[Tutorial & HowTo] Your computer may be infected y ¿Cómo eliminar un falso antivirus?

Posted by myself - 26/06/08 at 08:06:00 am

En los días que han transcurrido, he podido ver un aumento del número de máquinas infectadas con Antivirus XP 2008 (Winifix) o VirusProtect. O mejor dicho: aplicaciones maliciosas que se hacen pasar como antivirus.

Antes y después de ser instaladas te informan que tu “computadora puede estar infectada” (Your computer may be infected).

Síntomas:

  • Al iniciar Windows y darle al botón inicio no puedes ver la lista completa de programas.
  • Se ejecuta el antivirus (falso-antivirus) automáticamente y te alerta que tienes X archivos infectados o X tipos de virus diferentes.
  • No puedes cerrar el ‘antivirus’.
  • Se ejecuta uno o varios falsos antivirus sin tu consentimiento. Sin posibilidad de cambiar la configuración para evitar el arranque de inicio.
  • Tu PC se vuelve lenta.
  • Cambia la página de inicio de tu navegador (principalmente Internet Explorer).
  • No puedes navegar correctamente.
  • No puedes ejecutar tu antivirus (Eset NOD32, Kaspersky, etc.)
  • No puedes ejecutar el Administrador de programas (Ctrl+Alt+ Supr) (Muestra el mensaje “El administrador de tareas fue deshabilitado por el administrador)
  • No puedes cerrar el programa utilizando accesos de teclado como ALT+F4
  • Aparece un ícono relacionado al Antivirus 2008 (o similar) en el Panel de Control.
  • La página de Google no muestra resultados correctos (v. Hijacked Google)

Entre otros.

Investigando, he podido llegar a varios tutoriales en la red. Algunos recomiendan descargar algunos programas y otros, lamentablemente exigen a los usuarios que se registren para tener acceso a las aplicaciones. Por tal motivo, he decidido explicar nuevamente paso a paso cómo resolver el asunto y brindar los programas directamente (incluyendo las explicaciones de instalación e uso).

Los vínculos a los programas están al final de este tutorial.

Si tu equipo tiene alguno (varios o todos) los síntomas anteriormente descritos sigue los siguientes pasos. Debes tener la capacidad de instalar programas (si tu PC está infectada, es probable que ya tengas permisos administrativos suficientes). Debes además, imprimir los pasos y descargar todos los programas.

Paso 1. Imprimir los pasos.

Paso 2. Descargar los siguientes programas. (Colocarlos en C:\)

DelPSGuard es una aplicación creada por http://infospyware.com y http://forospyware.com para eliminar el molesto PSGUard.exe en sus distintas variantes. Parte de este tutorial es una recopilación de la información mostrada en esos sitios.

mbam-setup: se trata del Malwarebytes Antimalware software. Una aplicación que elimina Malwares. Puede ser también descargada desde el sitio oficial http://malwarebytes.com

Ccsetup208.exe: CCleaner. Una utilidad para limpieza de registro.

Paso 3. Desactivar el SystemRestore de Windows (Restaurar el sistema)

Paso 4. Reiniciar tu equipo en Modo a prueba de fallos.

Esto con la finalidad de evitar que las aplicaciones maliciosas se carguen.

El modo a prueba de fallos permite resolver problemas de Windows cargando una versión de Windows que tiene lo mínimo necesario para ejecutarse correctamente.
Paso 5. Instalar y ejecutar el DelPSGuard.exe.

Está almacenado en el fichero c:\DelPSGuard.zip. Al ser extraído podrás ver su ícono característico. Doble click o enter y sigue los pasos (acepta el acuerdo) . Al finalizar, deja marcada la casilla “Ejecutar DelPSGuard”.

Luego de hacer click en Finalizar, aparecerá la siguiente ventana:

Ventana de Bienvenida al DelPSGuard.

Aparece un menú con varias opciones.

Oprimir la tecla 1. Y luego Enter.

Ventana de advertencia

Esta ventana nos informa de la funcionalidad del programa. Sólo debemos presionar cualquier tecla para continuar.

Corrida del programa.

Nada que ver. Sólo esperar a que termine.

Este proceso puede tomar varios minutos. Puede ocasionar ralentización de la PC y un comportamiento algo extraño, como que se oculte la barra de tareas de Windows. Para aquellos que dependen del ratón, la combinación ALT+TAB les permite cambiar de ventanas mientras se ejecuta el DelPSGuard.

