Daboweb | Seguridad y ayuda informática |

En estos días muchos usuarios están recibiendo falsos avisos de actualizaciones de seguridad de Microsoft Outlook. Según informa Websense, este tipo de ataques serían de lo más común a no ser por el alto grado de personalización usado.

Junto al aviso de la supuesta actualización, viene un enlace a una página web para realizarla con un aspecto muy convincente lo cual facilita el engaño.

Una vez instalada la falsa actualización, el malware que es realmente lo que contiene, según informan en ITespresso (fuente), la máquina infectada se convierte en parte de la botnet «Zbot» y pasa a ser controlada remotamente por su creador.

Visto en la portada de Inteco.

Nuevos métodos de actuación del malware. Esta vez le toca a Skype, el popular software de VoIP que en esta ocasión, es el objetivo de un troyano (Trojan.Peskyspy) que graba y guarda en formato MP3 las conversaciones de Skype.

Ha sido Symantec quien afirma haber encontrado la publicación del código fuente de este troyano que, después de grabar y guardar en formato MP3 la conversación de la víctima, lo envía a un servidor predefinido por el atacante para después escuchar las conversaciones grabadas.

Fuente; Slashdo (ENG).

Como viene siendo habitual,  os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Agosto) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).

Agosto 2009

• Actualizar Google Chrome
  
• Cifrado Wi-Fi bajo WPA roto en 60 seg.
  
• Vulnerabilidad en Google Chrome, actualización disponible
  
• Se crean más de 3.500 sitios web al día para difundir malware.
  
• Vulnerabilidades en servidor web Apache (APR y APR-util)
  
• Actualizaciones de Microsoft Agosto 2009
  
• WordPress 2.8.4 actualización de seguridad
  
• Bug en WordPress 2.8.3 y anteriores (info y solución)
  
• Vulnerabilidades en Safari, nueva versión que las solventa (4.0.3)
  
• Mac OS X 10.5.8, ya disponible.
  
• Mozilla Firefox 3.5.2 ya disponible, actualización de seguridad
  
• WordPress 2.8.3; actualización de seguridad
  
• Descargar Nero gratis
  
• Joomla! 1.5.14, actualización de seguridad

Cuando uno lee informaciones como esta de MessageLabs (ENG), te quedas pensando en lo «rentable» que puede llegar a ser la «industria» del phising, spam o todos los tipos de malware o software malicioso que pueden llegar a través de la Red.

Además, esta oscura industria está encontrando en las redes sociales a su mejor aliado para complementar las técnicas habituales de engaño-infección. No es la primera vez que decimos que se tenga precaución con los enlaces que usuarios aparentemente de fiar dejan en el muro o tablón de mensajes del FaceBoock o Twitter de turno. Puede servirnos el mismo ejemplo para las conversaciones a través de programas de mensajería instantánea, foros y un largo etc.

Como se puede leer en el título, cada día ven la luz más de 3.500 sitios web dedicados a difundir todo tipo de malware y este hecho debería hacernos reflexionar acerca de la cantidad de amenazas que llegan a través del cable. Se habla también de un aumento del Spam del 85 % respecto al año 2007 y según MessageLabs, parece que en China se puede encontrar alguna respuesta a este hecho. Los paises con más alto nivel de Spam serían Reino Unido, China, Australia, Japón, Alemania, los EE.UU, Países Bajos  y Canadá.

Siguiendo con el malware que llega a nuestro correo, el Spam o correo no solicitado se lleva la palma, pero se informa de que uno de cada 304 correos electrónicos de media contiene un virus. Otro dato interesante es que el reparto de esos 3.500 sitios web maliciosos que nacen cada día, es más o menos de unos 250 dedicados a alojar software espía y unos 3.300 a los virus.

Fuente (ENG).

Lo del título viene a colación por el nombre («Morro») del que será el futuro antivirus que Microsoft ofrecerá gratuitamente a sus usuarios. Está cerca de recibir la consideración de «Beta» y actualmente, Morro, está siendo probado por empleados de Microsoft y gente del grupo de desarrollo, se está hablando de que ofrecerá una protección básica contra virus, troyanos, spyware y demás malware.

En muchos sitios se ha hablado del fiasco que supuso «Windows Live OneCare», un antivirus de la casa por el que había que pagar y que no consiguió como esperan con Morro (que es un nombre clave y puede llamarse de otro modo cuando salga a la luz) quitar cuota de mercado a dos grandes del sector como McAfee o Symantec.

