antivirusgratis nos cuenta que:

En la época de los virus para DOS los especímenes se mantenían activos durante años. Hoy día el malware no suele ser autosuficiente, sino que depende de una infraestructura basada en servidores en Internet con los que se comunica.-

Cuando esa infraestructura es desactivada, el malware ya no es útil para sus propósitos.

Los que somos menos jóvenes (o más viejos) recordaremos a virus como Viernes 13, Brain, Ping-Pong, Barrotes, etc. Además de por ser los primeros con los que nos topamos, perduran en nuestra memoria porque estuvieron con nosotros mucho tiempo.

Cuando los virus eran virus, es decir, cuando se autoreplicaban de archivo en archivo o de disco en disco, las epidemias eran más similares a la de los virus biológicos. Un virus aparecía en una zona geográfica concreta, por ejemplo en una universidad, y su área de influencia iba propagándose de forma lenta a través de los usuarios que compartían disquetes y archivos infectados. Tenía que transcurrir varios meses para llegar a ser una epidemia de ámbito internacional.

No había forma de erradicarlos completamente. El virus era autosuficiente, así que en cualquier momento y lugar podía aparecer un nuevo brote si los ordenadores que tenían contacto con el virus no contaban con un antivirus actualizado.

Con la explosión de Internet aparecieron los gusanos de propagación masiva por correo electrónico. La distribución de éstos era mucho más explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar a cientos de miles de sistemas. También perduraban en el tiempo, algunas variantes de Netsky han dado la lata durante muchos meses en los Tops de clasificación de malware.

Ahora que vivimos la época de los troyanos con fines lucrativos, nos topamos con un malware mucho menos perenne, de usar y tirar, que necesita reciclarse constantemente con nuevas variantes, y que da lugar a gran cantidad de especímenes caducados.

Por un lado tenemos que los troyanos no son autosuficientes en su distribución/replicación, a diferencia de los virus y gusanos que ellos mismos se encargan de llegar a otros PCs. Hoy día los troyanos se distribuyen en alguna campaña puntual de spam, o a través de la web.
Pasado ese primer envío masivo y manual, o desactivada la web desde la que se distribuye, esa variante del troyano es probable que nunca más vuelva a distribuirse.

Además, los propios troyanos suelen tener una dependencia de infraestructura externa. Imaginemos un troyano “downloader” que se encarga de descargar otros componentes. En el momento que se desactiva el servidor desde donde realiza las descargas, ya no podrá llevar a cabo su acción.

Pensemos ahora en el autor del troyano Gpcode. Lo distribuye a través de spam. En las máquinas que se ejecuta, el troyano cifra los archivos sensibles del ordenador (documentos, imágenes, y un largo etcétera de extensiones), y pide un rescate al usuario para descifrar y volver a recuperar esos archivos. La forma de contacto es una dirección de e-mail en un servidor de correo público de Rusia. Cuando las autoridades consiguen que el proveedor del servicio de correo desactive esa dirección de e-mail, esa versión del troyano será inútil para el autor ya que no puede ponerse en contacto con sus víctimas para llevar a cabo el chantaje y, por tanto, no volverá a utilizarla ni distribuirla. Deberá crear una nueva versión.

Situaciones similares se pueden dar con muchos otros tipos de troyanos, por ejemplo, un malware dedicado a hacer pharming local para redirigir a los usuarios infectados a páginas de phishing cuando visiten determinados bancos. Lo que hace el troyano es modificar el archivo hosts de Windows para redirigir los dominios de un determinado banco a la IP del servidor web que hospeda las páginas falsas. Cuando el banco tiene conocimiento de este tipo de fraude inicia una actuación para desactivar las páginas de phishing. En el momento que lo logra, que suele ser cuestión de horas, a lo sumo días, el troyano será inútil, nunca más se distribuirá de nuevo. El autor se verá obligado a crear nuevas versiones.

Un ejemplo de este último caso puede verse en:
http://blog.hispasec.com/laboratorio/232

La realidad es que un porcentaje del malware específico que detecta un antivirus ya está “fuera de mercado”, no nos afectará. Si los antivirus deben detectar ese “malware caducado” es una cuestión que no sólo depende de ellos, ya que las evaluaciones antivirus actuales fomentan lo contrario: que se detecte de todo, incluso muestras que no son dañinas. Si los antivirus tienen problemas para diferenciar el malware, del grayware y el goodware, los evaluadores y comparativas antivirus sencillamente no saben.