Fin de la aplicación

Nada que ver. Sólo darle a cualquier tecla.

(Para aquellos que se fijan en todo, el programa a terminado de hacer lo que iba a hacer. Es medio HoyGan él ; ) )

Volverá a la pantalla inicial. Para salir, presionar E y luego Enter.

Aparecerá también un archivo de registro en Notepad. Pueden guardarlo o enviarlo si desean que sea investigado.

Paso 6. Instalar y Ejecutar el MalwareBytes Anti-Malware.

La instalación es similar al programa anterior. Permitan que el programa se actualice y se ejecute dejando las casillas marcadas al final de la instalación.

El programa es sencillo. Muestra dos opciones básicas: Escaneo rápido y completo. Particularmente, siempre recomiendo el completo. Requiere un poco más de tiempo, pero se supone que es el más preciso. Seleccionar la opcion que queramos y click en Examinar.

Al finalizar el análisis, les mostrará la opción para mostrar los resultados. En la PC en que probé el programa para hacer este tutorial, no se encontraron archivos infectados. En todo caso, cuando encuentre algo, en el reporte, hacer click en el botón QUITAR SELECCIONADO que se encuentra en la esquina inferior izquierda. Reiniciar el equipo cuando el programa así lo requiera.

Paso 7. Instalar y ejecutar el CCleaner.

La instalación es similar a la anterior y su uso es bien sencillo. Única sugerencia durante la instalación: Estar pendientes en las Opciones de Instalación y desmarcar la opción Añadir la barra de herramientas CCleaner Yahoo!. Es preferible descargar la de Google en caso que no tengan alguna.

Nota sobre el CCleaner. Al utilizar el limpiador de registro, si detecta errores y los elimina, volver a pasarlo ya que en el registro, algunos valores dependen de otros. Si uno es eliminado, es probable que se rompa el vínculo con otro valor y también deba ser borrado.

Paso 8. Reiniciar el equipo.

Paso 9. Utilizar la herramienta Online Antivirus de su preferencia.

Recomiendo: http://www.kaspersky.com/virusscanner en Internet Explorer (funciona mejor)

Opcional.

Los usuarios avanzados pueden hacer uso del comando msconfig (Menú Inicio > Ejecutar) para eliminar los programas y servicios que se inician con el sistema operativo. Sin embargo, pude notar que no siempre funcionó para los falsos antivirus que he tenido la oportunidad de revisar.

Lamentablemente, no existe una lista fácil de nombrar de aplicaciones maliciosas, sin embargo, en VSAntivirus pueden encontrarse listas spyware falso. Y siempre puede tenerse una lista de los procesos comunes de Windows.

¿Por qué no lo recomiendo para usuarios no avanzados?

Aunque esta utilidad puede ser ejecutada por cualquiera, algunos cambios requieren conocimiento de los programas instalados, ya que algunos programas pueden tener nombres aparentemente extraños o poco usuales, es necesario saber entender la aplicación antes de desactivar un servicio o programa de inicio.

Una pequeña muestra de lo que puede realizarse con el comando msconfig.

Primero: entrar a la pestaña SERVICIOS y marcar la opción “Ocultar los servicios de Microsoft”.

Según mi experiencia, es raro encontrar un servicio maligno usando a Microsoft como fabricante. Así que todo aque que esté como desconocido ha sido agregado por terceros (Excepto un par, uno relacionado con el manejo de carpetas de Messenger y el servicio de uso compartido de red de Windows Media).

En la imagen mostrada, los servicios PnkBstrA y PnkBstrB, pueden considerarse malignos (extraños al sistema) y pueden ser desmarcados. Al darle click en Aceptar, aparece la ventana que nos pregunta si deseamos aplicar los cambios sin reiniciar.

Segundo: entrar a la pestaña INICIO y observar la ruta (Comando) de cada programa. Algunos programas pueden ser deshabilitados del inicio. Aquellos que estén en la carpeta c:\Document and Settings\%Nombredeusuario%\… pueden ser desmarcados (generalmente, son ejecutables de programas maliciosos ubicados en algún subdirectorio).

