30/4/10

Trivia No. 7 - SPAM



Se considera “spam” a todo correo que un usuario recibe sin que éste haya sido solicitado por el mismo. Muchas veces, el spam es utilizado como técnica de envíos masivos de publicidades o medio de propagación de amenazas informáticas.

Si bien se suele hacer hincapié en intentar no recibir mensajes de correo no deseado y no descargar archivos adjuntos que no se hayan solicitado, rara vez se profundiza en el tema y se explica el porqué de este consejo.

A pesar de que es fácil suponer los motivos, el tema suele tener matices importantes que refuerzan este principio. Para comenzar es bueno establecer las dos formas fundamentales que utilizan los spammers (personas que envían spam), para recolectar direcciones de correo:

a. utilizar direcciones de correo almacenadas en bases de datos que suelen estar a la venta
b. armar nuevas base de datos mediante diversas alternativas entre las que se destacan:
• recolectar direcciones a través de malware (principalmente troyanos y gusanos) instalados en el sistema del usuario
• recolectar correos a través del rastreo de sitios web. Al igual que sucede con los buscadores de Internet, existen programas que recolectan direcciones de correo simplemente buscando el caracter “@”
• recorrer sitios webs, foros y chats en búsqueda de direcciones publicadas por cualquier usuario
• crear las direcciones de correo manualmente mediante programas desarrollados para ese fin. Por ejemplo pueden armarse las direcciones a@correo.com, b@correo.com, z@correo.com, aa@correo.com, aa@correo.com, real@correo.com, etc. Mediante esta técnica es imposible que una dirección cualquiera de correo no sea víctima de spam.

Como puede verse, la primera alternativa trabaja sobre bases de datos ya recopiladas y/o adquiridas a terceros mientras que la segunda se basa en crear nuevas bases de datos, retroalimentando el sistema.

Dado que sobre la primera no hay mucha más información que agregar, al ser bases de datos con millones de direcciones que pueden ser compradas por un módico precio en diversos sitios, el presente análisis se enfocará en la segunda alternativa.

Ahora bien, la generación automática tiene dos problemas para los spammers, cuya solución es fundamental:

a. dará como resultado direcciones reales que pertenecen a un usuario y también direcciones que no existen y deben ser consideradas basura
b. deben confirmarse las direcciones reales y descartarse las inexistentes, para que la nueva base en creación no contenga basura, evitando así el envío de millones de correo innecesarios que hará decaer el rendimiento y beneficios del spammer.

En este sentido, es importante entender analizar cómo se verifican estas direcciones para comprender porqué es importante para el usuario conocer esta forma de trabajo del spammer.

Básicamente, se generan direcciones aleatoriamente, de las cuales sólo un pequeño porcentaje será de direcciones existentes Éstas deberán ser confirmadas y las demás descartadas. Actualmente existen dos formas principales de confirmar estas direcciones:

a. mediante un texto de “desuscripción”
b. mediante una imagen en el cuerpo del correo. Esta imagen generalmente es un punto de 1x1 pixeles y del mismo color de fondo que el mail (o transparente), lo que imposibilita la visualización.

En la siguiente imagen puede verse remarcadas ambas situaciones en un correo:




Nota: la cruz pertenece a una imagen del tipo mencionado pero que no pudo ser descargada debido a un bloqueo configurado en el cliente de correo. Si esta configuración de bloqueo no es la adecuada, esa imagen es descargada y no sería visible al usuario. Actualmente la mayoría de clientes de correo y webmails permiten bloquear las imágenes adjuntas en los correos.

Como puede verse, ambos son trucos utilizados por los spammers para confirmar direcciones.
1. En el caso que se solicite la remoción, se recurre al desconocimiento e inexperiencia del usuario común para que el mismo, pida la baja (haciendo clic en el enlace). Al hacerlo se envía un correo al spammer o se ingresa a un sitio web.

En el caso de enviar correo, la acción que el spammer busca se encuentra completa: se ha confirmado que la dirección de e-mail realmente existe (correo vivo), con lo cual el usuario ya nunca se librará de ese spammer y de otros a quien este le ceda su base de datos posteriormente.

En caso de ingresar a un sitio web para eliminar la dirección de correo, puede ser aún peor. En este contexto, pueden darse dos situaciones: que se pidan los datos personales del usuario para llevar adelante la desuscripción y que luego se envíe el correo al spammer repitiendo el caso anterior, o bien que ese sitio sea una lanzadera de instalación de otros códigos maliciosos.

