Trivia No.14 - Grayware: programas potencialmente indeseados

Desde la década del 90 la producción de amenazas informáticas ha vivido un fuerte cambio: el avance tecnológico trajo aparejada la evolución de nuevos códigos maliciosos y nuevas técnicas de infección.

A medida que estas amenazas surgen, van recibiendo una nomenclatura acorde a las acciones que provocan en el sistema comprometido.

Es así que para identificar a todo código que provoca algún tipo de daño a los sistemas computacionales como gusanos, troyanos, virus, rootkits, spyware y otros códigos maliciosos similar, se los agrupó bajo el término genérico de Malware.

Desde hace tiempo, se escucha hablar de un nuevo término, Grayware. Este tipo de códigos- catalogados por ESET NOD32 como programas potencialmente indeseados, (del inglés PUP, Potentially Unwanted Program)- forman un grupo de aplicaciones confusas que pueden incluir publicidad no solicitada, programas espías, bromas informáticas, programas de acceso remoto, etc. y suelen incorporar algunas cualidades de Stealth, lo que les proporciona la capacidad de ocultar su comportamiento al sistema y/o al usuario.

Por lo general, los programas que se agrupan bajo este término no son necesariamente dañinos, pero sí son considerados indeseables. Por ejemplo el adware, cuyo principal objetivo es desplegar publicidad en la pantalla mediante ventanas pop up; algo que para la mayoría de los usuarios resulta indeseable y molesto. No se replican, no eliminan archivos y generalmente, no dañan la información, pero podrían molestar las tareas diarias del usuario.

Otro ejemplo es el spyware, que si bien tampoco hace nada dañino, recolecta información para crear perfiles de navegación del usuario; algo que desde el punto de vista de la confidencialidad debería ser considerado peligroso.

Otro tipo de aplicaciones que aparece bajo esta categoría son las herramientas de hacking, ya que implican utilidades que, dependiendo del modo y la intención con la que son utilizadas por parte de quienes las utilizan, pueden llegar a provocar algún daño consecuencia de su uso (o mal uso): revelación de información, problemas de infecciones más graves debido a que estas herramientas pueden ser descargadas de lugares peligrosos, etc.

Los programas de administración remota, los sniffer y los keyloggers también son ejemplos catalogados bajo el concepto de grayware.

• RAT (Remote Administration Tools): son aplicaciones que permiten controlar un equipo en forma remota. Por lo general, son utilizadas para administrar las redes informáticas, pero también suelen ser utilizadas con fines maliciosos, como el ingreso al equipo del usuario sin su consentimiento.

• Packet Sniffers: son programas que facilitan el monitoreo del tráfico que fluye por una red y pueden ser utilizados en forma maliciosa para capturar nombres de usuarios, contraseñas y otra información sensible.

• Keyloggers o capturadotes de teclas: son aplicaciones que monitorean y registran toda la información que se ingresa a través del teclado. Algunos poseen la capacidad de capturar pantallas (screenshot) o video y enviar toda la información recolectada por algún canal de comunicación, por lo general, mediante correo electrónico.

Si bien la mayoría de estas herramientas fueron creadas con fines administrativos, son muy explotadas por usuarios malintencionados para obtener información que luego permita atacar un sistema.

Por ello, los administradores de red (y también los usuarios) deben proteger la misma agotando todos los recursos que estén a su alcance para evitar que su red sea monitoreada/atacada mediante este tipo de aplicaciones.

Un primer paso en la lucha, no sólo contra estas sino contra cualquier tipo de malware, es la instalación de un producto que brinde la capacidad de detectar aquellos programas considerados potencialmente indeseados. ESET NOD32 incorpora esta capacidad repeliendo una importante cantidad de grayware permitiendo de esta manera detectar y bloquear las aplicaciones de este tipo que usuarios malintencionados hayan intentado instalar en la red o en el equipo del usuario.