Todos estos consejos deberían ser útiles para la mayoría de los virus y malwares provenientes de fuentes varias (Internet, emails y más recientemente pendrives). Agradezco cualquier información que contribuya al mejoramiento de este tutorial, así como los nombres de los virus o malware que han podido solventar usando estos métodos.

Botsites: nuevo peligro en la red

Posted by myself - 03/06/08 at 08:06:00 am

Botnets

Hace más de un año ya, hablaba por ¿primera? vez sobre los efectos de los bots a nivel global. En aquel entonces se supo que “Un ataque Denial of Service de botnets afectó 3 de los 13 servidores raíz de la Internet. “

Algo que es serio si nos ponemos a analizar que la integridad de lo que conocemos como internet pudo estar comprometida en gran medida por estos seres.

DiaroTi, fuente de sabiduría, ahora comenta que hay un botsite que pide a los usuarios que instalen programas, que finalmente es algún tipo de malware, spyware específicamente.

Quizá yo entienda mal, pero eso no es ninguna novedad. ¿O sí?

Supongo que sí. Porque es casi seguro que Jessica Simpson distribuye spyware por su propia cuenta. Ella monta la página y todo.

Más

[bsod: El Spambot que nunca aprendió ]

[bsod: ¿Será seguro tener un virus? ]

¡CUIDADO! Tu página puede estar infectada con un virus maligno

Posted by myself - 02/06/08 at 08:06:00 am

Pensaba comenzar con un artículo bien extenso sobre los virus. Un post que estaba pensado para el deleite de los que mucho conocen y para dejar atónitos a los ‘neófitos’. Pero, me di cuenta que iba a ser demasiada teoría, habladera de paja y cosas así. Decidí entrar a uno de esos portales más sabios de la red: uno donde abunde la ignorancia.

Encuentro un interesante tema: y es que a pesar de que los internautas creen que muchos sitios son seguros, Infobae informa que cada cinco segundos se infecta una página web con un virus.

Hay muchas buenas estadísticas allí. Pero la primera pregunta que me ronda la cabeza, es ¿Dónde dice Sophos que están infectadas con virus?

Respuesta: Sophos indica que existe un auge en el número de páginas que están expuestas a infecciones en este artículo (en inglés). Estados Unidos y China suman el 70% de los sitios que alojan malware (entiéndase por malware, cualquier software malintencionado y no sólo virus). Las estadísticas del 2007 de Sophos, eran igual de poco alentadoras.

La segunda pregunta que me ronda la cabeza, está basada en un comentario:

Más

[bsod: Detectando virus desconocidos: La heurística y el código malicioso ]

[bsod: El 43% de los archivos disponibles en portales de descarga están infectados ]

[bsod: Desarrolladores de malware: lento, pero seguro ]

[bsod: 1 de cada 10 sitios es peligroso para Google ]

JuanPerez2009 - 21-05-2008 - 22:52h
por dejar un cd al lado del monitor se me infecto de virus… puede ser esto?

Y pude haberme reído. Pero como en la bolsa no nos burlamos (demasiado) de la ignorancia ajena, respondo:

JuanPerez2009, claro que sí. Un CD almacena magnétoeléctricamente la información en pequeños cubículos hechos a base de sílice alcalino con capacidades ultratransportables. Pasado un tiempo, los pequeños cubículos tienden a permitir la volatilidad de la información para evitar que la sobrecarga de datos haga explotar el CD. Es por eso que luego que quemas un CD de los primeros que salieron, no puedes quemarlo nuevamente. Explotaría.

La volatilidad de datos que te menciono, pudo hacer que, a través de los respiraderos de la PC, por donde los fan coolers -ventiladores- extraen el aire caliente, se introduzca una pequeña cantidad de virus poliforme y tu PC termine infectada. Por suerte, algunos CD’s traen protección DRM (Deadly Recovery Memory), que significa que los virus que pueden estar en el CD no se transmitan a los humanos. Sin embargo, se han visto casos. Que están bien documentados. (Fede habló de eso también)

El monitor goza de una permeabilidad electromagnética sistemática (PES), que forma parte del protocolo ENERGY STAR, cuyo logo en forma de estrella puedes ver cuando arranca la PC que mezclado con la cercanía del CD infectado, pudiera permitir que el virus ingrese a la PC. Y si la PC estaba apagada, el virus pudo entrar y alojarse, sin que el antivirus pudiera hacer algo en contra.