Sin duda este ultimo caso es el peor de todos los considerados porque la instalación de todo tipo de malware, dejarán el sistema expuesto a ataques desde el exterior, e incluso para que pueda ser controlado por creadores de redes botnets. Además, estos sitios webs se aprovechan de diversas vulnerabilidades en los navegadores para descargar otras amenazas al sistema del usuario.

Para evitar este caso es fundamental, más allá de no ingresar en estos sitios, contar con un antivirus con capacidades proactivas instalado, residente y actualizado en todo momento de forma tal que proteja ante estas amenazas conocidas y desconocidas.

2. Con el uso de la imagen transparente, se evita “utilizar” al usuario para confirmar la dirección de correo. La forma en que se realiza esto es colocando una imagen apuntando a una dirección en algún servidor que el spammer controla.

Si se analiza el código fuente del correo se verá que la dirección es del tipo:



Básicamente, cuando esa URL llega al usuario, se descarga y visualiza la imagen mencionada y, en ese mismo momento se almacena, la dirección de correo desde donde provino la solicitud de descarga. Es decir que en esta situación, con sólo visualizar el mensaje, se confirma que la dirección de correo está viva y está siendo utilizada por el usuario.

Si bien este método, debido a los filtros y bloqueos de imágenes, actualmente se está utilizando en menor proporción, es una técnica sumamente eficiente y ha sido utilizado durante años por los spammers de todo el mundo.

Como puede verse los recursos de este tipo de personas inescrupulosas son muy amplios y cubren gran cantidad de aspectos que los usuarios raramente tienen en cuenta.

Para evitar ser agregados en estas bases de datos es fundamental poner en práctica las recomendaciones para evitar spam y phishing y para no recibir mensajes de correo con archivos adjuntos que no se hayan solicitado y que podrían ser dañinos.

La primera opción es difícil de manejar ya que es común que cuando presionamos “enviar y recibir” en el cliente de correo, no se nos brinde la posibilidad de elegir cuáles recibir y cuáles eliminar sin descargar. En este punto es bueno saber que existen clientes de correo que permiten realizar esta acción de forma tal que los correos basura serán eliminados desde el servidor sin siquiera recibirlos.

Además, es fundamental no contestar los mail no solicitados (generalmente spam) ya que de ese modo se sigue el juego del spammer y se termina confirmando la dirección de correo.

Además sería útil bloquear las imágenes de los correos de forma tal que podamos manejar cuáles descargar (cuando se está seguro de la procedencia del correo) y cuáles no. En este caso es apropiado utilizar filtros anti-spam de última generación como los provistos por ESET Smart Security.

Con respecto a no descargar adjuntos no solicitados, nunca está de más remarcar este consejo ya que es el principal medio de infección actual. Sin embargo, si se descarga este tipo de archivos siempre debe explorarlo con un antivirus con capacidades proactivas como ESET NOD32.

19/4/10

Acelerar IExplorer 8 en Windows.

Para empezar cerramos todas las ventanas del Explorador Web.

Una vez realizado esto ejecutamos cmd - Inicio-> Todos los programas-> Accesorios y damos al Símbolo del sistema (Debemos ser Administradores para realizar el siguiente paso)

Después de ejecutar el Símbolo del Sistema copiamos esto: regsvr32 actxprxy.dll
Al realizar esto el sistema nos avisara que se ha registrado exitosamente esta librería.

Se recomienda reiniciar el equipo y probar el funcionamiento del Navegador Internet Explorer.

15/4/10

Trivia No. 6 - Spyware



En la actualidad, el spyware es uno de los softwares maliciosos de mayor alcance. ¿En qué consiste exactamente, en qué puede afectarnos y cómo podemos protegernos de él?

Hoy en día, el spyware (o software espía) es uno de los tipos de malware de mayor difusión y tiene una elevada incidencia en la actividad de los profesionales y usuarios hogareños. Las estadísticas demuestran que actualmente existen más versiones distintas de spyware conocidos que de virus. La diferencia reside en el hecho de que los virus estuvieron presentes en el mundo informático durante los últimos 25 años, mientras que el spyware es una amenaza reciente, que data aproximadamente del 2004.

Inicialmente el spyware nació como un conjunto de aplicaciones incluidas junto al software gratuito con el objetivo de obtener información sobre la actividad del usuario en su computadora, a fin de poder determinar su perfil de navegación e intereses. Esto tiene mucho valor para las compañías dedicadas al marketing en Internet, ya que gracias a esta información pueden confeccionar bases de datos que les permiten conocer fehacientemente qué es lo que puede interesarle a cada usuario o perfil en particular.

Pero como toda amenaza informática, el spyware evolucionó y ya no sólo se instala junto al software distribuido libremente sino que utiliza otros métodos para llegar hasta las computadoras de los usuarios.