Y un segundo paso, que se debería tomar como parte de las “buenas prácticas”, es la prevención a través de la educación, ya que cuanto más informado se encuentre el usuario, menos probabilidad de infección habrá.

eset-la.com

Trivia No. 13 - El peligro que generan los dispositivos removibles

Los dispositivos removibles y transportables (como los antiguos disquetes) siempre han sido una buena herramienta para que los creadores de malware difundan sus programas dañinos y si bien con el advenimiento de Internet parecían haber caído en el olvido, aquellos móviles, como memorias flash y llaves USB, revitalizaron el problema.

La posibilidad de que el malware aproveche estos avances tecnológicos para obtener nuevos canales y medios de propagación, constituye una de las tendencias de este y los próximos años, ya que cualquier medio utilizado maximiza la cantidad de infecciones y con ello, las ganancias de los creadores de malware.

Los medios de almacenamiento masivo a través de conexiones del tipo USB, como los pendrives, las memorias y cualquier otro dispositivo removible, representan un punto vulnerable para cualquier sistema informático, debido a la masividad de su uso y facilidad de conexión. Por ello, requieren ser controlados y además deben conocerse las formas de infección utilizadas.

En el caso de la propagación a través de dispositivos USB, el malware se vale de un archivo llamado autorun.inf que se encarga de ejecutar un código malicioso (generalmente un archivo ejecutable) en forma automática cuando el dispositivo es insertado en la computadora.

Esta funcionalidad se encuentra habilitada por defecto y lo que hace el sistema operativo es buscar en la carpeta raíz del disco y/o del dispositivo que se inserta, un archivo de texto plano (el autorun.inf). Si lo encuentra, ejecuta las instrucciones especificadas en el mismo.

Este archivo es cargado automáticamente (a menos que se indique lo contrario) cada vez que se conecta el dispositivo en el sistema y realiza las tareas que se establecen en cada una de sus líneas. Si entre ellas existe un comando para ejecutar un archivo ejecutable malicioso, el sistema será infectado.

A modo de ejemplo, se observa un archivo autorun.inf:



Este archivo se trata de un documento de texto en el que se indica que cuando el usuario intente explorar (shell\explore) o abrir (shell\open) el dispositivo, se ejecutará un archivo denominado bltkced.exe (este archivo cambiará con cada malware específico).

Entonces, es importante destacar que el archivo autorun.inf no es infeccioso y que simplemente enlaza a un archivo ejecutable que sí puede serlo y, en ese caso, este último es el código malicioso. Cuando un autorun.inf ejecuta un código malicioso es detectado por ESET NOD32 como INF/Autorun.

Hay una infinidad de malware que utiliza este tipo de archivos para diseminarse entre los sistemas, explotando la funcionalidad de Windows y propagándose a través de diferentes dispositivos removibles como pendrives, flash memories, DVDs, CDs, etc.

De la misma manera, cada vez que un nuevo dispositivo de almacenamiento masivo es insertado en la computadora comprometida, el malware se copia a sí mismo en el nuevo medio extraíble y así sucesivamente hasta infectar la máxima cantidad de computadoras posible. Por este motivo, debe llevarse a cabo el control del dispositivo o prevenir su ejecución automática.

La tendencia expresa claramente que la utilización de este tipo de dispositivos se incrementa rápidamente habiéndose convertido en uno de los medios más elegidos por los diseminadores de malware. Por ejemplo, esta metodología de infección fue utilizada para la propagación de la amenaza INF/Autorun que se encuentra entre los primeros lugares de las estadísticas de ESET Latinoamérica durante todo el 2008.



La facilidad en el aprovechamiento de los dispositivos móviles para propagar amenazas se ve reflejada en la gran cantidad de malware que son propagados a través de esta técnica, siendo sus principales especímenes los troyanos del tipo OnlineGames, orientado a obtener usuarios y contraseñas de jugadores online.