[ Spam - Trojan ] ¡ Mensaje Multimedia !

Posted by myself - 17/09/07 at 10:09:19 am

Varios usuarios me han notificado que están recibiendo un correo con asunto ¡Mensaje Multimedia! ó Mensaje.Multimedia, que supuestamente es envíado desde Molvilnet (En Venezuela).

Indicando que se ha recibido un mensaje desde un número Movilnet. Al hacer click en "Ver Mensaje", se envía a un vínculo en un servidor brasileño. Se descarga un archivo llamado MensajeMultimedia.exe  o MensajeCantv.exe, ambos infectados con un troyano. 

 

Hacer caso omiso de estos correos. Movilnet no envía mensajes de esta forma y cualquier mensaje enviado debería aparecer bajo el dominio www.movilnet.com.ve.

Anexo imagen que muestra los dos remitentes, el asunto y el mensaje en sí.

mensajemultimedia.jpg
 

 (Gracias Shanti)
 
Si conocen alguna otra variante de este mensaje, pueden notificarmela ;). 
 
Actualización:
FedericoX indica que recibió el mismo correo, también desde un usuario de terra.com.br.
Los números del medio deberían ser visibles. Pero tratándose de un correo falso, no puede pedirse mucho. Es otro punto en común entre todos los mensajes: es el mismo número 0416 **** 2983 
 
Los correos que he visto, tienen en común la descarga del archivo desde el servidor 201.22.184.181. 

 

Harry Potter y Microsoft juntos (en tu correo y Pendrives)

Posted by myself - 09/07/07 at 04:07:38 pm

Harry Potter está siendo utilizado por fuerzas malvadas, malignas y perversas para hacer uso de tu USB Pendrive e infectar a otras unidades y mostrar un mensaje casi que profético.

Las únidades infectadas suelen tener un archivo de MS Word llamado “HarryPotter-TheDeathlyHallows.doc” que contiene la frase “Harry Potter is dead”. El truco del gusano está en ir buscando otras unidades removibles para infectar e incluso, puede crear nuevos usuarios con distintos nombres, todos de personajes de la historia.

Más información sobre el troyano Hairy-A worm.


Mientras, algunos usuarios han recibido en su correo un supuesto correo de Microsoft llamado “Microsoft Security Bulletin MS07-0065″. El correo, bastante convincente, informa a los usuarios sobre una reciente vulnerabilidad en Outlook y les propone descargar el parche correspondiente.


microsoft-update500.jpg

(imagen desde Sophos)

Como siempre, la ingenieria social haciendo de las suyas en beneficio de los malhechores -o en detrimento de los usuarios inocentes y curiosos.

[ The Register: Harry Potter worm claims death of teen wizard ]

[ The Register: Don't touch that Microsoft Security Bulletin email ]

[ Sophos: Don't download Microsoft Security Bulletin MS07-0065! ]

Bush.exe: Nuevo repunte

Posted by myself - 09/05/07 at 11:05:36 am

A pesar de haber sido notificado en enero de este año, el virus de Bush gracioso sigue siendo fuente de problemas para muchos. Es por ello que muestro un recuento/actualización sobre este flagelo troyanesco:

Nod32 presentó una nota sobre el virus de Bush: Su nombre oficial es Win32/VB.NHI

Como todos saben, es un troyano de Messenger y se envía como un enlace que hace referencia a una animación que muestra a Bush bailando. Al hacer click en el vínculo se descarga el archivo Bush.exe de 122kb.

 
Gusano Win32/VB.NHI

Una vez ejecutado, el malware inicia ventanas de conversaciones con todos los contactos del usuario infectado que estén conectados en ese momento y se envía automáticamente de la misma forma.

Además, el código malicioso agrega claves en el registro del sistema para asegurar su ejecución en cada reinicio y realiza copias ocultas de sí mismo bajo los siguientes nombres:

  • C:\windows\strad.exe
  • C:\windows\zser.exe
  • C:\windows\system32\xsfr.exe
  • C:\windows\system32\xeyu.exe

Cada vez son más los gusanos de MSN que actúan con estos mismos métodos de propagación, incluso en idioma español como este caso, por lo que es muy importante que el usuario considere si realmente su contacto es quien está enviando el enlace o archivo, y antes de hacer clic en el mismo, lo confirme consultándolo a la otra persona que fue quien se lo envió.
Nunca hay que hacer clic en una dirección Web desconocida y más si apunta a un archivo ejecutable como los que tienen extensión “.exe”.

