Portal De Tecnologia y Ciencias

Portal De Tecnologia y Ciencias

viernes, 19 de septiembre de 2008

SEGURIDAD E INTERNET



Los falsos antivirus se vuelven una herramienta ideal para infectar ordenadores

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha observado una creciente distribución de falsos antivirus que en realidad son malware y que están siendo utilizados por los ciberdelincuentes para obtener dinero de los usuarios.

PANDA SECURITY
Estas aplicaciones, clasificadas como adware por PandaLabs, se hacen pasar por antivirus que se ofrecen para limpiar el ordenador de los usuarios. Muchas veces son ofertadas en Internet, ofreciendo una descarga gratuita. Otras veces se introducen e el ordenador de los usuarios formando parte de otras descargas, camufladas como archivos de música o vídeo, vulnerabilidades, etc.

Una vez en el sistema, el funcionamiento más usual de estos falsos antivirus es el siguiente: en primer lugar, muestran al usuario (que muchas veces no es consciente ni de que esa aplicación existe en su sistema) la detección de un supuesto virus. Luego, le invitan a comprar la versión completa del antivirus si quiere desinfectarlo (puede ver un ejemplo de estos falsos antivirus aquí).

Si el usuario no lo hace, seguirá mostrando infecciones inexistentes y ventanas emergentes invitándole a comprar ese software de seguridad que, en realidad, no detecta ni elimina nada, de modo que si el usuario lo adquiere, habrá pagado por un programa sin utilidad alguna. De esta manera, los ciberdelincuentes consiguen su objetivo principal: obtener beneficio económico con el malware.

Además, para impedir que el usuario compruebe si está infectado de verdad o no, estos programas suelen tratar de impedir el acceso a páginas web de antivirus online, empresas de seguridad, etc.

"Al principio estos falsos antivirus eran muy elementales, sin embargo, muchos de ellos se están sofisticando para evitar ser detectados por las verdaderas soluciones de seguridad. Así, muchos se han vuelto polimórficos (cambian su forma cada vez que se instalan en un ordenador). Esta inversión demuestra que los ciberdelincuentes están obteniendo importantes beneficios económicos y que, por tanto, son muchos los usuarios que han caído en la estafa", explica Luis Corrons, Director Técnico de PandaLabs.

Cómo evitar ser víctima de estos falsos antivirus

- Ten cuidado con lo que instalas: Muchas veces este tipo de falsos antivirus están asociados a otras descargas. Es decir, el usuario puede descargarse un programa legítimo y que se le ofrezca, como parte del paquete, uno de estos programas. Generalmente, se da la opción de no instalarlo. Por eso, desde PandaLabs se recomienda mirar con detalle qué programas estamos introduciendo en nuestro equipo al realizar una descarga.

- Ignora los emails con noticias o asuntos llamativos: Muchos de estos programas se han distribuido en las últimas semanas haciendo uso de técnicas de ingeniería social, es decir, mediante el envío de correos electrónicos con un asunto fantástico o llamativo (puedes ver un ejemplo aquí). En estos emails se invita al usuario a seguir un vínculo para poder ver el vídeo o las imágenes de esa falsa noticia. Si lo hace, estará introduciendo en su equipo algún tipo de malware, como, por ejemplo, estos falsos antivirus.

- Sospecha al menor indicio: Si algún programa que no recuerdas haber instalado comienza a mostrarte falsas infecciones o ventanas emergentes o pop-ups en los que se te invita a comparar algún tipo de antivirus, desconfía. Lo más seguro es que en tu equipo se haya instalado alguno de estos programas maliciosos (ejemplo de mensaje pop-up de falso antivirus)

Mantén actualizados todos tus programas: Un programa no actualizado puede ser un programa vulnerable. Por ello, conviene mantener actualizados todos los programas que se tengan instalados en el equipo, ya que muchos de estos códigos maliciosos utilizan vulnerabilidades existentes en las máquinas para introducirse en ellas e infectarlas.



Intento de "revival" de los virus de macro

Se está detectando en Europa un tímido intento de revivir los virus de macro, a través de un documento en Microsoft Word que está siendo enviado a través de spam. El virus no representa ninguna evolución del concepto y no se le espera repercusión alguna, pero supone un renovado y discreto interés por este tipo de malware, prácticamente extinto desde finales de los 90.

HISPASEC.COM

El espécimen se trata de un virus de macro "de toda la vida". Las macros en Microsoft Office permiten ejecutar código VBA (Visual Basic for Applications) incrustado dentro de documentos cuando son abiertos con esta aplicación. Hasta la versión Office 2000, esto se hacía de forma automática con todas las macros contenidas en los documentos, lo que ayudó a popularizar lo que se llamarían los "virus de macro". Virus como Melissa y sucesivas variantes dotaron a esta forma de ejecución automática gran popularidad.

El archivo en concreto se ha difundido por algunos países europeos con el nombre de Rechnung.doc. Lleva dentro incrustado un ejecutable, y la macro se encarga de copiarlo al disco duro y ejecutarlo. Las casas antivirus han tenido que rescatar del olvido el prefijo W97M y OF97para denominar a Fordo, como se ha dado en llamar. La detección general por parte de los antivirus ha aumentado en los últimos días, aunque desde un principio ha sido muy efectiva.

www.virustotal.com/analisis/d67fcf69c3b2218dba79f4b154e6b930


La única novedad de Fordo es que en vez de ejecutar su payload directamente desde la macro, como habitualmente se venía haciendo, contiene en su interior un ejecutable. La macro lo copia al disco duro y lo ejecuta. Se trata entonces de un dropper tradicional que en principio no recurre a un servidor para descargar su componente principal.

La detección de la muestra del ejecutable contenido que hemos analizado es aceptable. Se trata de un spyware tradicional, que intentará conectarse a diferentes páginas.

www.virustotal.com/es/analisis/def454a819753c1549253844a6249708

Desde Word 2000 las macros no se ejecutan de forma automática por defecto, a no ser que estén firmadas por alguien de confianza para el equipo. Fordo ni siquiera usa vulnerabilidades conocidas o no para saltarse esta restricción, simplemente confía en que el usuario o bien use Word 97 o tenga las macros activadas en modo de seguridad "bajo" y se ejecuten automáticamente. En caso contrario simplemente la macro será ignorada. De ahí a que su difusión se espere muy discreta. En cualquier caso el virus, una vez ejecutado, modifica esta opción y marca como "bajo" el nivel de seguridad de las macros. Con esto puede llegar a conseguir que otros virus de macro se ejecuten en el futuro.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

El Cielo

El Cielo

Explosion de Una Supernova

Nerd Test

NerdTests.com says I'm a Cool Light-Weight Nerd. What are you? Click here!

Bienvenidos aquellos que no se conformen en ver en tres dimensiones

Saludos mis amigos(as) ; Colegas y estudiantes

Aqui estara una herramienta para todos donde podremos compartir nuestras ideas opiniones e informacion de una manera honesta y clara para que todos aquellos que acesen este blog puedan utilizarlo para crecimiento y conocimiento.

Las fuentes de informacion de este blog provienen de diferentes areas dentro de la red excepto algunos que son estudios de mi autoria

Videos para aprender

una nueva conciencia

una nueva conciencia

No estamos solos

Powered By Blogger

el maestro

el maestro
LINUX