También se ha comentado que no se ofrecerá empaquetado dentro de Windows sino como una descarga, previsiblemente para no tener problemas con los diferentes tribunales de la competencia como le ha pasado con Explorer, aún no hay fechas para su lanzamiento pero es posible que su puesta de largo coincida con el lanzamiento de Windows 7 antes de que acabe el año.

Personalmente, no creo que usuarios que estén acostumbrados a usar productos un tanto más profesionales como Nod32 o Kaspersky tengan pensado cambiar, pero si que además de las versiones de pago de McAfee o Symantec, a quienes más puede afectar puede ser a productos que se distribuyen también de forma gratuita como versiones de Bit Defender, u otros antivirus gratuitos como Avast Home Edition, AVG Anti-virus, Antivir Personal Free.

El tiempo lo dirá, pero creo que es una buena noticia hablando de seguridad que Microsoft se ponga las pilas en estos temas y más aún desde su posición dominante en el mercado además de que mantenga una actitud responsable en estas cuestiones, práctica a la que no nos tiene muy acostumbrados históricamente pero que en los últimos tiempos parece que algo está cambiando.

Fuente Reuters. (ENG)

Por David Hernández, (Dabo)

Los que llevamos un tiempo en Daboweb, recordamos como si fuera ayer infecciones masivas como las del Blaster o Sasser (publicado aquí). Conficker es como un «remake» pero más elaborado y el modus operandi e impacto en el sistema, aún teniendo algún paralelismo con ellos va un paso más allá.

Ayer fue 1 de Abril, un día en el que la amenaza Conficker se ha sentido por toda la Red ya que se hablaba de una actividad masiva del virus, cosa que realmente no ha sucedido.

Este malware que se propaga como un virus y actúa como un troyano, como mucho sabréis explota una vulnerabilidad provocada por un desbordamiento del búfer a través de una solicitud RPC manipulada para ese fin y una vez se hace un hueco en el sistema, deja fuera de juego a servicios como Windows Update, pasando por todos los relacionados con la seguridad de Windows (Defender o el Centro de Seguridad o reporte de errores).

Adicionalmente, se conecta con el exterior a través de un puerto (filtrar el 445 en vuestro Firewall) en el que permanece a la escucha además de continuar propagándose e infectar el sistema con más malware o réplicas de si mismo, pudiendo enviar a terceros información personal de la «víctima».Algunas variantes de este virus también llamado Downup o Kido, pueden crear unas 50.000 urls falsas para seguir distribuyéndose.

Su impacto ha sido tan grande que se estima que entre un 6 y un 8% de todos los ordenadores de la población mundial están infectados y los daños que está provocando ahora mismo, son casi imposibles de calcular, tanto es así, que Microsoft  este pasado 13 de Febrero, ofreció 250.000 $ de recompensa a quien de los datos necesarios para descubrir a su creador…

Lo que parece mentira, es que unos años después del Blaster, ese bug en las llamadas a procedimientos remotos (RPC) explotado por Conficker, tenga tanta repercusión y que el virus siga tan activo ya que comenzó su andadura a principios de Octubre y el día 23 Microsoft publicó un parche que solventaba el fallo, 23 de Octubre…hace más de 4 meses.

Por lo que tenemos que pensar que la gente no acaba de concienciarse de la importancia de tener un sistema operativo debidamente actualizado.

Pero además de este detalle, parece ser que muchos usuarios a su vez no tienen sus antivirus actualizados lo cual agrava el problema y en este caso no se le puede echar toda la culpa a Microsoft como muchos suelen (solemos) hacer, hay que ser serios que para bromas la que postee ayer sobre Internet Explorer 8.1 -;), Microsoft dio la solución, bugs los hay en todas las plataformas sólo que algunos parchean más rápido que otros y también, dada la cuota de mercado de Windows, es lógico que los que se sufren bajo esa plataforma, se expandan con más rapidez y tengan más impacto (otro tema sería en servidores web donde GNU/Linux tiene una fuerte y creciente implantación, ahí seria un caso parecido en cuanto al impacto).

Algo achacable a Microsoft, puede ser que no haya liberado parches para versiones que no sean o Windows Vista, XP SP2 o SP3 o Windows 2000 SP4, técnicamente están en su derecho ya que son versiones que no tienen ya soporte pero en un caso de estos, creo que hay que hacer un esfuerzo extra por parar de la forma más rápida posible un virus como este más allá del titular de los 250.000 $.