ESET además recomienda la constante actualización del sistema operativo y demás aplicaciones utilizadas a fin de evitar cualquier tipo de vulnerabilidad existente en los mismos.

Del mismo modo, es primordial  la capacitación de los usuarios, ya que si tienen conocimientos sobre estos temas, siempre actuarán de forma más segura que los que no los tienen.

 Otros nombres que pueden presentarse son

  1. C:\windows\system32\Ttt.exe
  2. C:\windows\system32\Hide32.exe
  3. C:\windows\Zap.exe
  4. C:\windows\Avconsol.exe
  5. C:\windows\Diup.exe
  6.  C:\windows\Antivirus32.exe

Algunas técnicas para resolver este problema están siendo discutidas en este post:

Si te contagió el Bush de Messenger, he aquí la solución

Más [

 

Ayer, fui notificado por una lectora que cayó víctima del troyano sin ejecutar el MSN Messenger, probablemente la infección vendría desde un adjunto de correo.

Otro lector indica que Bush.exe puede duplicarse con otros nombres de archivo -sin confirmar-: 

Tambien puede aparecer con los nombres de archivos Cfreer.exe, Nzil.exe, juegs.exe y negdo.exe, para verlos hay que modificar las opciones de visualización en opciones de carpeta ya que se alojan como archivos de sistema oculto.

 

 

PC Security Test: Prueba tu Antivirus y Firewall

Posted by myself - 09/05/07 at 09:05:08 am

Leo en el sitio oficial de PC-Security Test:

PC Security Test 2005 es un software gratuito que permite controlar la seguridad de un PC y su protección contra los virus, los spywares y las intrusiones (hacking). Con tan sólo un par de clics, el usuario puede controlar la eficacia de sus sistemas de protección de una manera fácil y rápida (antivirus, antispyware, firewall). Además de simular la intrusión y el comportamiento de virus, spyware y ataques, PC Security Test controla las reacciones de sus sistemas de protección. Al final de la prueba, PC Security Test calcula un índice de protección que refleja el nivel de seguridad del ordenador.

 

Suena prometedor, hasta que veo que la última fecha de actualización es de finales de 2005. Escéptico, descargo el programa y ejecuto las pruebas con resultados desalentadores: 

El antivirus no logra detectar el 75% de los intentos de infección. La protección contra Spywares es nula y el único que sale bien parado es el Firewall con 100% de eficiencia.

 

pcsecuritytest-001.jpgpcsecuritytest-002.jpgpcsecuritytest-003.jpg

Imagen 1-3. Bienvenida al programa, selección y descripción de las pruebas (leer cuidadosamente).

 

 

pcsecuritytest-004.jpg  pcsecuritytest-005.jpg

Imagen 4-5. Ejecución de las pruebas. 

Al inicio ZoneAlarmPro detecta un intento de acceso a la red. La prueba de Hacking -control y rastreo de puertos- requiere de acceso a la red. Razón por la que acepto el acceso y la prueba continúa.

Posteriormente comienza la prueba de Antivirus. Curiosamente, el antivirus no es capaz de detectar que una aplicación dudosa intenta escribir en el registro un programa de inicio. El Firewall la detecta y pregunta si deseo permitir su ejecución. En este punto pude haber decidido bloquear la ejecución de esta tarea, pero el antivirus ya había fallado así que decidí permitirla.

 

 

pcsecuritytest-006.jpg pcsecuritytest-007.jpg

Imagen 6-7. Nod32 detecta la prueba Eicar -sobre la que ya he hablado en bolsanegra- y muestra una alerta. No es capaz de detectar la simulación de virus. El firewall no alerta sobre la ejecución de un programa no autorizado desde la aplicación en ejecución. 

 

 

pcsecuritytest-008.jpg

Imagen 8. Resultados.

El firewall pasa correctamente ambas pruebas. En una configuración básica, ZAPro se supone que provee suficiente seguridad como para pasar ambas pruebas con éxito y sin problemas.  

