Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 3 de noviembre de 2007

CONOCER PARA EDUCAR Y EDUCAR PARA PREVENIR II: TROYANOS

Hace unos días prometimos contar sobre los diferentes códigos maliciosos que en la actualidad circulan por Internet y a los cuales estamos expuestos por el simple hecho de poseer una conexión.

Así que, cumpliendo con lo prometido, vamos a ver de qué manera “trabaja” uno de los malware más conocidos: el troyano.

Dentro de la vasta gama de códigos maliciosos, los troyanos constituyen el malware que más propagación y tasa de infección posee en la actualidad, y así lo demuestra la siguiente imagen.

estadística de  malware

Los troyanos se caracterizan por intentar mimetizarse en otros programas o aparentar ser aplicaciones benignas, útiles e inofensivas pero que en realidad, al activarse, despliegan toda una artillería de acciones maliciosas en la computadora donde se alojan.

Una característica muy particular de los troyanos radica en que no poseen la capacidad, por sí mismos, de replicarse y es por ello que recurren a metodologías de Ingeniería Social, tales como aparentar ser lo que no son o “inyectarse” en programas legítimos.

Y de hecho, es justamente este tipo de labor la causante de su nombre en analogía a la estrategia que utilizaron los griegos para conquistar Troya a través de un caballo de madera dentro del cual se escondían sus soldados.

Por otro lado, suelen diseminarse junto con otros códigos maliciosos como si se tratase de un mismo elemento, es decir, un troyano puede contener, como parte de su módulo de ataque, componentes del tipo backdoors o rootkits que le permiten ser más eficaces al momento de la infección.

En este sentido, cabe aclarar que los backdoors o rootkits (por sí mismos) no son troyanos; un backdoor permite acceder a un equipo de una manera no convencional saltando los métodos de autenticación mientras que los rootkits ocultan ciertas actividades del malware, como por ejemplo sus procesos.

Sin embargo, pueden ser troyanizados; es decir, si para realizar sus objetivos recurren al engaño simulando ser, por ejemplo, un programa totalmente inofensivo.

Y además, dependiendo de qué tipo de acciones lleve a cabo el troyano en la computadora comprometida se puede desprender una subclasificación.

Así, nos podemos encontrar con troyanos tipo backdoors, cuando posibilitan un acceso alternativo; troyanos bancarios, cuando están orientados al robo de información confidencial para realizar fraudes; troyanos downloader, cuando descargan otros códigos maliciosos; troyanos drooper, cuando son adheridos a programas legítimos, etc.

En sucesivos post continuaremos aclarando de qué se tratan otros tipos de códigos maliciosos.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

IDENTIFICANDO PROCESOS MALICIOSOS EN SISTEMAS WINDOWS

Cuando una computadora ha sido comprometida por algún malware, es muy común notar que no responde de la misma manera que solía hacerlo cotidianamente, o nos encontramos con algún proceso que no conocemos y por ende nos parece sospechoso.

Para despejar de nuestra mente la duda que provoca este tipo de episodios, vamos a mostrarles que en los distintos sistemas operativos Windows existen diferentes herramientas que son nativas de cada sistema y que, a priori, nos pueden ayudar a comprobar si estamos en presencia de un archivo o proceso malicioso.

No es para nada divertido descubrir que procesos misteriosos o desconocidos se están ejecutando en nuestra computadora, sin embargo es necesario chequearlos cada tanto para verificar que los procesos que se están ejecutando no sean la causa del dolor de cabeza que genera el mal comportamiento de una computadora infectada.

En tal sentido, una de las primeras cosas que podemos verificar es justamente el comportamiento de los procesos activos, es decir, que consumo de memoria utiliza cada proceso que está corriendo en la PC.

Para ello basta con teclear al mismo tiempo las teclas Ctrl + Alt +Supr, se abre el TaskManager, es decir, el Administrador de Tareas, a través de él podremos obtener información que, en primera instancia, nos permitirá saber si en nuestra computadora se está ejecutando algún proceso malicioso.

Otra alternativa, pero bajo línea de comandos, es ejecutar el comando tasklist, este simple comando también nos mostrará información sobre los procesos activos (sólo para Windows XP).