Es muy importante que los usuarios tomen conciencia del peligro que representan los dispositivos de almacenamiento removibles debido a la facilidad con la cual pueden disparar infecciones de cualquier tipo de malware. Estas amenazas se actualizan constantemente (varias veces al día) por lo que es fundamental tomar precauciones y llevar a cabo mínimas medidas de protección:

• En las organizaciones, es fundamental establecer políticas de seguridad claras con respecto al uso de dispositivos móviles y que los usuarios conozcan y respeten estas políticas.

• Limitar el acceso a estos dispositivos y registrar el uso de los mismos.

• En casos extremos se puede bloquear, por medio de políticas de grupo, de dominio o corporativas, el uso de estos dispositivos.

• Si se transporta información confidencial en estos dispositivos, debería permanecer cifrada para evitar su lectura en caso de extravío o robo del dispositivo.

• Prestar especial en el uso de estos dispositivos, ya que el traslado y la inserción en otros equipos pueden hacer que permanezca infectado durante cierto tiempo y con él se propague malware sin saberlo.

• Ya sea en el hogar o en las organizaciones, revisar con un antivirus con capacidades proactivas cualquier dispositivo que se conecte a la computadora para detectar amenazas conocidas y desconocidas, justamente por la gran cantidad de malware existente para estos medios.

Si bien la cantidad de variantes actuales de malware para medios removibles es muy significativa, conociendo el funcionamiento de estos dispositivos y con las recomendaciones mencionadas, es poco probable resultar infectado por este tipo de amenazas.

eset-la.com

10 señales de que su equipo puede ser parte de una Botnet

Son pocos los indicios que indican que su equipo forma parte de un botnet y a la vez no podrían indicar algo más. Cualquier código malicioso puede causar casi todos de los mismos síntomas que un bot. Incluso conflictos entre aplicaciones o archivos dañados pueden causar los mismos síntomas pero, aún así, hay algunos signos que no deben pasarse por alto. Así que, en ningún orden en particular…

1. El ventilador arranca a toda marcha cuando el equipo está inactivo

Esto puede indicar que un programa se está ejecutando sin el conocimiento del usuario y que se están utilizando una cantidad considerable de recursos. Por supuesto, esto también podría ser producto de la instalación de muchas actualizaciones de Microsoft, por ejemplo. Otro problema que puede hacer que el ventilador trabaje es el exceso de suciedad en el equipo o un ventilador de la CPU fallando.

2. Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente

Con frecuencia el malware posee errores que pueden causar una variedad de síntomas, incluyendo que el apagado del sistema sea muy largo o directamente falle. Desafortunadamente, los errores del sistema operativo o conflictos con programas legítimos también pueden causar el mismo síntoma.

3. Observará una lista de post en su muro de Facebook que no ha enviado (ver imagen)



Existen algunas otras razones distintas al malware o el acceso no autoriza a la cuenta para que aparezca este problema. Si ve que ocurre, definitivamente deberá cambiar su contraseña y asegurarse que el sistema no está infectado. ¡Es mejor asegurarse que la computadora no tiene malware antes de cambiar la contraseña! ¡¡Y no use su contraseña de Facebook en muchos sitios!!

4. Las aplicaciones andan muy lento

Esto puede ocurrir porque programas ocultos estén utilizando una gran cantidad de recursos del equipo. Esto también podría ser causado por otros problemas. En los sistemas Windows, por ejemplo, si hubiera 10 mil o más archivos en una carpeta eso podría causar que el sistema ande a paso de tortuga.

5. No se pueden descargar las actualizaciones del sistema operativo

Este es un síntoma que no se puede ignorar. Incluso si no está siendo causado por un bot u otro malware, si no mantiene los parches de seguridad actualizados el sistema se va a infectar.

6. No se pueden descargar actualizaciones del antivirus o visitar sitios web de los proveedores

El malware a menudo trata de evitar que software antivirus sea instalado o ejecutado. La imposibilidad de actualizar el antivirus o de visite el sitio web del fabricante es un indicador muy fuerte de la presencia de código malicioso.

7. El acceso a Internet es muy lento

Si un bot está en ejecución en el sistema para, por ejemplo; enviar grandes cantidades de spam, realizar en un ataque contra otros equipos o subir/bajar gran cantidad de datos; puede causar que el acceso a Internet sea muy lento.