Al ritmo actual del crecimiento del número de variantes, el mantener firmas de detección de todo el malware histórico podría dar lugar a algunos problemas de tamaño/rendimiento. Hace ahora algo más de 4 años denominé el problema como “efecto ZOO”, en la noticia
http://www.hispasec.com/unaaldia/1562

Entonces el problema del tamaño de firmas parecía no preocupar a los desarrolladores antivirus, ya que el principal cuello de botella es el acceso a los archivos a analizar.

Hoy día sigue siendo manejable, al menos en cuanto a volumen que no a estrategia, pero la curva de crecimiento sigue imparable y amenaza con pasar a medio plazo de la necesidad de reconocer 20.000 muestras hace unos años a 2 millones.
¿Seguimos anclados como las comparativas pidiendo que los antivirus detecten de todo aunque no nos afecte?
¿O pedimos antivirus modernos adaptados a una realidad diferente?

Leo en diarioti que:

Los troyanos creados con esta herramienta pueden capturar las pulsaciones del teclado, hacerse con contraseñas bancarias o descargar otros archivos maliciosos en los ordenadores infectados, incluso, capturar imágenes con la webcam del usuario, de modo que sería capaz de observar lo que éste hace dentro de su hogar.-

PandaLabs ha descubierto Shark 2, herramienta de creación de troyanos que se está distribuyendo en diversos foros de Internet. Sus creadores han lanzado varias actualizaciones, de modo que existen diversas versiones como la 2.1, la 2.2 o la 2.3.2, la última detectada por PandaLabs.

“Los troyanos creados con Shark 2 están diseñados para robar todo tipo de información confidencial, desde el procesador que utiliza el ordenador infectado hasta contraseñas de programas y claves bancarias. Incluso, el ciber-delincuente puede activar la webcam del usuario, si éste dispone de una, y observar lo que está haciendo. Esto supone una paso más en la ciber-delincuencia, ya que implica violar la intimidad de las personas afectadas”, afirma Luis Corrons, Director Técnico de PandaLabs.

Uno de los principales peligros de este programa es que permite crear todo tipo de códigos maliciosos sin necesidad de poseer grandes conocimientos de programación, ya que cuenta con una interfaz que da la posibilidad al ciber-delincuente de elegir de manera muy sencilla las características del malware que quiere crear.

Entre esas características de diseño se encuentran la posibilidad de definir el servidor al que debe conectarse el malware y la opción de configurar éste para que se ejecute con cada reinicio, muestre mensajes de error o ejecute otros archivos. Además, también permite establecer acciones específicas para procesos y servicios, tales como detener ciertos servicios, cerrar o borrar el servidor del usuario, etc.

Shark 2 también permite al creador de malware empaquetarlo en UPX y configurarlo para detener sus procesos cuando detecte programas de debuggers (creados para descifrar el código del malware) y de VMware, de modo que sea más difícil de detectar.

Una vez el malware creado ha infectado un ordenador, se conecta al servidor previamente determinado y muestra al ciber-delincuente una interfaz que le permitirá realizar un gran número de acciones maliciosas.

En primer lugar, el malware creado mostrará en esa pantalla los datos correspondientes al sistema infectado: procesador, memoria RAM, antivirus que tiene instalado, navegador que emplea, etc.

En segundo lugar, Shark 2 permitirá ejecutar un gran número de utilidades en el ordenador infectado. De esta manera, el ciber-delincuente puede realizar acciones como la modificación del registro o la edición del host. Esto último le permitiría, por ejemplo, redireccionar al usuario a páginas preparadas para hacer phishing o que estén infectadas.

Igualmente, los troyanos creados con esta herramienta pueden realizar capturas de pantalla, audio e, incluso, pulsaciones del teclado. También podrán descargar otros códigos maliciosos en los ordenadores infectados.

Además, con Shark 2 el ciber-delincuente podrá ordenar al malware que robe todo tipo de contraseñas (sistemas de mensajería instantánea, correo electrónico, claves bancarias, etc.) y podrá hacerse con datos como el nombre y versión de los programas que el usuario tiene instalados, las conexiones que tiene abiertas, los procesos y servicios activos, etc.

diarioti nos cuenta que:

Desarrollados en Websense Security Labs los HoneyJax son la siguiente generación de sistemas honey”, diseñados para atraer a los atacantes y códigos malignos.-

Websense dio a conocer una nueva tecnología que localiza ataques en aplicaciones Web 2.0. Mientras que las aplicaciones Web 2.0, como los sitios de red social, wikis y blogs, facilitan la colaboración y participación entre usuarios, el incremento de popularidad de estas aplicaciones también ha conducido a los hackers a tener como objetivo a los usuarios y las empresas que usan estas nuevas herramientas.