La verdadera culpa es del creador de Conficker cuya «cabeza» vale 250.000 $ (mucho dinero para tanta crisis) y la responsabilidad final es del usuario que no actualiza debidamente el sistema porque

«me sale a la derecha un rollo de Windows Update pero yo lo cierro y pista, total, ¿qué me va a pasar? y ahh «tampoco tengo nada que ocultar».

Amigos, esto no es una ciber-bronca que todos tenemos mucho que callar, pero un ordenador ahora mismo es un centro de recopilación de información de una persona y de la misma forma que pones una puerta acorazada en tu casa, deberías de pensar en tu ordenador como algo parecido. Piensa que las pérdidas de tiempo, información y privacidad son mayores que ese tiempo que «no pierdes» asegurando tu sistema.

Herramienta de eliminación de Conficker | Parche de Microsoft

Por David Hernández (Dabo)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticia

Hace unos días, hacía un ejercicio de reflexión en voz alta (tómese como una opinión personal) sobre el concepto de seguridad global en Mac OS X (acabo de leer una opinión similar recién publicada en el blog de Eset), al hilo de la infección masiva vía copia ilegal y manipulada con la inclusión de un troyano en iWork 09 por más de 20.000 usuarios que se lo descargaron desde redes de intercambio de archivos.

Desde el sitio especializado en seguridad para sistemas Mac, SecureMac, (creadores también de MacScan) se puede descargar una herramienta para detectar y eliminar el troyano OSX.trojan.iServices.A. Este removal tool es de uso gratuito y rápidamente podrás saber si estabas infectado y eliminar dicho troyano.

Descarga de iWorkServicesTrojanRemovalTool | Fuente Planeta Mac.

Nueva variante en Copias ilegales de Adobe CS4.

Intego informa de una nueva variante del primero denominada OSX.trojan.IServices.B en copias ilegales de Adobe CS4. Una vez que se ha ejecutado,crea una puerta trasera en /var/tmp pudiendo crear nuevas copias si se usa el crack de nuevo lanzándose con privilegios de root.

A su vez copia el ejecutable en /usr/bin/DivX y se añade al menú de arranque en System/Library/StartupItems/DivX , para, una vez comprobado que se ejecuta con privilegios de root (super usuario), salva el hash del password en /var/root/DivX y se pone a la escucha en una lista aleatoria de puertos TCP enviando también paquetes de datos de 209 bytes a dos direcciones IP, os podéis imaginar el riesgo que conlleva…

Todavía no se ha liberado una herramienta de eliminación parecida a la anterior para remover el malware del sistema pero se recomienda extremar las precauciones y no descargar copias de estos programas de sitios no confiables.

Por David Hernández (Dabo)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Añado, también se está propagando en copia ilegal de CS4 una variante de iServices.A catalogada como iServices.B.

Aquí el parche para eliminar el que venía en la versión de iWork 09 (OSX.trojan.iServices.A)

Ha sido Intego quien ha dado la voz de alarma avisando de que una copia de la suite iWork 09 disponible en redes de ficheros Torrent contenía bajo su inofensiva apariencia un troyano (OSX.trojan.iServices.A), obviamente una copia ilegal y manipulada del software de Apple.

¿Cómo actúa? Se aloja en el equipo afectado vía el programa de instalación de iWork aprovechando que pide la clave de administrador a la hora de instalarlo, después y una vez que ha notificado a su autor la infección, el equipo afectado pasa a ser parte de una red zombie de «bots» para entre otras oscuras funciones, tal y como podemos leer en Hispasec, realizar ataques de denegación de servicio al sitio web dollarcardmarketing.com.

Además y para asegurar su «efectividad» o disponibilidad, el malware se aloja en la carpeta de inicio del usuario y según informan desde Intego, ya son más de 20.000 usuarios los que se han descargado por esa vía iWork 09 y por lo tanto, serán unos cuantos miles los troyanizados…

Lo cual, nos lleva a una reflexión sobre la seguridad de Mac OS X y su posible rentabilidad para la industria del malware que pueden ver ampliadas sus actividades delictivas en una plataforma que poco a poco, va consiguiendo más cuota de mercado y por lo tanto más interés para ellos.

