Buenas,
Que no os confunda el título. No hablamos del clásico de James Bond protagonizado por Sean Connery. Hablaremos de Rusia como una de las principales fuentes de creación de malware (de integración en botnets, en este caso), y del amor, como reclamo.
Los reclamos que el crimen organizado usa para diseminar malware son muchos. Casi siempre se focalizan en áreas de interés para los usuarios, y es que no hay nada mejor que un buen gancho para comercializar malware. Por citar algunos ejemplos:
* Pornografía online, generalmente a través de falsos códecs presuntamente necesarios para visualizar vídeos X
* Farmacia online, con reclamos relacionados con productos orientados a potenciar la sexualidad (Viagras, alargamiento de ciertos sitios del cuerpo) y/o medicación diversa (antidepresivos, generalmente)
* Packs de aplicaciones piratas en P2P (los clásicos keygens para usar el Photoshop o el Nero de un modo ilegal, por ejemplo)
* Postales digitales (de amigos de Brasil que no tienes ni nunca tuviste) y chorradas varias (reenvía esto 50 millones de veces o morirás en 24 horas) para diseminarse en los correos asociados a las redes de mensajería instantánea.
Hoy quería hacer una mención a un reclamo que no es tan habitual, pero que lógicamente tiene su gancho. El amor.
A la página en la que se muestra ese anuncio (ubicada en un equipo comprometido conectado a una línea ADSL norteamericana de AT&T) se llega a través de un correo escueto que sólo contiene en el cuerpo un mensaje tal que:
Eternal Love http://68.*.*.150/
La URL, una vez visitada, muestra el mensaje del corazoncito, y el enlace «click here» nos invita a descargar algo. La descarga es un ejecutable, que como podéis imaginar, viene con regalito sorpresa. Pasamos el ejecutable por el scanner de Virus.org con el siguiente resultado:
El payload de la muestra es un viejo conocido en el mundo del malware. La enésima variante del gusano Zhelatin, cuya variante original data de hace más o menos un año. La actividad del gusano es básicamente la de propagación, previa instalación en local de un TrojanProxy que permite a los atacantes, mediante la instalación de un proxy clandestino en la máquina, abrir un puerto TCP al azar para poder controlar la máquina posteriormente. En paralelo, el gusano modifica el registro para ser ejecutado en cada reinicio, bloquea el firewall de Windows y adultera las conexiones compartidas. Se autopropaga enviando el mensaje a todas las direcciones de correo que encuentre en la máquina.
Por otro lado, el documento HTML al que llegamos siguiendo el enlace del correo, contiene una curiosa cadena javascript en su código fuente, para ofuscar la ubicación real del ejecutable malicioso:
Si sometemos a unescape a la cadena obtenemos el hiperenlace real que apunta al ejecutable:
Esta conversión la hemos hecho con la extensión para Firefox Net-Force Tools, la cual os aconsejo instaléis.
Lecciones aprendidas
1. En Internet no todo el mundo va de buen rollo, y por desgracia, existe gente que se dedica a cosas oscuras (dejemos la definición ahí). Como siempre, el consejo es no abrir ni seguir los enlaces de mensajes de correo no esperados, cuyos destinatarios no conozcamos, o cuyos asuntos provengan en lenguas foráneas. Piensa mal y acertarás. Es la regla de oro de la seguridad informática doméstica.
2. Los antivirus no son garantía suficiente para no sufrir infecciones. En el momento de someter esta muestra a la batería de motores mostrada arriba, como se puede apreciar, hay motores, alguno de ellos ilustre y recomendable como NOD32, que se traga la carga maliciosa y no advierte presencia de malware alguna. El antivirus es un complemento necesario, pero nunca es suficiente. Los datos hablan por sí solos: de los 23 motores empleados para el análisis, 12 (el 53%) no han detectado la muestra como maliciosa. Cuidado.
