Como identificar un Rogue!!!!!!

Ya que la mayoría de publicación en mi blog trata de los rogue, este tipo de malware que utiliza mucho la Ingeniería Social, y al estar instalado en el equipo de la victima puede realizar muchas cosas malignas.

En resumen ya muchos sabemos que un rogue es un software que simula ser una aplicación antivirus (de seguridad), pero en realidad realiza lo contrario, instalar malware en el equipo alertando a la víctima con la finalidad de obtener dinero. Ahora los mensajes de infección que muestra este rogue son falsos.

Para ello veremos 5 formas de poder identificar un rogue,

1. La amenaza por lo general se descarga sin autorización del usuario o lo solicita insistentemente luego de ingresar a un sitio web donde se realiza un falso análisis en línea de nuestro equipo. Dicha simulación siempre detecta amenazas a cada momento alertando a la victima que nuestro equipo se encuentra muy infectado.

2. Cuando ya se instalo la supuesta solución de seguridad y realiza su análisis, siempre muestra una gran cantidad de amenazas encontradas en el equipo las cuales son FALSAS, incluso no detallan, como si lo hacen los software de seguridad verdadero en archivo en si infectado.

3. Una vez finalizado el supuesto análisis y si uno desea realizar la limpieza respectiva el programa invita mediante otra pantalla (pop-up) a la compra del producto, solicitando la transacción con  tarjeta de crédito.

4. Cuando el rogue ya logro su objetivo (instalarse en el equipo), realiza ciertas modificaciones en el Sistema Operativo como por ejemplo, constantes alertas de peligro, modifica la pantalla de inicio, la barra de inicio etc, con la finalidad de incentivar al usuario a la compra del producto.

5. No podrá realizar la desinstalación del producto ni accediendo desde Agregar o quitar programas del panel de control, si se reinicia el equipo el software seguirá instalando mostrando sus fastidiosos mensajes de alerta.

Aquí un ejemplo de uno de los últimos rogue encontrado "Antivirus 2010".

Bueno con esto creo que ya no podremos ser engañados y si desean instalar un software de seguridad ps les recomiendo que sea uno conocido.

chauuuuuuuuuuuuuuuuuuuuuu

Nuevo Rogue - Privacy Guard 2010

En él segundo post que publique, les comentaba sobre el malware de tipo rogue, unos de los cuales me interesan mucho por la facilidad de engaño al usuario mediante la Ingeniería Social.

Esta vez gracias a nuestros amigos de ESET Latinoamérica pude leer en uno de sus post una nueva variante de este malware que se viene propagando por correo electrónico “Privacy Guard 2010”, al igual que muchos de este tipo intentan generar un pánico al usuario con el fin de obtener una supuesta licencia del producto.

Aquí les dejo la publicación de Claudio Cortés Cid Especialista de Awareness & Research:

Para empezar, veamos cómo se ve el sitio web. La siguiente es una captura que pertenece a la página desde donde se descarga el malware, es decir, desde donde se propaga la amenaza:

Uno de los puntos más importantes de este rogue es la baja tasa de detección que posee, ya que podemos apreciar en el siguiente cuadro el análisis de Virus Total que al momento de escribir este post, sólo ESET NOD32 Antivirus detectaba la amenaza (como Win32/Adware.PrivacyGuard2010.AA) de entre 42 motores de antivirus:

Una vez que el malware es instalado, este carga una interface gráfica la cual realizar un falso “análisis” de problemas que se puedan encontrar en el equipo de la víctima. Luego de finalizar este, se despliega una ventana donde se alerta que para realizar una limpieza completa del sistema, hay que adquirir la versión full de PrivacyGuard 2010 con las ultimas actualizaciones, la cual tiene un precio de 80 dólares.

Como hemos observado y como ya comente en un post anterior, estos rogue por lo general tienen las mismas características (engañar al usuario y robar su dinero)….

Siempre es bueno contar un software de seguridad con tecnología proactiva.

Ahora estaré publicando algunas cositas mas seguido hasta luegooooooooooooooo….

Troyano Keylogger en el Hardware!!!

Ahora a tener  mucho cuidado con estos nuevos dispositivos que simulan ser unos adaptadores para el teclado (ojo podríamos estar hablando que también se utiliza la ingeniería social), este dispositivo viene conectado al final del cable del teclado a la PC.