El antivirus falla el 75% de las pruebas -Escritura de registro y ambas pruebas de simulación de virus. Sin embargo, el resultado real pudo ser 50% si hubiese decidido bloquear el acceso al registro desde la alerta del firewall (imagen 5)

La detección de Spyware es nula y el resultado es de esperarse ya que no poseo programas activos y residentes en memoria que eviten este tipo de 'ataques'. ZAPro provee con un motor antispyware que básicamente detecta cookies, escanea archivos entrantes vía cliente de correo -emails-, y verifica sitios web marcados como potencialmente peligrosos.

 

La razón por la que mantengo la configuración básica en Firewall y Antivirus y no poseo ningún elemento activo contra Spyware, es porque realizo un experimento a largo plazo

 

¿Por qué el Firewall detecta virus?

Realmente no lo hace. Zone Alarm Pro, viene con una característica que permite alertar sobre acciones que realizan los programas y que pueden ser peligrosas:

  1. Escritura de llaves en el registro o cambios en el registro.
  2. Intento de monitorear movimientos del ratón y teclas presionadas (acciones típicas de Keyloggers)
  3. Intento de conexión a la red por programas no autorizados explícitamente (como un navegador que posee los derechos para conectarse). 

 

Sitio de PC-Security Test

Descarga [Oficial] [bolsanegra

Las 10 maneras más comunes de ser víctima en la red

Posted by myself - 01/05/07 at 03:05:16 pm

Mientras veo un slideshow de Jim Rapoza "12 maneras de ser un idiota en seguridad", en eWeek Magazine, encuentro el listado de las 10 maneras de hacer fraude en línea.

 

  • 1. Fraudes en subastas.
    Después de enviar el dinero en que se ha adjudicado la subasta, se recibe un producto cuyas características no se corresponden con las prometidas, e incluso un producto que no tiene ningún valor.
  • 2. Timos de ISP (Proveedores de Servicios de Internet)
    Es bastante frecuente que los clientes poco expertos suscriban contratos on-line sin haber leído el clausulado, por lo que pueden encontrarse amarrados a un contrato de larga duración del que no pueden salir si no es pagando fuertes penalizaciones por rescisión anticipada. Otro caso frecuente es que los ISP que registran nombres de dominio lo hagan a su propio nombre, para así tener enganchados a los clientes que no pueden abandonar su servicio porque perderían su nombre de dominio.
  • 3. Diseño/Promociones de sitios web
    Suelen producirse cargos inesperados en la factura del teléfono por servicios que nunca se solicitaron ni contrataron.
  • 4. Abuso de tarjetas de crédito
    Se solicita el número de la tarjeta de crédito con la única finalidad de verificar su edad, y posteriormente se le realizan cargos de difícil cancelación.
  • 5. Marketing Multinivel o Redes Piramidales
    Se promete hacer mucho dinero comercializando productos o servicios, ya sea uno mismo o los vendedores que nosotros reclutamos, pero realmente nuestros clientes nunca son los consumidores finales sino otros distribuidores, con lo que la cadena se rompe y sólo ganan los primeros que entraron en ella.
  • 6. Oportunidades de Negocio y Timos del tipo “Trabaje desde su propia casa”
    Se ofrece la oportunidad de trabajar desde el hogar y ser su propio jefe enseñando unos planes de ingresos muy elevados. Claro que para empezar es necesario invertir en la compra de alguna maquinaria o productos que jamás tienen salida.
  • 7. Planes de Inversión para hacerse rico rápidamente
    Promesas de rentabilidades muy altas y predicciones financieras con seguridad absoluta sobre extraños mercados suelen encubrir operaciones fraudulentas.
  • 8. Fraudes en viajes o paquetes vacacionales
    Consiste en vender viajes y alojamientos de una calidad superior al servicio que realmente le prestarán en su destino, y también pueden cargarle importes por conceptos que no se habían contratado.
  • 9. Fraudes telefónicos
    Un sistema bastante extendido en los sitios de sexo consiste en pedirle que se baje un programa y lo instale en su ordenador para que le permite entrar gratuitamente en la web. Pero lo que sucede es que, sin que usted lo sepa, el programa marca un número internacional de pago (tipo 906 en España) a través del cual se accede a la web, por lo que mientras usted se divierte viendo fotos y vídeos su factura telefónica se incrementa a velocidad de vértigo.
  • 10. Fraudes en recomendaciones sanitarias
    Recetas milagrosas para curar cualquier enfermedad se encuentran frecuentemente en la Red, la mayoría de ellas sin ningún respaldo médico o control de autoridades sanitarias, por lo que aparte de ser una estafa, ya que no producen los resultados prometidos, pueden incluso suponer un riesgo adicional para la salud del enfermo.