Información sobre los procesos activosInformación sobre los procesos activos

En caso de utilizar el Administrador de Tareas, al detectar uno o varios procesos maliciosos lo primero que debemos hacer es “matarlos”. Para ello, simplemente seleccionamos el proceso y hacemos clic en el botón “Terminar proceso”.

Ahora bien, para obtener el mismo efecto pero bajo línea de comandos, luego de ejecutar tasklist y detectar el proceso desconocido, tendremos que ejecutar otro comando para poder terminarlo, en este caso el comando taskkill seguido de su PID (Identificador de proceso), la sintaxis es la siguienete:

C: \>taskkill /PID 2520

“Matando” procesos activos

“Matando” procesos activos

De esta manera habremos terminado el proceso y, por ende, lograremos eliminar el archivo que levantaba el proceso en cuestión (en este caso el notepad.exe).

Jorge

Ver más

CONOCER PARA EDUCAR Y EDUCAR PARA PREVENIR

Una de las filosofías que mantiene ESET es la educación de los usuarios, y de hecho es lo que en todo momento intentamos ofrecer desde cada uno de los seminarios, cursos, white papers e incluso a través de este blog.

Las tres principales palabras del título de este post , conocer, educar y prevenir conforman el trípode resistente en la lucha que cotidianamente mantenemos contra el malware y sus creadores.

Teniendo en cuenta esto, y con el fin de clarificar conceptualmente de qué estamos hablando cada vez que nos referimos a malware, vamos a ver a través de una serie de post de qué se trata realmente el malware y cuáles son las amenazas informáticas que se encuentran implícitas dentro de ésta tan mencionada palabra.

Si bien la expresión virus es utilizada en forma genérica para referirse a los distintos códigos maliciosos que a diario solemos cruzarnos por la web, la verdad es que esta mal empleada, siendo justamente malware la palabra genérica apropiada ya que, como veremos a lo largo de estos post, los virus informáticos conforman sólo una categoría más dentro de la vasta cantidad de códigos maliciosos.

Es por ello que el término malware (conjunción de malicious software – códigos maliciosos) fue adoptado para englobar no sólo a los virus informáticos sino que también a otras amenazas tales como troyanos, gusanos, keyloggers, backdoors, phishing, spyware, y muchos más, que a través de acciones dañinas y/o malintencionadas intentan constantemente engañarnos.

Entonces, una de las primeras cosas que deberíamos saber es que, conceptualmente hablando, cualquier tipo de programa que cause algún daño es nuestra computadora, es considerado malware. Desde el uso indiscriminado y no autorizado de recursos como ancho de banda; hasta el robo de información sensible y confidencial como lo son los nombres de usuario y contraseñas.

Evidentemente, la natural evolución de los virus informáticos radica fundamentalmente en el avance producido en todas las facetas tecnológicas, siendo Internet el resorte propulsor de infecciones a gran escala y la base fundamental de coexistencia para todo tipo de códigos maliciosos, tornándose indudablemente, en un ambiente muchas veces hostil.

Algunos de los objetivos que en general persigue el malware actual, están constituidos por las siguientes acciones:

  • Obtener información de los usuarios, la mayoría de las veces sin consentimiento.
  • Engaño a los usuarios, a través de una técnica característica del malware actual. Ingeniería Social.
  • Daño intencional, eliminación de archivos, etc.
  • Robo de información, a través de diferentes metodologías de engaño como lo es el phishing.
  • Instalación de otros códigos maliciosos.
  • Consumo de recursos del sistema, lo más común es el consumo de memoria, CPU y ancho de banda.
  • Envío masivo de correo basura, a través de motores SMTP que incorpora el mismo malware.
  • Ataques de Negación de Servicio Distribuido, uno de los objetivos buscados por las botnets.
  • Pharming Local, también utilizado para realizar phishing.

A partir del segundo post, iremos aclarando de qué se tratan y los objetivos que persiguen los diferentes códigos maliciosos que forman la clasificación de malware, como así también los ataques que se realizan a través de ellos.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más