Como es característica de los Troyanos Keyloggers guarda un registro de todas la contraseñas realizadas (las pulsaciones) con las teclas por quien utiliza el equipo.

Esta es una imagen de cómo pueden  detectar que estos dispositivos estén atentado contra su seguridad.

  

En la actualidad está siendo utilizado mucho en: Cibercafés, exposiciones, hoteles y aeropuertos especialmente con los que utilizan Internet para entrar en cuentas bancarias.

El dispositivo almacena todo, todo lo que teclees.

Por lo tanto, examina la PC que utilices en sitios o lugares públicos, en búsqueda de cualquier artículo sospechoso instalado detrás del mismo antes de utilizarlo.

Esta de mas volver a mencionarles como en todos mis post, que siempre deben estar protegidos con alguna solución de software antivirus con detección proactiva… volveré con mas noticias……..

Las redes P2P off line!!!

Hace unos días leyendo el blog de ESET Latinoamérica que hablan sobre las redes P2P offline, la cual fue iniciativa del artista Aram Bartholl, titulada Deap Drops (Gotas Muertas). Consiste según lo que dice Aram en crear una red peer to peer anónima y off line en el espacio público,

“Estoy inyectando dispositivos USB en paredes, edificios y otros lugares públicos accesibles. Están invitados a ir a esos lugares (por el momento cinco en Nueva York) y dejar sus archivos o llevarse otros. Conecten su computadora portátil y compartan sus archivos favoritos o información”, son palabras extraídas de su blog.

Les muestro algunas imágenes de cómo se ven los USB sobre las paredes….

Página Oficial de Imágenes

Cuando me entere de esto me parecía una idea muy loca e interesante, “pero” siempre el vendito pero, imagínense el riesgo que puede generar las redes P2P off line. Los atacantes aumentaría y podrían infectar a miles de personas muy fácilmente, dejando archivos con nombres tentadores para los usuarios (Ingeniería Social) y así propagar los diversos malware que existen  a las personas que se conecten a esta red a través de las paredes (así es en las PAREDES).

Un texto muy interesante que nos dicen los de ESET Latinoamérica “Resulta interesante esta noticia para ver como la esencia de la inseguridad se mantienes, incluso en redes fuera de Internet: los espacios para compartir archivos, y los usuarios utilizando estos sin los cuidados necesarios son una oportunidad para propagar amenazas a través de Ingeniería Social”.

Otro problema ya muy conocido es la ejecución de malware a través de los dispositivos USB y el archivo autorun.inf es cada vez más frecuente. Quién nos asegura que los dispositivos no estarán infectado con variantes de este tipo de malware.

Sé que a ustedes también les ha parecido una propuesta interesante, pero también tenemos tener en cuenta los riesgos que nos generan, se recomienda a todos los usuarios que descarguen archivos de redes de este tipo, estar protegidos con alguna solución antivirus y explorar siempre los que deseemos copiar.

Intenta crear una red P2P en tu barrio :). Hasta luego. 

SEGURINFO PERU 2010 GRAN EVENTO en PERU

Este miércoles 3 de noviembre  ESET en PERU (StartLabs) junto a ESET LATINOAMERICA, estarán participando del evento Segurinfo Perú 2010 que se llevara a cabo en el Centro de Convenciones del Hotel Radisson Decapolis Miraflores en Lima.

Un poco de que trata Segurinfo, muchos sabemos que es la exposición más importante de Seguridad de la Información que se realiza en Argentina desde hace mas de 6 años y tenemos la dicha de que será la primera edición en Perú donde participaremos de la mejor manera.

No solo participaremos como sponsor de evento, también tendremos la presencia en el stand nº 9 de nuestro compañero Sebastián Bortnik, Coordinador de Awarness & Research de ESET Latinoamérica, el nos brindara un interesante charla sobre “Malware en MAC y Linux” (muy interesante).

Con la seguridad de que todo será un éxito los esperamos a todos (clientes, partners, prensa y demás interesados en nuestras soluciones).

Les comento también que Sebastián Bortnik nos tiene una sorpresa, mediante el Blog de Laboratorio de ESET informa que tiene una entrada para regalar, la cual se sorteara en todas las personas que dejen un comentario en el post que publico.