Uno de estos métodos son las páginas de Internet que intentan aprovechar vulnerabilidades en los navegadores de los usuarios. Cuando un usuario navega por ciertos sitios web, es posible que un spyware intente instalarse en su equipo, explotando algún agujero de seguridad conocido.

Además, los spyware incrementaron sus funcionalidades hasta convertirse en algo más que programas ocultos que procuran obtener información: hoy intentan interactuar con el usuario a través de barras de herramientas en el navegador, por ejemplo. De esta manera, pueden saber qué es lo que está haciendo el usuario en ese momento y están en condiciones de agregar “contenido” a las páginas visitadas, ya sea resaltando textos de las mismas (palabras claves asociadas a productos que pagan por participar en estas “estrategias de marketing”) o abriendo ventanas emergentes (pop ups) con publicidad.

Por nombrar un ejemplo, hay un tipo de spyware que apareció hace tiempo y aún sigue funcionando bajo distintos nombres y formas; se trata de un software espía que intenta detectar ciertas palabras claves en las páginas que el usuario visita y modificarlas dinámicamente para incluir enlaces a sitios de venta. Si, por ejemplo, encuentra que el usuario está leyendo una página en la que se nombra una tarjeta de crédito específica, resalta el nombre de la misma y agrega un enlace hacia un sitio donde el usuario pueda suscribirse a dicha tarjeta.

Antivirus nueva era

El spyware se está convirtiendo en una amenaza importante para el funcionamiento normal de los equipos hogareñas y las redes corporativas. Distintas estadísticas evidencian que un alto porcentaje de equipos está infectado por este tipo de malware, en la mayoría de los casos sin saberlo.

Uno de los problemas que genera el spyware, además de la clara invasión a la privacidad, es la degradación de las redes informáticas, debido a la constante comunicación que mantienen con el exterior.

En el mundo, se están llevando adelante iniciativas legislativas -sobre todo en Estados Unidos y Europa- para poder enfrentar a las empresas que están detrás de la creación constante de este tipo de malware.

Además, existen numerosos programas y aplicaciones que protegen a los usuarios del spyware y su “primo”, el adware. Dado que no hay diferencia en los métodos necesarios para detectar y eliminar al software espía y otros tipos de malware, es importante contar con una aplicación capaz de enfrentarlos a todos.

Así las cosas, en nuestros días los antivirus se están convirtiendo en herramientas anti-malware, dado que están incorporando funciones para detectar todo tipo de software malicioso y no sólo virus informáticos. Entre estas funciones se encuentra la detección de spyware y adware.

De esta manera hoy un antivirus brinda una protección global, sin necesidad de contar con productos adicionales para detectar y eliminar las nuevas amenazas.

Los laboratorios West Coast lanzaron dos certificaciones Checkmark, especialmente diseñadas para chequear el rendimiento de las herramientas contra el spyware. Este tipo de certificaciones permite saber a ciencia cierta si la herramienta evaluada se compromete con la detección del spyware, y si es capaz de brindar una protección completa. ESET NOD32 logró ambas certificaciones: una en detección de spyware y la otra en eliminación de la amenaza.

La tendencia demuestra que la propagación del spyware sigue en franco ascenso, debido al interés comercial que hay detrás de él. Por lo tanto es necesario que lo tengamos en cuenta a la hora de elegir una aplicación que proteja nuestro equipamiento informático.

12/4/10

Acelerar apagado en Windows 7.

Cuando apagamos nuestro Windows 7 lo que hacer es ir cerrando los procesos abiertos, por defecto tarda 12 segundos en matar cada proceso, podemos bajarlo por ejemplo a 6 o 8 segundos para acelerar el apagado.

Para ello debemos de editar nuestro regedit, pulsamos en Inicio con el raton o damos en el teclado a la tecla de Windows, escribimos "regedit" y pulsamos enter.

Se nos abrira el editor de registro, en la parte de la izquierda buscamos la siguiente ruta:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Estando seleccionada la carpeta Control, buscamos en la parte de la derecha "WaitToKillServiceTimeout" , veremos que tiene un valor de 12000 que son los 12 segundos que comentabamos, hacemos doble clic sobre "WaitToKillServiceTimeout" y en la ventana que nos sale cambiamos el valor de 12000 por 8000 y asi el tiempo de espera en matar un servicio cuando apagemos el ordenador pasa de 12 segundos a 8 segundos.

Accidente de Avion en Polonia Excusa para el Malware

Como ya es costumbre, en este momento se está propagando malware utilizando como pretexto el accidente que sufriera el presidente polaco y su comitiva, en las últimas horas en Rusia.