8. Sus amigos y familiares han recibido mensajes de correo electrónico que usted no envió

Esto puede ser señal de un bot u otro tipo de malware, o bien que su cuenta de correo web haya sido comprometida por un atacante.

9. Se abren ventanas emergentes y anuncios, incluso cuando no se está usando un navegador web

Si bien este es un clásico signo de adware, los bots puede instalar adware en el equipo. Definitivamente debe atender este problema.

10. El Administrador de tareas de Windows muestra programas con nombres o descripciones extrañas (ver la línea resaltada en la imagen – tomada de un sistema infectado por Koobface)



El uso del Administrador de Tareas requiere cierta habilidad e investigación. A veces software legítimo puede utilizar nombres extraños como el del ejemplo. Una entrada en el Administrador de Tareas no es suficiente para identificar un programa como algo malo. Sin embargo, esto puede ayudar a encontrar software malicioso, pero deben realizarse otros pasos adicionales para validar los resultados. Matar procesos o eliminar archivos o entradas del registro sólo porque se “cree” que es un bot u otro malware, puede resultar que el equipo siquiera inicie. Tenga mucho cuidado al hacer suposiciones y tomar acciones sobre ellas.

eset-la.com

Trvia No. 12 - La importancia de contar con un motor unificado a la hora de mantener la mejor seguridad

Un antivirus que funcione realmente como un producto anti-malware, es decir, detectando a través de un único motor los diversos tipos de amenaza garantiza una mejor utilización de los recursos del sistema.

Algunos creerán, al leer el título de este artículo, que nos estamos refiriendo al motor de un automóvil y no estarán lejos de haber acertado, aunque lo podamos utilizar como una analogía para referirnos al motor de un producto anti-malware.

El motor de un automóvil se conforma de diversos componentes que son los que permiten que el vehículo se movilice. Cada modelo de motor tiene distintos componentes e incluso se le pueden incorporar otras partes para obtener mejores resultados en cuestiones como consumo de combustible, velocidad, potencia, etc.

Algo similar sucede con el motor de un producto anti-malware. Nótese que no utilizamos el término antivirus dado que el concepto de una herramienta que sólo detecte virus informáticos viene quedando en desuso por la gran proliferación de otros tipos de amenazas informáticas, tales como los troyanos, spyware, y demás, mientras que los tradicionales virus (como los recordados Michelangelo o el más reciente Chernobil) ya son casi una especie en extinción.

¿Por qué el motor de un automóvil puede compararse con el de un producto anti-malware? En primer lugar, por sus prestaciones. Un motor anti-malware también puede consumir más o menos “combustible” (léase, recursos), tener una velocidad (de escaneo) mayor o menor, así como también una potencia (de detección) más o menos eficaz. Además, la analogía podemos encontrarla en los componentes que forman parte del motor: no es lo mismo uno a inyección que uno rotativo, tal como un anti-malware puede tener más componentes y de mejor calidad que otros.

Al referirnos a un motor unificado anti-malware, lo que tenemos en cuenta es las diferentes capacidades que el mismo producto puede tener, sin la necesidad de componentes externos. Durante mucho tiempo hemos escuchado términos como antivirus, antispyware, antitroyanos, etc., creyendo que a mayor granularidad tendríamos mayores resultados.

Lo anterior dista mucho de la realidad: no sólo es inadecuado considerar que uno tiene mayor protección al utilizar una mayor diversidad de productos, sino que además, al hacerlo, el “combustible” de nuestros equipos informáticos se consume más rápidamente. Cada producto diferente, por ejemplo, al contar con un antivirus y un antispyware distintos y activos, hará que tengamos menos memoria operativa libre y nuestro procesador deba trabajar el doble. Si tenemos tres productos, el consumo puede ser el triple, y así sucesivamente, dependiendo, obviamente, de cada software en particular.