Les dejo el link para que puedan participar http://blogs.eset-la.com/laboratorio/2010/10/29/sorteo-de-entradas-para-segurinfo-peru/

Todos quedan cordialmente invitados hasta pronto………..

Descargar video o malware (phishing) ?

Esta mañana en la bandeja de correo de mi compañero de trabajo (John Titto) observamos un correo enviado desde Sónico, el cual indicaba como asunto un texto muy tentador: “Exclusivo Karen Dejo en Video Erótico (Prohibido para Menores de 18 Años.)” .

Como la imagen es muy tentadora (característica de los creadores de malware Ingeniería social), nos invita a descargar el supuesto video, lo cual realiza lo contrario, descarga un malware que al ser ejecutado infecta el equipo y como una de las características de phishing me modifica el archivo host.

Hay que tener mucho cuidado con estos tipos de mensaje malicioso ya que los atacantes (Pisher) suelen utilizar estas estrategias a diario.

El malware ya está siendo analizado en nuestros laboratorios para su posterior detección en la actualización de la Base de Firma de Virus de ESET NOD32 Antivirus y ESET Smart Security.

Detección de un Rogue ¿Dinero, Fama o mas Infección?

Hace una semana, antes viajar a dictar una conferencia de Seguridad Informática (lo cual ya estaré publicando como salió todo), en los Laboratorios de ESET PERU recibimos un ataque de Rogue a través de una página web que por seguridad no será mencionada, la pagina web estaba infectada por algún código malicioso que es reconocido por ESET como “HTML/ScrInject.B.Gen Virus”.

  

Si bien es cierto que detectaba algunos códigos maliciosos insertados en la web, luego de unos segundos la pagina me re direccionaba a otra página web.

En esta página como es características de los malware de tipo rogue, me simulaba una supuesta infección en mi equipo virtual (era una aplicación flash que simulaba ser mi explorador de Windows mostrando en textos grandes la gran cantidad de infección de malwares en  mi discos.

Como se resalta simula ser mi explorador de Windows pero en si es una página web.

Cuando terminaba su supuesto análisis en el equipo te la opción de poder descargar un software de seguridad (inst.exe), al ser ejecutado la pagina que muestra las infecciones se cierra automáticamente y simula una instalación.

Cuando el rogue ya infecto el equipo el supuesto software de seguridad (SecurityTool) vuelve a realizar un análisis mostrando nuevamente infecciones no existentes en nuestro equipo. Al finalizar su análisis nos da la opción de Remover los supuestos malware.

Si nosotros elegimos la opción de remover nos muestra otra pantalla (molestosa), la cual nos quiere estafar vendiéndonos este producto, nos pide datos de nuestro banco para poder depositar el dinero (posiblemente detrás de esto también se esconda otro problema de robo de nuestro dinero completo), en el caso que no queramos pagar por tal producto la pantalla seguirá apareciendo cada momento que el rogue quiera molestar.

Actualmente esta amenaza ya es detectada por ESET NOD32 Antivirus y ESET Smart Security como Win32/Adware.SecurityTool.AD application, esta muestra fue analizada en los laboratorios de ESET PERU.

  

Los ataques de Rogue son una alternativa rentable para los atacantes, los usuarios deben estar protegidos utilizando un software de seguridad antivirus y a la vez siguiendo las buenas prácticas en el uso de internet.

Espero no hayan sido afectados por este malware ya estaremos con mas post para todos.

MI PRIMER POST TT!

Esperando que sea de ayuda para muchas personas que les apasionan la tecnología y la seguridad informática pude crear este blogger. Se aceptan todo tipos de comentarios y/o criticas.

Por ser mi primer post solo me queda darles la bienvenida, ya tengo muchas cosas que publicar ya que día a día se ven cosas muy interesantes, colocar algunas experiencias en las capacitaciones y charlas dictadas. Volveré con los temas que más nos interesan chaoooooooo.

Christian Fernandez Ormeño

KB -

STARTLABS S.A.C.

Distribuidor Exclusivo de ESET en PERU

============================================

[@]   cfernandez@startlabs.com

[Nxt] 51*420*1923

[Cel] +511 994-201-923

[Tel] +511 434-5534 Anexo 208

[Web] http://www.eset.com.pe

[Twt] http://twitter.com/esetperu

[Fb]  http://www.facebook.com/esetperu

============================================

Protegemos su Mundo Digital

============================================