Si se utiliza cualquier buscador para buscar noticias sobre el hecho, aparecen cientos de sitios propagando malware:



En este momento la mayoría de los resultados de las búsquedas redirigen al usuario a un dominio en Polonia, de la siguiente forma:

1. Ejemplo de resultado de la búsqueda: http://[dominio_aleatorio].com/lvlne.php?on=polish%20news%20video
2. Luego, ese PHP lleva al usuario al dominio polaco donde se aloja el antivirus falso:
http://hur497.[dominio_en_polonia].pl/in.php?t=cc&d=10-04-2010_x_1023&h=dominio_aleatorio.com

En esta última URL puede verse que se indica la fecha de la campaña (hoy 10/04) y el dominio que originó la visita desde el buscador. Con estos datos los delincuentes pueden saber cuanto deben abonar a sus socios y afiliados de negocio en base a la cantidad de visitas que originaron.

En los resultados obtenidos en la búsqueda (el primero de hace apenas una hora), los dominios que aparecen tapados corresponden a sitios dañinos que, al visitarlos como se indica anteriormente, infectan al usuario con el rogue (falso antivirus) CleanUp Antivirus:



Luego de esta instalación, el “producto” requiere una registración por la cual hay que pagar y la cual termina siendo más costosa que un antivirus real como ESET NOD32:



Como siempre en estos casos es preferible mantener actualizadas las herramientas de seguridad y verificar los sitios que se están visitando.

Actualización 11/04/2010: en este momento los resultados en Google siguen activos en las primeras posiciones con la única diferencia de que en algunos pocos de ellos se informa que “el sitio puede dañar el equipo”.

8/4/10

Keygen, cracks y warez con malware, para activar NOD32.

Uno de los casos típicos que diariamente ocurren y de los cuales muchos usuarios desprevenidos terminan siendo víctimas de alguna infección, es a través de la descarga de archivos, por lo general, programas tipo keygen, warez y crack. El siguiente caso, encontrado recientemente por nuestro Laboratorio, refleja una de las técnicas más antiguas utilizadas por las personas que propagan malware para atraer la atención de las personas.

Cuando un usuario procede a la búsqueda de programas con la intención de obviar el licenciamiento del mismo, recurre a sitios web donde se ofrecen infinidad de aplicaciones junto a otro archivo (parche o crack) para dejarlo, en teoría, completamente funcional. Veamos un ejemplo:

Aquí se genera un problema importante para el usuario desprevenido, ya que el archivo que se descarga no es lo que aparenta ser y el usuario deja de estar protegido además de incurrir en la piratería.

Cuando se procede a la descarga del archivo, se presenta una ventana similar al de la captura. Quienes lo ejecuten serán víctimas de una infección, provocada por un troyano del tipo downloader identificado por ESET NOD32 como Win32/TrojanDownloader.Zlob.COJ.

Otro caso similar sucede con la descarga de herramientas falsas de seguridad como los rogue, los blogs con programas falsos o como en este caso, un sitio web que promociona ESET NOD32 para descarga gratuita:

Por eso resulta sumamente importante observar bien desde donde se realizan las descargas y, como ya saben, nuestro antivirus completamente funcional puede descargarse desde nuestro sitio web en la sección de descarga de ESET NOD32, o adquiere una licencia.

6/4/10

Cuidados en el uso de las contraseñas.

Durante diciembre de 2009, ocurrió el que se considera el mayor robo de contraseñas hasta el momento cuando la empresa RockYou, una red social especializada en aplicaciones y publicidad, perdió mas de 32 millones de claves y otra información de sus usuarios (como el correo electrónico) debido a que almacenaba las mismas en texto claro en su base de datos.

Así comienza el informe preparado por Imperva en donde se hace un recorrido desde los ‘90 hasta la fecha llegando a la conclusión inevitable de que las costumbres de los usuarios no ha cambiado: se sigue utilizando contraseñas cortas y pobres, lo que facilita el trabajo de los delincuentes que, por otro lado cada vez utilizan herramientas más sofisticadas (hasta el punto de que a través de fuerza bruta pueden obtenerse alrededor de 1.000 cuentas en 17 minutos).

De acuerdo al informe casi el la mitad de las cuentas comprometidas en el caso de RockYou, utilizaban 5, 6 o 7 caracteres y quizás no utilizaban menos porque el sitio no lo permite. Si a esto se suma que el 40% sólo utiliza caracteres en minúscula y el 16% sólo utiliza números, el problema se torna preocupante y explica gran parte de los inconvenientes actuales con el robo de credenciales. Cabe mencionar que sólo el 4% utiliza caracteres especiales.

