Accesos directos que ejecutan malware

Se trata de un mensaje en idioma alemán donde se aclara que se ha realizado una transacción de un determinado monto de dinero y que para obtener mayor información, se debe recurrir al archivo adjunto. El correo electrónico es un spam como el siguiente:



El archivo adjunto contiene una carpeta llamada “scann”, que en su interior aloja un archivo llamado “scann.a”, un malware que ESET NOD32 detecta bajo el nombre de Win32/AutoRun.FakeAlert.AD, y un acceso directo con el mismo nombre que el archivo adjunto.


Y, precisamente en este acceso directo se encuentra lo llamativo, ya que el mismo se encuentra asociado al archivo “scann.a” a través de la siguiente instrucción: %windir%\system32\cmd.exe /c scann\scann.a

Es decir, el usuario que haga doble clic sobre el acceso directo, estará ejecutando bajo línea de comandos el código malicioso. Por lo tanto, es importante adoptar buenas prácticas de no descargar ni ejecutar archivos adjuntos e instalar un antivirus con capacidades de detección proactiva capaz de detectar estas nuevas amenazas.

Fuente: ESET LABS

Troyanos en archivos PDF

En la última semana se ha comenzado a propagar vía spam gran cantidad de malware en scripts y exploits alojados en archivos PDF especialmente manipulados para ese fín. Este incremento se debe a la reciente publicación, por parte de Adobe, de una actualización crítica en su popular producto Adobe Reader. Aquellos usuarios que no hayan actualizado su sistema son potenciales víctimas de este ataque.

Estos scripts dañinos son utilizados para descargar e instalar malware en el equipo del usuario. Por lo tanto, la posibilidad de detección de un antivirus recae en dos puntos: por un lado detectar el scripts o exploit insertado en el archivo PDF y, por el otro, la detección del malware descargado.

En el primer caso ESET NOD32 detecta proactivamente los archivos manipulados, como variantes del troyano PDF/Exploit.Pidief y, en el segundo, el malware descargado puede ser cualquiera, por lo que dependerá de cada caso.



Por eso, es fundamental actualizar a la última versión de Adobe Reader para evitar ser víctimas de estos exploits y, además contar con un antivirus con capacidades de detección proactiva que permita detectar posibles nuevas variantes de este ataque.


Fuente: Eset Labs

YouTube falsos infectan usuarios

Tal y como mencionamos días atrás, existen herramientas para crear páginas de YouTube falsas y, hoy hemos encontrado una centena (accesibles desde buscadores) de sitios creados con estos programas y que tienen el objetivo de engañar al usuario para que termine descargando un archivo dañino.

A continuación dejo una imagen de uno de estos sitios y de la detección proactiva (Win32/Genetik) que ESET NOD32 realiza del archivo que se intenta descargar:


Un caso más elaborado es el siguiente, en donde a través de un archivo Flash (extensión SWF) se logra el mismo efecto:



Los archivos descargados pueden llamarse flash_update.exe, flashplayer.exe o similar debido a que se intenta hacer creer al usuario que necesita una actualización de Flash Player para visualizar el supuesto video. Actualmente ESET está detectando cada una de las variantes descargadas por heurística sin necesidad de actualizar la base de firmas, lo cual es fundamental con la gran cantidad de malware relacionado a este vector de ataque.

FUENTE: ESET LABS

Perfiles falsos y spam en Facebook

Haciendo un recorrido por Facebook (o cualquier otra red social) y realizando ciertas búsquedas, es relativamente sencillo encontrar perfiles falsos y publicidad de sitios que ofrecen servicios para adultos, generalmente promocionados con fotos de contenido sexual.



Estas acciones demuestran la facilidad con que las personas inescrupulosas se mueven en el mundo virtual y adoptan los nuevos medios de comunicación para llegar masivamente al público ya que las redes sociales también pueden ser utilizadas para propagar malware.

Este tipo de perfiles están expresamente prohibidos en las redes sociales y se deberían denunciar al momento de encontrarlas. En los casos mostrados, luego de denunciarlos, los perfiles fueron eliminados.

Fuente: ESET LABS

Correos legítimos de usuarios utilizados para propagar malware

Hola gente!!