Hace no mucho tiempo, Apple aconsejaba en una de sus secciones de soporte el uso de un antivirus en Mac OS X, cuando la leí, me pareció una actitud muy responsable, un cambio pero…cuando poco después la borraron me dije, «más de lo mismo…». Una más de «iResponsabilidad».

La «famosa» nota;

Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent, thus making the whole virus writing process more difficult. Here are some available antivirus utilities:

Lo que venía a decir que no querían ponérselo fácil a los creadores de virus y recomendaban el uso de varios antivirus comerciales (Intego VirusBarrier X5, Symantec Norton Anti-Virus 11, McAfee VirusScan for Mac) pero ¿curiosamente? se olvidaron de ClamXav, la variante de  ClamAv para Mac OS X de libre uso y descarga con licencia GPL.

Así que espero que empiecen a modificar secciones en su web del tipo a la de «Razones para adorar un Mac» en las que leemos joyas (más bien coñas) como esta;

Seguridad para ti y para tus peques. (WTF).

Mac OS X, que ha sido diseñado pensando en la seguridad, no está asediado por los constantes ataques de virus y programas dañinos. Asimismo, no se ve inundado por los inagotables diálogos de seguridad. Por eso puedes dedicarte al trabajo —o los juegos— con seguridad y sin molestas interrupciones. Además, los controles parentales fáciles de usar te ayudan a decidir lo que tus hijos pueden hacer con el ordenador y cuándo.

Me gustaría saber cuantos usuarios de Mac OS X activan los controles parentales a sus hijos porque una cosa es que no les entren virus y otra es por donde navegan y de que modo. Y ahí volvemos al bucle, si Apple les dice a los padres estas cosas, no se preocuparán realmente por los hábitos de seguridad de «sus peques»…

Una de las falsas creencias de algunos usuarios de Apple es que son invulnerables a los virus o cualquier tipo de malware, falso además de troyanos como este, basta con dar un vistazo al Bugtrack en Security Focus haciendo una sencilla búsqueda para ver todo tipo de vulnerabilidades (que algunos llaman actualizaciones de software) tales como; Desbordamientos de buffer que llevan a escaladas de privilegios en el sistema, ataques de denegacion de servicio, ejecuciones remotas y locales de código, ataques por directorio transversal, envenenamiento de DNS, etc, etc.

Un usuario de Mac, también está igual de desprotegido que los demás frente a muchos ataques comunes a otros sistemas que se valen de vulnerabilidades de aplicaciones y su interacción con Internet (como pueden ser las de un navegador sumado a engaños varios y ataques provocados por lo que se denomina la ingeniería social, eso tienen que tenerlo claro los que se preocupen por la seguridad de sus datos personales, bancarios, privacidad, etc, etc. Es por ello que el uso de un antivirus junto a un firewall (que por cierto, el firewall de aplicaciones de Leopard para mi es mucho peor que el de Tiger) además de la puesta en marcha de unas normas básicas de seguridad son más que necesarias hoy en día.

Estad tranquilos, Mac OS X sigue siendo un sistema muy seguro, creo que no exagero si digo que tal y como viene «de serie» mucho más que Windows por su gestión de cuentas de usuario, permisos de ficheros y servicios corriendo en el sistema, también ayudado por una arquitectura con su robusto núcleo Unix etc, etc. Pero sobre todo, hablando de ataques de virus «tradicionales», por la escasa cuota de mercado que tiene (en aumento) que no lo hacen muy rentable para la industria del malware (software malicioso) pero algo está cambiando…

Ahora bien ¿Cúal es el eslabón más débil de la cadena de la seguridad?

El usuario final y es Apple también quien tiene que ayudar a crear una atmósfera de responsabilidad en estos temas.

Esta entrada va dedicada a esos 20.000 que han descargado esa copia ilegal y troyanizada de iWork 09 y a otros muchos que podrían caer en el engaño, hay lógicamente muchos usuarios de Mac OS X que se toman muy en serio la seguridad de sus equipos y toman las medidas oportunas para evitar hechos como este, pero creo que es una labor de todos concienciarnos ya que seguramente, con uno de esos antivirus a los que aludo, lo hubieran detectado.

En el campo de la seguridad informática, la confianza ciega es sólo eso, algo que nos ciega…

Por David Hernández (Dabo)

Más información (Intego) en Inglés.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

En tiempos de crisis, las empresas ven en el teletrabajo una forma rápida de ahorrar costes y con ello los riesgos para su seguridad aumentan. La consultora Ernst & Young en un reciente estudio afirma que esos beneficios pueden ser superados por las pérdidas ocasionadas por unas malas prácticas respecto a la seguridad de la información.