La siguiente imagen muestra y da una idea clara de la gravedad del problema debido a la cantidad de personas que utilizan contraseñas sencillas:

Como puede verse los problemas son variados y podrían resumirse de la siguiente forma:

* Miles de empresas y sitios web almacenan las contraseñas de usuarios en texto claro, lo que significa que si la base de datos es expuesta un atacante externo se lleva el premio mayor, toda la información de sus clientes.

* Las compañías tienen problemas de gestión y seguridad que permiten a personal interno acceder a los registros confidenciales de clientes y usuarios.

* Utilizar contraseñas nulas o pobres en una red corporativa, facilita infecciones como las logradas por gusanos como Conficker.

* Aún ignorando los problemas anteriores, los usuarios no utilizamos contraseñas fuertes o reutilizamos las mismas (como lo explica este otro informe de Trusteer) en cientos de sitios sin considerar la información manipulada en cada uno: da lo mismo una red social que el Home-Banking. Esto significa que si alguien roba su información de la red social, también tendrá acceso a su cuenta bancaria.

Sin dudas estas consideraciones deben ser tenidas en cuenta cuando se desarrolla un sistema con acceso a datos de los usuarios y también cuando se selecciona una contraseña.

1/4/10

Trivia No. 5 - El Malware en las Redes P2P


Las redes de punto a punto (peer to peer), más conocidas como P2P, se han transformado en una de las vías de intercambio de archivos más difundidas, utilizadas y peligrosas por ser actualmente, uno de los canales comúnmente abusados para la diseminación de códigos maliciosos

Estas redes se caracterizan porque cada nodo (computadora) es un cliente y un servidor al mismo tiempo, formando un canal de comunicación directo entre cada uno de ellos, facilitando que los usuarios compartan archivos de diferente índole.

Bajo estas circunstancias, uno de los principales problemas de la relación redes P2P/malware radica en la sencilla capacidad de engaño que se obtiene, ya que no sólo es posible simular que un archivo es benigno sino que también es posible esconder, en un programa legítimo, algún código malicioso y luego diseminarlo a través de este tipo de redes.

Esta característica brinda a quienes se encargan de crear o diseminar malware una perfecta combinación para ser explotada a la hora de difundir códigos maliciosos de manera masiva; más aún si se tiene en cuenta lo difícil que es comprobar la integridad de los archivos que se difunden a través de este medio.

Para captar la atención de los usuarios se valen de nombres de archivos e iconos llamativos y esto no es una casualidad sino que responde a las estrategias de engaño más usadas por los creadores y diseminadores de códigos maliciosos.

En consecuencia, las acciones más comunes y simples se transforman en potenciales peligros de infección para quienes utilizan este canal. Con realizar una sencilla búsqueda, el usuario puede ser víctima del malware que, mediante técnicas de Ingeniería Social, intentará pasar inadvertido frente a los ojos.

Por lo general, los usuarios que hacen uso de estas redes, tenderían a descargar aquellos archivos que más fuentes poseen, los de mayor disponibilidad. La realidad es que en muchos casos, estos archivos constituyen diferentes tipos de códigos maliciosos.

Por otro lado, muchos de los programas clientes que se utilizan para realizar el intercambio de archivos (KaZaa, Imesh, etc.) suelen incorporar algún componente malicioso como adware o spyware que se instala conjuntamente con la aplicación P2P.

Más allá de la disyuntiva que existe en torno a este tipo de programas, cabe aclarar que no se pone en tela de juicio este mecanismo como vía para el intercambio de archivos sino la manera abusiva en que es aprovechado por creadores y diseminadores de malware para propagar archivos maliciosos.

Algunas contramedidas

Si bien es cierto que las redes de intercambio de archivos se han tornado muy propensas a ser utilizadas como canales de propagación de diversas amenazas, en la mayoría de los casos es posible minimizar la taza de infección y consecuentemente su impacto, incorporando algunas medidas preventivas:

• Mantener el programa antivirus debidamente actualizado y con capacidades de
detección proactiva.
• Verificar que el programa cliente que se utilizará para el intercambio de
archivos, no instale otras aplicaciones.
• Verificar la extensión de los archivos, ya que en muchos casos utilizan como
método de engaño archivos con doble extensión.
• Chequear que la carpeta de intercambio de archivos contenga sólo los archivos que
se desea compartir. En este sentido, muchos troyanos y gusanos informáticos crean
copias de sí mismos bajo nombres e imágenes de iconos llamativos en las carpetas
de intercambio.
MYA Systems on Facebook