Recien me llego a mi correo un mail donde un contacto que tengo de Rep. Dominicana "me mando" una postal del portal Postal.com, lo bueno es que en ese momento estaba en linea y accedi a preguntarle si en realidad me habia mandado esa postal. Ella me contesto que no. Accedi a imprimir pantalla para enviarle el mail donde ella supuestamente me mandaba la postal.

Lo raro es que su nombre y correo personal son los mismos. Lineas abajo pude observar que mi nombre tenia la misma forma de diseño(por decirlo asi) al nick que yo uso en el msn y tenia varios meses que lo habia cambiado.

Accedi a visitar los blogs de ESET LAB y wooow me encontre con esta informacion que les comparto:

* Llega un correo de un contacto real, el cual contiene un enlace a un archivo que supuestamente puede ser un currículo, foto, video, ofertas de productos, etc.

* Pero en realidad, esta foto es el malware Win32/TrojanDownloader.Banload.QPR, el cual es un troyano que descarga otros malware, en este caso un gusano.

* El gusano finalmente descargado es detectado también por ESET NOD32 como Win32/Banwor.NBF y su objetivo es robar usuarios y contraseñas de la máquina infectada para enviarlos al creador del
malware.

* Entonces, el Win32/Banwor.NBF es el encargado de robar los datos de la cuenta de correo para continuar con la propagación, así como también obtener usuarios y contraseñas de otros servicios.

Por estos motivos, hay que estar muy atentos a revisar los correos y descargar archivos, ya que pueden llegar de alguien conocido, pero igualmente contener un código malicioso.

Fuente: ESET LAB

Los virus mas potentes de Octubre

Hola gente!

A continuacion les mostrare una nota tomada del ESET LAB en la que muestra los malwares mas potentes y sobre todo como es que atacan. Espero y les sirva.

Según nuestro sistema estadístico ThreatSense.Net, el Win32/PSW.OnLine.Games continúa en la primera posición con el 11,30% del total de detecciones, 8 puntos por debajo del porcentaje de septiembre.

El INF/Autorun sigue en el segundo lugar, con el 6,54% y es un malware utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, un DVD o un dispositivo USB, es leído por el equipo informático.



El Win32/Toolbar.MyWebSearch continúa en la tercera posición con el 2,79 por ciento del total. Este adware es un malware calificado como potencialmente no deseado que instala una barra de herramientas con la función de búsqueda a través del sitio MyWebSearch.com. Detrás de esta acción, ejecuta otras aplicaciones no solicitadas, consume recursos extras ralentizando el rendimiento del sistema y además, crea perfiles con los hábitos de navegación de los usuarios para enviarle publicidades según sus intereses.

Con el 1,82 por ciento, el Win32/Pacex.Gen asciende al cuarto lugar y es una firma genérica que detecta y designa a un grupo de archivos maliciosos que utiliza el tipo de ofuscación que comparten la mayoría de los troyanos secuestradores de contraseñas.

El WMA/TrojanDownloader.Wimad.N ocupa el quinto lugar con el 2,58 por ciento y es una amenaza de los archivos Windows Media que redirecciona al buscador media a diversas URL maliciosas que descargan componentes maliciosos adicionales como distintos tipos de adware.

En las últimas posiciones se encuentran el WMA/TrojanDownloader.GetCodec.Gen, seguido por el Win32/Agent, el Win32/Adware.Virtumonde, el JS/TrojanDownloader.Iframe.NBM y el Win32/Qhost sumando más del 6,72 por ciento del total.

Fuente: ESET LABS

Cuidado...Falsas Actualizaciones de VISTA y XP

Heeeey.... primero ten en cuenta esto:

"..las actualizaciones de Microsoft son gratuitas siempre y la empresa no envía correo a los usuarios con archivos ejecutables."

Por si te llega un correo "de parte" de Microsoft sobre la actualizacion de Microsoft Windows XP y Windows Vista... ¡AGUAS! El correo ofrece las actualizaciones en forma gratuita y el enlace permite la descarga de un archivo install.exe.



Mi gallo NOD32 lo detecto y lo muestra como :Win32/TrojanDownloader.FakeAlert.HJ, una de las tantas variantes de Antivirus-XP-2008.

Asi que mucho ojo eh!