Para combatir esta amenaza, Websense ha desplegado nuevos sistemas en Internet denominados HoneyJax, que emulan el comportamiento del usuario dentro de aplicaciones Web 2.0 para revelar las amenazas antes de su diseminación.

Dan Hubbard, Vicepresidente de Investigación sobre Seguridad de Websense, mencionó: “Antes de que los usuarios entren al mundo de Web Two-Dot-Uh-Oh, tendrán que entender y evaluar la seguridad antes de desplegar las aplicaciones Web 2.0. Con el uso de aplicaciones Web híbridas, introducción de códigos sin vigilancia y otras tácticas, los hackers Web 2.0 incluso presentan un nivel de complejidad para los clientes que quieren prevenir la pérdida de información y los ataques malignos”.

diarioti nos cuenta que:

La red zombi más grande del mundo está compuesta por 1,7 millones de computadoras, que esperan un comando de activación para iniciar el ataque en línea más grande de la historia.-

En algún lugar del mundo hay una persona con su dedo puesto sobre el botón rojo que activará el mayor ataque DDos (Distributed Denial of Service) visto hasta ahora. Normalmente, el primer paso para realizar un ataque de este tipo consiste en asumir el control de un gran número de computadoras, que son convertidas en “zombis” sin voluntad, o “bots”, que pueden ser controlados a distancia por intrusos. Si todas las computadoras son activadas simultáneamente para bombardear un sitio web o servidor simultáneamente, el acceso al sitio es bloqueado totalmente. En el peor de los casos, un ataque de tales características puede afectar a un país completo, como ocurrió en un ataque realizado contra Estonia hace algunos meses (ver artículo de referencia). 

Normalmente, una red zombi incluye 10-20.000 computadoras infectadas, que pueden ser controladas remotamente y ser usadas, por ejemplo, para extorsionar a propietarios de sitios web.

Sin embargo, la red Storm Worm parece ser diferente. El gusano ha tenido una enorme propagación durante el último semestre, parcialmente como archivo adjunto a correo electrónico y parcialmente induciendo a usuarios descuidados a hacer en clic en enlaces hacia sitios malignos. Storm Worm se propaga, por ejemplo, mediante correo electrónico con el texto “Your system is infected, please click on this link” (su sistema está infectado, por favor haga clic en este enlace).

Solo durante las últimas dos semanas de julio se han registrado más de 415 millones de correo spam con el gusano Storm Worm. Si el sistema es infectado se instala en este un rootkit que es muy difícil de detectar y eliminar. El rootkit escucha en Internet, a la espera de un comando que lo haga entrar en acción.

Sin embargo, lo curioso con Storm Worm es que el comando en cuestión no ha sido enviado. Según Future Zone, actualmente habría 1,7 millones de PC infectados con Storm Worm en todo el planeta, esperando el comando que les activará como zombies. Según la fuente, una pequeña parte del “ejército de zombis” está siendo usado para propagar el gusano, en tanto que otra parte, igual de reducida, realiza ataques de prueba contra sitios anti-spam. Todo indica que se trata de ensayos previos a un inminente gran ataque.

Por ahora se desconoce quién controla la gigantesca red de zombis, ni cual es su objetivo. Sin embargo, si las 1,7 millones de computadoras son activadas para un ataque simultáneo, se trataría del mayor acto de sabotaje cibernético visto hasta ahora. 

Via antivirusgratis traigo esta noticia:

Microsoft ha hecho el aviso previo de los parches programados para ser publicados el próximo martes 14 de agosto.-

Las actualizaciones de seguridad este mes, constarán de nueve boletines, 6 de ellos clasificados como “Críticos”, y 3 como “Importantes”.

Los boletines MS07-042, MS07-043, MS07-044, MS07-045, MS07-046 y MS07-050, están catalogados como críticos, mientras los boletines MS07-047, MS07-048 y MS07-049 están declarados como importantes (NOTA VSA: esta denominación es tentativa, de acuerdo al orden correlativo de los boletines publicados hasta la fecha).

Todas las actualizaciones corrigen vulnerabilidades que explotadas exitosamente pueden permitir la ejecución remota de código, a excepción de la MS07-049 que soluciona un problema que permite la elevación de privilegios.