 

Nada más por agregar.

Por ahora.

 

Desde [ MiProyectoWeb.com : Las 10 estafas más frecuentes en Internet ]

 

Nuevos virus encriptados, amenaza que evita la detección

Posted by myself - 01/05/07 at 11:05:53 am

Haciendo remembranza, ESET presentó un interesantísimo documento que hablaba sobre la detección de código malicioso mediante técnicas de heurística. En él se recalca la importancia de la habilidad de un antivirus en detectar no sólo virus, sino código malicioso. Los troyanos son dignos de mención especial por su incremento incesante en los últimos meses.

En Net-Security leo una noticia que demuestra que esto de los virus-antivirus es una carrera. El artículo indica que en los últimos días, los desarrolladores de código malicioso están tratando de envíar sus programas a través de correos electrónicos encriptados o dentro de archivos ZIP protegidos por contraseña. 

Se dice que la mayoría de los emails contienen una advertencia de seguridad, ofreciendo proteger contra una amenaza utilizando las frases: "ATTN!", "Spyware Alert", "Warning", "Worm Detected" y "Virus Detected", entre otras. El archivo encriptado suele tener 77Kb y contiene un el Storm Troyan. El virus del clima que fue noticia a principios de este año.

En este punto, un correo en inglés no debería ser mayor riesgo para usuarios hispanos cautelosos. Las técnicas no son del todo novedosas, pero dada la cantidad de alertas recibidas por varias empresas de seguridad, por el gran número de emails peligrosos detectados, es bueno estar alerta y hacer caso omiso a cualquier correo que hable sobre virus, spyware, etc., ofreciendo una cura a través de un archivo adjunto.

Desde [ Net-Secure : Virus writers launch large scale encrypted attachment strategy to evade capture ]

Detectando virus desconocidos: La heurística y el código malicioso

Posted by myself - 27/04/07 at 11:04:56 am

Cuando mostraba el análisis de Nod32 Vs. Kaspersky antivirus, comentaba que una de las posibles ventajas de Nod sobre K!, era su mayor capacidad para detectar virus desconocidos.

La detección de Virus desconocidos se realiza mediante Heurística.

Algunos de los mitos más persistentes en informática, tienen que ver con los virus y la tecnología antivirus.
La creencia, ampliamente sostenida, de que las aplicaciones antivirus pueden detectar solamente virus específicos y conocidos, ha existido desde los inicios de las investigaciones en esta materia.

El análisis heurístico utiliza un enfoque basado en reglas para diagnosticar un archivo potencialmente ofensivo (o un mensaje, en el caso del análisis del correo no deseado).

En cierto sentido, la utilización de heurística en las aplicaciones contra el código malicioso intenta aplicar el proceso del análisis humano a un objeto.
De la misma manera que un humano que estudia aplicaciones maliciosas intentaría determinar el proceso de un programa y sus acciones, el análisis heurístico realiza el mismo proceso de toma de decisiones inteligente, actuando efectivamente como un investigador virtual de códigos maliciosos.

 

En el sitio oficial de ESET, encuentro un paper que explica detalladamente lo que es la detección de virus desconocidos. Desde siempre, la detección de virus ha estado basada en términos generales más que en virus específicos. Es por ello que un Antivirus está en capacidad de detectar algo más que "virus": Detectan códigos maliciosos. Estos incluyen a los Virus mismos, a los Gusanos y a los Códigos Maliciosos no multiplicativos.

Si bien existen muchas definiciones de código malicioso, la mayoría de los investigadores especializados en el tema aceptan la siguiente:

"Un programa informático, que puede infectar a otras aplicaciones, modificándolas de forma tal que les permita incluir una copia (posiblemente más evolucionada) de sí mismo.[1,2]

Esta definición abarca muchos tipos de código malicioso, incluyendo:

    • Códigos que infectan el sector de arranque o de particiones.