Recordando que los recursos de un equipo informático no son ilimitados, esto puede llevar a que se utilice más memoria y procesador en protegerlo que en utilizarlo, lo cual es la pesadilla de todo usuario.

Por esto, la existencia de los productos anti-malware, cuyo motor es unificado, es decir, un único producto es capaz de detectar y protegernos de diferentes tipos de amenazas informáticas, nos permite optimizar no sólo la administración del mismo, sino minimizar el consumo de recursos y la posibilidad de incompatibilidades, entre otros software.

Un motor unificado anti-malware puede ser capaz, por ejemplo, de suplir la necesidad de contar con un antivirus, un antispyware y una herramienta antirootkits separadas. Dado que cada uno de los productos anteriores comparte funcionalidades similares (chequeo de memoria, bloqueo de archivos peligrosos, base de datos de firmas, etc.), la unificación de dichas funciones lleva a una clara ventaja para los usuarios.

Más allá de las características anteriores, que mejoran la experiencia del usuario al utilizar su PC, también debemos tener en cuenta el precio del licenciamiento y el costo de administración de más de una aplicación.

Adquirir un producto que cumpla la función de tres es mucho más accesible, en términos de valor económico, que contar con tres productos diferentes. De la misma manera, administrar tres productos requiere más tiempo que hacerlo con uno solo; ni hablar de la resolución de problemas.

Hay un punto muy importante que hay que aclarar respecto a esto: un motor unificado no es lo mismo que una “Suite”, nombre que se le da a esos “productos” que brindan diferentes niveles de protección “todo en uno”. Mientras que un motor unificado, como ya quedo claro, es un programa único, una Suite es un compendio de varios programas distintos cuya interfaz, normalmente, ha sido unificada, pero no sus componentes, por lo cual se comportan como varias aplicaciones diferentes respecto al consumo de recursos y utilización, con la salvedad de su administración. En muchos casos, se da que dentro de una misma Suite conviven productos de diversos fabricantes, lo cual es aún más contraproducente en términos de optimización de memoria y procesador, así como incluso de mantenimiento por parte de los desarrolladores de los mismos.

Entonces, teniendo en cuenta los puntos anteriores, es claro que un motor unificado anti-malware, que incluya además una eficaz detección proactiva de amenazas informáticas es la opción ideal para que los usuarios aprovechen al máximo su “automóvil virtual”. Podrán aprovecharlo para que su Ferrari modelo 2006 no se comporte como si tuviera un motor de los años 20, evitando tener componentes extra que consuman recursos y limiten la capacidad operativa del equipo.

Para realmente disfrutar de un recorrido veloz y relajado por la súper autopista de la información, no dude en analizar la posibilidad de evaluar un verdadero producto anti-malware con motor unificado, como lo son ESET NOD32 Antivirus y ESET Smart Security

eset-la.com

¿ Que es KoobFace ?

Koobface (Face-Book) es un gusano que utiliza como vector de ataque las redes sociales y su infección convierte al sistema en un verdadero nido de malware, ya que al comprometer el equipo se encarga de establecer una conexión clandestina contra otros servidores maliciosos desde los que descarga alrededor de cinco códigos maliciosos más, entre ellos uno destinado a romper la barrera de seguridad y una variante de sí mismo para continuar con el ciclo de propagación.

Como todo malware que se respete el metodo de propagacion del KoobFace es la clasica maniobra de ingenieria social donde simula la visualización de un supuesto video, algo que es habitual.

En esta oportunidad, Koobface vuelve a protagonizar una nueva campaña, pero bajo el título “Secret video by“. A continuación podemos observar una captura.



Actualmente se ha detectado más de 200 dominios comprometidos que forman parte del ciclo propuesto para esta campaña. Sin embargo, a pesar de esta incesante actividad por parte de este grupo de delincuentes, los usuarios de ESET NOD32 pueden estar tranquilos y confiar en la seguridad proporcionada por el motor ThreatSense de ESET, ya que la amenaza es detectada como Win32/Koobface.NAP.

eset-la.com