Realmente, todo esto puede sonar un tanto antiguo como bien aclara Scott en Security Views (fuente) porque llevamos muchos años hablando de lo mismo en Daboweb. Pero no está de más recordarlo y he querido traducirlo  ya que por mucho que hablemos de estos temas, nunca es suficiente y si tienes una empresa en la que algunos empleados trabajan remotamente a través de una intranet corporativa o si tu mismo eres uno de ellos, deberías tener en cuenta estos aspectos.

5 formas de fomentar un teletrabajo más seguro;

1 – Antivirus, antispyware y políticas de filtrado a través de Firewalls. Como todos sabemos, ciertos virus que entran en los ordenadores personales que tienen en su hogar esos empleados, pueden llegar a propagarse fácilmente a través de las redes corporativas infectando a otros trabajadores y en algunos casos a los servidores de la empresa. Las empresas deberían preocuparse de dotar a sus empleados de buenas soluciones contra el malware y proporcionar medios eficientes de filtrado (bien por software, hardware o una combinación de ambos) así como de proporcionar regularmente las últimas versiones y parches del sistema operativo que usen.

2- Instalación de software y políticas de actualización. Se hace una llamada de atención a los potenciales riesgos del mal uso de programas P2P a través de los cuales puedan romper la seguridad de esos equipos (y aclaro, de uso totalmente legal por mucho que alguno quiera hacernos ver otra cosa-;) y también se habla del software no actualizado y los peligros que conlleva aconsejando el uso por ejemplo de Secunia PSI (sólo para Windows) para detectar ese software desfasado y ayudar a que esos empleados trabajen en entornos más seguros.

3- Otro tema a tener en cuenta es la política de acceso a redes inalámbricas desde el hogar de esos empleados. Si no se accede a Internet con unas mínimas medidas de seguridad por esas redes Wi-fi, la información que viaja por la red puede ser sensible a ser capturada por técnicas de «sniffing» quedando expuesto contenido sensible así como contraseñas y datos personales del usuario. (Sobre este punto y para realizar una traducción más completa, añado que es muy importante que el correo electrónico vaya cifrado bajo SSL o similar aunque se podría añadir tanto que haría esta entrada interminable-;).

4- Papel, medios de almacenamiento y políticas de eliminación. Los usuarios deberían estar obligados a realizar un seguimiento de los medios de comunicación electrónicos y en papel, se recomienda el uso de destructoras de papel (de costes ahora más reducidos) para mantener la información corporativa sensible a salvo de algunos que buscan «hasta en la basura» (que por cierto sigue siendo una técnica tan usada como efectiva para obtener información). Se hace una llamada de atención al almacenamiento de documentos, disquetes o CD’s, los cuales deben ser colocados en recipientes o gabinetes bajo llave. (Añado también que la información que contienen los discos duros debería estar protegida mediante cifrado o bajo el uso de unidades externas por ejemplo con protección por huella dactilar).

5- Para acabar, recordar que por mucho que se apliquen todas las medidas posibles y políticas de seguridad para evitar sufrir pérdidas y accesos no deseados a esa información, una «navegación responsable» es la mejor compañera así como el uso de sentido común. Añado también que la formación en la empresa sobre buenas prácticas de seguridad es fundamental, así como una actitud responsable de los empleados del uso de los sistemas corporativos no olvidando que en manos de todos, está reducir ese 90 % de Spam que acompaña a todo el correo electrónico que circula por la red. También y por básico que parezca, añado que el cambio frecuente y uso de contraseñas seguras es la primera medida a tener en cuenta. (Eso y…no dejarlas pegadas en un papel en la pantalla-;).

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Desde hace unos años, rkhunter se ha convertido para mi en una herramienta imprescindible, puedes usarlo en un servidor web o en tu ordenador personal como una forma más de  asegurarlo. A continuación, os daré algunos detalles sobre sus funciones o uso.

Esta ligera y potente aplicación con licencia GPL, está ideada para detectar puertas traseras en tu sistema o alertar de actividades sospechosas en el mismo.

Se puede lanzar también al programador de tareas (Cron) para que realice una comprobación diaria de la integridad del sistema, además, puede configurarse para que te envíe un mail con el resultado del scan.