    • Códigos que infectan archivos (virus parásito)

    • Virus polifacéticos, capaces de infectar diferentes tipos de archivos
      (Multipartite viruses)

    • Virus de guiones y secuencias de instrucciones automatizadas
      (Macro and script viruses)

 

 Visto esto, algunos habrán notado la capacidad de un AntiVirus para detectar virus y no-virus. Los virus en términos básicos se 'ejecutan'. Al ser programas, necesitan ejecutarse. Pero los antivirus suelen detectar archivos no víricos llamados Semillas, Liberadores y Generadores de virus. También son capaces de detectar archivos de prueba, como el Test Eicar del que ya hablé en bolsanegra en una oportunidad.

El código malicioso no multiplicativo -que no es capáz de autoreplicarse- abarca:

 

 Existen variantes llamadas Virus Troyanizados. O troyanos capaces de autoreplicarse. El paper, explica más detalladamente cómo funciona el modelo heurístico actual y su importancia a la hora de detectar con mayor rápidez y eficacia, los constantes virus y códigos maliciosos. 

El modelo heurístico ha pasado de detección de cadenas de análisis, hasta el modelo logarítmico actual, en el que la vieja heurística, de detección de firmas, es un subconjunto de herramientas para detección de aplicaciones maliciosas. Todas aplicadas inclusive para la detección de un mismo virus.

Muchos virus no pueden ser identificados utilizando la cadena de carácteres estáticas o de firmas. Y la dificultad para adaptarse a estos cambios dinámicos y evolición del código malicioso como los virus polimórficos ha entrado en conflicto con una de las prioridades del antivirus: 

La identificación de virus significa un balance entre dos imperativos: evitar los falsos negativos (falla de detección de infecciones existentes), y los falsos positivos (la detección de virus, cuando no los hay).

 

Los falsos positivos, fueron duramente criticados en el software McAffee Antivirus y causaron una pérdida de credibilidad en el producto. Una buena heurística, si bien ayuda a minimizar los falsos negativos y los falsos positivos, no debe considerarse la herramienta difinitiva contra los errores de detección.

El modo más “seguro” para identificar un virus conocido, es verificar la presencia de cada octeto de código viral que podría estar presente en un objeto infectado, generando una suma de verificación por cada bit constante en el cuerpo del virus.
Este proceso generalmente se denomina identificación exacta.

La identificación, es una medida de la habilidad de la aplicación antivirus para detectar y reconocer una muestra de virus, como específico o variante.

Por lo tanto, la identificación exacta denota un nivel de precisión gracias al cual cada octeto constante de código de virus, es tomado en cuenta.

Si bien suena deseable que esta precisión se aplique a todos los análisis de búsqueda de virus, esto raramente ocurre en el mundo real, debido al impacto potencial sobre el tiempo de análisis y los recursos del sistema, y porque este nivel de detalle es pocas veces necesario.

 

 Al leer el artículo completo, se nota una posición de defensa hacia el trabajo del programador de antivirus. Cosa que está lejos de ser mala. La industria de los virus y malware, fluye igual o más rápido que la industria que intenta protegernos. Con tantas variantes de un mismo problema y la limitación a la que se ve sometido un antivirus (eficiencia vs tiempo de ejecución o rendimiento) obliga a que tengan que sacrificarse algunos aspectos del análisis heurístico. 

Norton Antivirus, un buen antivirus hace algunos años, ha sufrido de críticas por este asunto: se ha vuelto uno de los antivirus más lentos en la actualidad. Razón por la que muchos usuarios prefieren no utilizarlo.

 

En bolsanegra siempre hemos recordado que la industria de los virus es una industria y como toda industra, ha evolucionado. Anteriormente, se esperaba que los virus y código malicioso tuvieran como prioridad expandirse al mayor número de equipos. Sin embargo, hoy en día -

Los autores de código malicioso tienen otras prioridades.
Más que en un enfoque expansivo (máxima diseminación de una sola variante), ahora su técnica se basa en breves ráfagas de una determinada instancia de código malicioso, que podría estar dirigido a individuos o grupos específicos.

 

Recomiendo que le echen una mirada completa al artículo. Procuré hacer un resumen basado en todo lo que se explica, pero hay cosas muy interesantes que no he mostrado -como para dejarles que las investiguen  ;-)

Powered by WordPress with GimpStyle Theme design by Horacio Bella.
Entries and comments feeds. Valid XHTML and CSS.

Clicky Web Analytics