs, disquetes, etc. con una herramienta antivirus como ESET NOD32.

Más información:
[1] Cronología de los virus informáticos.
http://www.eset-la.com/threat-center...s-informaticos

[2] Serie retro: “lo que nos dejó la historia” I.
Serie retro: lo que dejó la historia (I)

[3] Serie retro: “lo que nos dejó la historia” II.
Serie retro: lo que dejó la historia (II)

Fuente: http://www.psicofxp.com

Ver más

TARJETAS VIRTUALES: "SEEN YOUR CARD"
Las tarjetas electrónicas, e-card o simplemente postales virtuales, generalmente son utilizadas para reflejar algún sentimiento hacia algún ser querido (o no tan querido) sobre todo en aniversarios, en navidad y otras fechas festivas. Existen para casi cualquier temática y de cualquier estilo, incluso hay páginas web especializadas en esta particular manera de expresión.

Es por ello, que muchas personas malintencionadas recurren a ellas para intentar infectar computadoras o distribuir códigos maliciosos y es muy “común” que las envíen a través del correo electrónico. Esta situación la transforma en un medio más que utilizan los desarrolladores de malware para distribuir sus obras.

La mayor parte de los casos de infecciones es a través del correo electrónico y siempre utilizando alguna técnica de Ingeniería Social que se aprovecha de aquello que los usuarios poseen naturalmente: la curiosidad. y en esto, los creadores de malware son especialistas.

A modo de ejemplo, se puede mencionar un gusano de Internet que en los últimos días se está diseminado por correo electrónico simulando ser una “amigable” tarjeta virtual, el Nuwar (Storm/Tibs/Peacomm/Peed según la compañía antivirus).

El Nuwar es un complejo gusano de Internet que, entre otras cosas, se mimetiza detrás de una falsa tarjeta virtual donde su modus-operandi consiste básicamente en invitar, a través de un enlace incrustado en un mensaje de corre electrónico, a descargar una falsa tarjeta virtual. En la siguiente captura se puede ver un ejemplo del correo:



Imagen 1 – E-mail con la falsa tarjeta virtual

Al hacer clic sobre el enlace para ver la falsa tarjeta virtual, se intentará descargar un archivo ejecutable llamado ecard.exe, que se trata del malware. El usuario que lo ejecute comprometerá su computadora y en forma voluntaria la “donará” para que forme parte de una extensa red de computadoras infectadas [1].

Una vez ejecutado, el código malicioso realiza una serie de modificaciones sobre el sistema operativo que en forma global se pueden apreciar en la siguiente imagen:





Imagen 2 – El Nuwar en acción

Es decir, se copia en varios sectores del sistema y abre algún puerto en la computadora desde el cual intentará establecer una conexión; una acción muy común en el malware.

Cabe aclarar que este gusano de Internet no sólo utiliza esta metodología de engaño sino que puede usar cualquier otra como por ejemplo: intentar infectar simulando, a través del correo electrónico, ser alguna oferta; brindar información de cualquier tipo, regalos, etc.

Encontrarse con casos como el de este ejemplo es muy habitual y obviamente no es la situación deseada y, sosteniendo la filosofía de prevenir a través de la educación, es recomendable tener presente una serie de consejos a los que se debería tener en cuenta para evitar caer en una de estas trampas.

En primer lugar, desconfiar de todo aquel correo electrónico que llegue en algún idioma que no es el propio; en este ejemplo se puede observar que tanto el remitente, el asunto y el contenido del mensaje están en inglés.

Por otro lado, generalmente las tarjetas virtuales no se distribuyen en archivos ejecutables, lo cual es otro serio motivo para desconfiar de su contenido, además de rechazar cualquier enlace que llegue a través del correo electrónico.

Como se podrá apreciar, es suficiente con sólo chequear algunos puntos básicos para evitar ser víctimas de esta metodología de infección y eliminar todo aquel correo electrónico del cual se tengan dudas de su procedencia. Estas recomendaciones ayudan no sólo a identificar las falsas e-card sino también a detectar las intenciones de infección válidas para cualquier malware.

La importancia de la educación como prevención de las amenazas informáticas es cada vez más importante por el constante aprovechamiento de la Ingeniería Social como herramienta de engaño, por eso, combinando la capacitación de los usuarios con un software antivirus de detección proactiva como ESET NOD32, se puede lograr la protección adecuada para no infectar los equipos [2].

Para más información:

[1] Botnets, redes organizadas para el crimen
Botnets, redes organizadas para el crimen

[2] Plataforma Educativa ESET Latinoamérica
http://edu.eset-la.com/

Fuente: http://www.psicofxp.com

Ver más

BACKTRACK EN LLAVE USB

Si existe alguna auténtica "navaja suiza" de la seguridad informática ésa es BackTrack, que incluye más de 300 herramientas. Hasta hoy, sólo habíamos contemplado el uso de esta soberbia distro como máquina virtual, pero algunos lectores de Kriptópolis ya dejaron claro que su objetivo iba un paso más allá: BackTrack en una llave USB.