3. Cuando sigues estos enlaces y pinchas cumpulsivamente en todo lo que te mandan, estás permitiendo que un grupo de atacantes organizados se apodere de tu máquina, y que tu máquina sea un esclavo más en los botnets que el crimen organizado usa para robar, extorsionar y cometer delitos tecnológicos diversos. Piensa dos veces lo que haces antes de abrir correos sin precauciones.
Un saludo,
Te has dejado el mejor consejo: acotar el javascript. En Firefox con la extensión NoScript.
Porque, habitualmente, los bichos entran vía navegador gracias al potente y a la par peligroso javascript.
Espero que lo hayas hecho bien, porque antaño los de Hispasec se colaron varias veces con el NOD32. Ya sabes que destaca en detectar ataques reales, es decir, intentos de infección. Si el bicho está en un comprimido, mientras no se intente descomprimir no tiene porqué saltar el antivirus.
En una página web, el módulo IMON revisa el código. ¿Se ha probado así?
Hace años que aprendí a respetar el antivirus NOD32 (desde enero del 2002, cuando éramos cuatro gatos sus usuarios).
Pues eso, explícate.
maty,
No hay mucho que explicar. Para estas pruebas, tengo un Windows XP con NOD32 con firmas 2824 (de hoy) y se traga la muestra. También tengo IMON activado.
Es un ejecutable EXE, con packer UPX, es decir, algo de lo más normal. NOD32 es muy bueno, pero no siempre es excepcional. Por eso no podemos fiarnos de ningún motor bajo la creencia de que siempre nos salvará. Hay que acompañar al antivirus de sentido común para cuando el antivirus falla. El antivirus, bajo mi punto de vista, debería saltar sin tener que ejecutarlo. En este caso, ni ejecutándolo salta. Simple y llanamente, se lo traga.
Gracias por recomendar lo de javascript. Es una buena medida para los usuarios.
Gracias por detallarlo. Lo dicho, los antivirus cada vez lo tienen más complicado.
Llevo renegando del Javascript desde el 2001, pero no hay manera, su uso se extiende. Hay páginas que necesitan tenerlo habilitado para que funcionen!
Tal vez sería conveniente actualizar un viejo artículo comunitario escrito para VSAntivirus. Ahora sería más leído y tenido en cuenta, digo.
VSAntivirus Consejos para usuarios domésticos (Por Maty y compañía)
Antigua NAUTOPIA CONSEJOS SOBRE SEGURIDAD PARA REDES Y EQUIPOS CASEROS PARA EL 2004
Hace años pensé que debería escribirse uno centrado en GNU/Linux, que bien pocos aseguran debidamente, pero…
****************************************************
¿Concedes credibilidad a la explicación dada por Société Generale sobre el agujero de 4.900 millones de euros? Ahí tienes un tema sobre el que podrías escribir un artículo prolijo.
Hablando de hispasec, por que no usas virus virustotal.com? Ahora tienen permalink para las muestras.
Curioso lo de nod32.
Antuno,
Virus.org también admite permalinks. Acabo de subir un EICAR:
http://scanner.virus.org/scan/u1lptI4oQ/d27265074c9eac2e2122ed69294dbc4d7cce9141
Por cierto, NOD32 2825 (27 enero 2008) sí detecta al vuelo ya la muestra como maliciosa
Saludos,
http://www.virustotal.com
En el caso de la muestra Zhelatin que has subido, la tasa de detección ha sido relativamente ALTA (!), si consideramos que, de media,la tasa de detección de los antivirus actualmente gira entorno a 33%, para el malware recién salido al mercado, jeje :-)
Antivirus Performance Statistics
http://winnow.oitc.com/malewarestats.php
(leeros la introducción, vale la pena)
33% = Nuestro guardametas sólo para un gol de cada 3 chutes.
Por ello yo soy de la opinión que, un antivirus moderno ya tiene que empezar a detectar «software desconocido», nó sólo «software conocido como malo».
Por ello mi recomendación (para Windows users) es..
AntiVir + Prevx
ola el amor es un poco romantico