El boletín MS07-042, afecta a todos los Windows soportados por Microsoft (incluyendo Vista), y los parches están relacionados con el Microsoft XML Core Services (MSXML). Estos son los servicios principales de XML, que permiten la comunicación estándar del lenguaje XML con JScript, Visual Basic Scripting Edition (VBScript), Visual Basic 6.0 y C++ nativo.

MS07-043 está relacionado con todos los Windows menos Vista, y afecta a Microsoft Office para Mac y Microsoft Visual Basic 6.0 SP6.

MS07-044 afecta a Microsoft Office 2000 SP3, Microsoft Office XP SP3, Microsoft Office 2003 SP2 y Microsoft Excel Viewer 2003.

MS07-045 corrige vulnerabilidades que afectan a todos los Windows soportados, y a todos los Internet Explorer, incluido el 7.0.

MS07-046 se aplica a Microsoft Windows 2000 SP4, Windows XP SP2, Windows XP Professional x64 Edition, Windows Server 2003 SP1, Windows Server 2003 x64 Edition y Windows Server 2003 con SP1 para Itanium.

MS07-047 corrige vulnerabilidades críticas en Windows Media Player 7.1, Windows Media Player 9, Windows Media Player 10 y Windows Media Player 11.

MS07-048 solo afecta a Windows Vista, mientras MS07-049 corrige vulnerabilidades que pueden permitir la elevación de privilegios en Microsoft Virtual PC 2004 y Microsoft Virtual Server 2005.

Finalmente, el boletín MS07-050 incluye parches críticos para todos los Windows, y todos los Internet Explorer.

Algunas de estas actualizaciones requerirán el reinicio del equipo.

Como es costumbre de Microsoft, no se ofrecen en este adelanto de información, los detalles de todas las vulnerabilidades cubiertas, para evitar que personas maliciosas saquen provecho de las mismas antes de que éstas hayan sido solucionadas.

Microsoft también planea publicar ese día al menos cuatro actualizaciones no relacionadas con la seguridad, pero todas de alta prioridad, a través de Microsoft Update (MU) y Windows Server Update Services (WSUS).

También publicaría dos actualizaciones no relacionadas con la seguridad, a través de Windows Update (WU) y Software Update Services (SUS).

Vía Windows Update, Microsoft Update, Windows Server Update Services y el centro de descargas, estará disponible la versión actualizada del “Microsoft Windows Malicious Software Removal Tool”, software que examina el PC en busca de virus, gusanos, troyanos y otra clase de malwares conocidos, pero que no mostrará al usuario mensaje alguno, a no ser que se detecte algún código sospechoso.
Relacionados:

Microsoft Security Bulletin Advance Notification for August 2007
http://www.microsoft.com/technet/security/bulletin/ms07-aug.mspx
Sobre los niveles de severidad:

Los siguientes parámetros son los utilizados por Microsoft para catalogar sus boletines, de acuerdo a la importancia o urgencia de las actualizaciones:

* Crítico. Una vulnerabilidad cuya explotación puede permitir la propagación de un gusano de Internet sin la intervención del usuario.

* Importante. Una vulnerabilidad cuya explotación podría comprometer la confidencialidad, la integridad o la disponibilidad de datos y archivos del usuario, o de los recursos del sistema.

* Moderado. La explotación de una vulnerabilidad está significativamente mitigada por factores como la configuración por defecto, la intervención del usuario o la dificultad para realizarla.

* Baja. Una vulnerabilidad cuya explotación es muy difícil, o cuyo impacto es mínimo.
Más información:
Microsoft Security Bulletin Advance Notification:  www.microsoft.com/technet/security/bulletin/advance.mspx

hispasec nos cuenta que:

Aunque no deja de ser una etiqueta de moda sin una definición clara, el concepto de la Web 2.0 hace referencia a una segunda generación de aplicaciones web dinámicas e interactivas donde el usuario tiene un mayor protagonismo y participación, frente a las webs estáticas tradicionales donde el usuario era un receptor pasivo. ¿Existe también un nueva generación de malware 2.0?-

Tengo que confesar que creía que iba a ser original hablando del concepto Malware 2.0, pero una búsqueda en Google me ha sacado de mi error. Hace menos de un mes la empresa de seguridad PC Tools utilizó el término en una nota de prensa donde hablaba de una nueva generación de malware: http://www.pctools.com/news/view/id/181/

PC Tools hace referencia a características que llevamos comentando tiempo atrás en Hispasec:

* La proliferación de nuevas variantes de malware ha crecido de forma brutal.

* Se utilizan técnicas automáticas para ofuscar las variantes y dificultar la identificación por firmas.