Y es que las características de esta distribución la hacen idónea para poder llevarla con nosotros a todas partes. A eso precisamente dedicaremos este tutorial...

Preparando tu llave USB

NOTA: Si tu llave está limpia (formateada en FAT32 y lista para usar) puedes saltarte este paso.

Comenzamos por conectar la llave a un puerto USB libre. Para identificarla, en un terminal tecleamos lo siguiente:

fdisk -l

Así podremos saber la denominación en forma /dev/xxxx que Linux da a nuestra llave. En mi caso, es /dev/sdf, que habrás de sustituir en los comandos que siguen por lo que tú obtengas con el comando anterior.

Si es necesario podemos borrar cualquier rastro un eventual MBR anterior tecleando:

dd if=/dev/zero of=/dev/sdf bs=512 count=1

Utilizamos de nuevo fdisk para borrar las particiones existentes y reparticionar la llave:

fdisk /dev/sdf

No olvides sustituir /dev/sdf por el nombre que tenga tu llave en tu sistema. Si no sabes usar fdisk (o no te atreves) puedes realizar esta operación en Windows: borrar las particiones y creas otra(s) a tu gusto, siempre que sean FAT32 (ó vfat, en linux). El uso de fdisk en linux es en realidad sencillo y nada queda grabado hasta que pulses "w". Con "p" ves las particiones, con "d" las borras, con "n" las creas, con "t" modificas su tipo, con "a" las vuelves activas, etc.

En mi caso, en una llave de 1 GB creé una partición de 800 MB para BackTrack y otra de 200 MB en el resto como eventual depósito de ficheros:

Disposit. Inicio    Comienzo      Fin      Bloques  Id  Sistema
/dev/sdf1 * 1 814 782223 b W95 FAT32
/dev/sdf2 815 1016 194122 b W95 FAT32

Bien; supongamos que la llave está lista para usar.

Creamos un sistema de ficheros FAT32 en la partición antes creada (sdf1, en mi caso) con:

mkfs.vfat -v /dev/sdf1

Y otro tanto en la partición para los ficheros:

mkfs.vfat -v /dev/sdf2

Instalando BackTrack

En primer lugar habrá que descargar la ISO de BackTrack 2 (700 MB) de cualquiera de los sitios enumerados aquí:

http://www.remote-exploit.org/backtrack_download.html

Una vez dispongas de la ISO crearemos un par de directorios en nuestra carpeta personal:

cd
mkdir bt2iso
mkdir bt2

Procedemos a montar la iso mediante el dispositivo loopback:

mount -r -o loop /home/usuario/bt2final.iso /home/usuario/bt2iso

Montamos a continuación la primera partición de nuestra llave USB:

mount -o rw /dev/sdf1 /home/usuario/bt2

Y ahora copiamos el contenido del primer directorio en el segundo:

cd /home/usuario/bt2iso
cp -r * /home/usuario/bt2

Este último comando tardará un poco. Paciencia.

Al final, deberemos tener un par de directorios (boot y bt):

ls -l /home/usuario/bt2
boot bt

Sólo nos queda hacer que nuestra llave sea arrancable:

cd boot
./bootinst.sh

[NOTA: en Windows el proceso es parecido, sólo que tras descomprimir la ISO en el USB hay que ejecutar bootinst.bat para hacerlo arrancable].

Se arranca un instalador que nos avisa de que se va a sobreescribir el MBR de nuestra llave USB. Aceptamos pulsando cualquier tecla y probamos si nuestra llave es capaz de arrancar BackTrack en un ordenador conforme a lo previsto.

Una vez iniciada BackTrack sólo necesitamos seguir las instrucciones que se nos muestran en pantalla. Tras teclear "root" como nombre de usuario y "toor" como contraseña, accedemos a nuestra sesión en un terminal. Para iniciar un entorno gráfico, basta teclear "startx" (para iniciar KDE) o "flux" (para FluxBox).

Suerte y que lo disfrutéis.

Fuentes:

Este tutorial se ha basado en mi propio artículo anterior sobre Backtrack como máquina virtual y en información adaptada a partir de los dos sitios siguientes:

Se ha realizado sobre una máquina corriendo Arch Linux y con una llave USB de 1 GB. Para arrancar un ordenador con Backtrack es necesario que soporte el arranque desde USB, algo que puede generalmente configurarse desde la BIOS en ordenadores relativamente recientes.

Ver más