* La estrategia actual pasa por utilizar muchas variantes en vez de un único espécimen para llamar menos la atención y dificultar una respuesta rápida por parte de la comunidad antivirus (de ahí que llevemos bastante tiempo sin ver un gusano de propagación masiva como el ILoveYou y compañía).

A continuación, como era de esperar, utiliza este argumento para vender su producto antispyware, que utiliza técnicas adicionales para no depender en exclusiva de las firmas de detección.

Aunque esas características son una realidad evidente desde hace bastante tiempo, mi idea del concepto de Malware 2.0 tiene más analogía con la Web 2.0: el uso de la web como plataforma para la distribución, personalización del malware, y uso inteligente de los datos obtenidos por parte de los usuarios para propocionar “nuevos contenidos”.

Para desarrollar la idea voy a utilizar un ejemplo de ataque real, de los muchos que están sucediendo a día de hoy, destinado a los usuarios de banca electrónica:

* Los atacantes diseñan un servidor web que hospeda el código malicioso.

* Para atraer a potenciales víctimas anuncian su URL a través de spam, en foros, comentarios en blogs, etc. con cualquier excusa (bien una noticia de actualidad, curiosidades, imágenes eróticas o cualquier otro contenido potencialmente atractivo que lleven a los usuarios a visitar el servidor web de los atacantes).

* Cuando un usuario accede al sitio de los atacantes, la web comprueba la versión del navegador del visitante y, si es vulnerable, devuelve un exploit específico para su versión del navegador que provoque la descarga automática y ejecución del troyano.

* Si el usuario tiene un navegador actualizado, utiliza la ingeniería social para que el usuario descargue y ejecute por si mismo el troyano (por ejemplo, mediante un ActiveX, decirle que es un vídeo, o una utilidad que requiere con cualquier excusa).

* Este primer troyano que se descarga es un “downloader”, que lo que hace es instalarse en el sistema y descargar e instalar la última versión del troyano bancario, así como sucesivas actualizaciones que pudieran aparecer en el futuro.

* El troyano “downloader” también puede personalizar la versión del troyano bancario que descarga en función del sistema. Por ejemplo, si el usuario tiene una versión de Windows en español, el “downloader” instalará en el sistema un troyano bancario diseñado específicamente para entidades españolas.

* El troyano bancario puede estar destinado a unas entidades específicas o ser más genérico. En el caso de que tenga unas entidades predefinidas, si el usuario accede a las webs de banca electrónica reconocidas por el troyano, envía los usuarios y contraseñas de acceso del usuario al servidor web para que los atacantes puedan suplantar su identidad y realizar transferencias a otras cuentas.

* En el caso de un troyano bancario más genérico e inteligente, envía a un script del servidor web de los atacantes todas las URLs por las que el usuario navegue y que comiencen por https. En el servidor web tienen un listado de URLs de bancos, si alguna de las URLs que envía el troyano corresponde con el listado, entonces el servidor web devuelve al troyano una orden concreta: redirigir al usuario a un sitio de phishing de esa entidad, modificar en local la página web de la entidad para que pida la clave de operaciones, etc.

* La información de las URLs de páginas seguras (https) por la que los usuarios navegan, y que envían al servidor web, sirve a los atacantes para diseñar nuevos ataques y actualizaciones de su troyano bancario. Por ejemplo, imaginemos que en un principio los atacantes contemplaban a Banesto, pero no al BBVA. Los usuarios que visitaban la web de Banesto eran afectados, mientras que los del BBVA no porque el servidor web no devolvía ninguna orden concreta al no tener un ataque específico preparado. Los atacantes estudian periódicamente las estadísticas de las URLs que se centralizan en su servidor, y comprueban que hay muchos usuarios infectados que visitan la web del BBVA. Entonces deciden crear una nueva versión del troyano bancario específico o una página de phishing a la que redirigir a los usuarios infectados que la próxima vez visiten la web del BBVA.

Este último punto tiene cierta analogía con servicios web 2.0 como digg.com o meneame.net, si muchos usuarios visitan una página de un banco se contabiliza en el servidor de los atacantes como votos positivos y termina por aparecer en portada (en este caso en la lista negra de entidades para las que desarrollan un ataque concreto).

Cómo podemos ver, esta nueva generación de malware utiliza la infraestructura de la web para comunicarse con los sistemas infectados de los usuarios y realimentarse con la información que estos proporcionan, aprovechando esta inteligencia colectiva para ofrecer nuevos contenidos dinámicos en función de los perfiles de los usuarios. ¿Estamos ante el malware 2.0?