Realiza entre otras las siguientes operaciones (consulta la ayuda);

Análisis del disco duro en busca de los rootkits más comunes.

Comparaciones de hashes MD5.

Busca ficheros que son usados habitualmente por rootkits.

Realiza un análisis de ficheros binarios y los que se hayan movidos de su lugar habitual.

Busca cadenas sospechosas en módulos como LKM y KLD.

Módulos de Apache así como su configuración.

Interfaces funcionando en modo promiscuo (posibles sniffers).

Aplicaciones a la “escucha” que usen la librería libcap.

Ficheros que hayan sido borrados recientemente y los ocultos.

Llo más normal es ejecutar un rkhunter -c (check all, análisis completo) pero recordad ejecutar un rkhunter –update al menos semanal para que actualice las firmas de malware y toda su base de datos de detección para estar al día con todas las amenazas que van surgiendo.

Para su correcto funcionamiento, requiere un Shell Bash o Korn y algunos módulos de Perl que encontrarás en la mayoría de las distribuciones seguramente ya instalados.

Rkhunter está disponible para entornos GNU/Linux, Unix, BSD o Solaris.

De todos modos hay que ser un tanto paciente con las alertas que devuelve una vez finalizado el análisis ya que en ocasiones puede dar algún «falso positivo» y hacer sonar la voz de alarma, os recomiendo documentaros bien y buscar información al respecto antes de eliminar cualquier fichero sospechoso.

Para instalarlo, además de poder bajar el código fuente y compilarlo, la forma más sencilla es vía apt-get install rkhunter.

Os recomiendo también ChkRootkit que viene a realizar unas funciones parecidas con mucha efectividad.

Sitio web de Rkhunter | | En SourceForge | En Freshmeat |

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

No se ha revelado el nombre del protagonista del post (es un desarrollador Chino) ni tampoco el nombre del programa creado por el mismo autor, que  según Trend Micro (ENG), es susceptible de ser afectado por un Rootkit.

La cuestión es más preocupante si hablamos de un software que estaría destinado para gestionar la «Arquitectura de Seguridad de Información en la Empresa« (EISA + info en Wikipedia), de ahí el «WTF» (What The Fuck) o un «Hay que joderse» con la mala suerte o malas prácticas programando de este desarrollador.

Pero si además añadimos el hecho de que este «gafado» personaje es el responsable del segundo rootkit conocido de Sony (¿os acordáis? (ENG) el llavero USB MicroVault USM-F para leer huellas dactilares) el asunto cobra otra dimensión…Este programa se ejecuta en sistemas Windows y se habla de varios procesos ejcutándose que no son visibles por el usuario (winpop.exe, xhound.exe y xtsr.exe) y de un directorio donde se almacenan los registros que  también permanece oculto (C: \ XLog,) que puede ser una vía de futuros ataques por parte del mismo malware que se intenta evitar…

Trend Micro lo ha etiquetado como HKTL_BRUDEVIC dentro de la categoría «Hacking tools» y se ha puesto en contacto con los responsables del producto para que solventen el bug lo antes posible y alguno se pregunta ¿En que proyectos más habrá intervenido nuestro «gafado» protagonista?

Vía | The Security Eunoia

Por David Hernández (Dabo)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

En seguridad informática se denomina «falso positivo» refiriéndonos a un virus al fallo en la detección por parte del antivirus y precisamente de eso os quería hablar.

No sé si conocéis ALERTVIR, es como una especie de cliente tipo RSS gratuito para Windows que os proporciona información en tiemp real sobre todo tipo de malware y quien está detrás de este software es el el Instituto Nacional de Tecnologías de la Comunicación (INTECO) junto a la Asociación de Internautas.

Dos entidades entiendo libre de toda sospecha, o no…por lo que se puede comprobar a continuación.

Según informó en su día Bernardo Quintero de Hispasec, esta aplicación creada para mantenernos al día de la basura electrónica que pulula por la red, ha sido catalogada como un virus ¿? por nada menos que 26 de 35 antivirus según «Virus Total» (os recomiendo ver la lista)

Concrétamente, las soluciones gratuitas son lás que más «falsos positivos» se han tragado ,aunque hay otras muchas de pago. Aclarar que esto no es algo con lo que se deba generalizar, pero en este caso es así.

Incluso, en la sección de descargas de ALERTVIR avisan de que ciertos antivirus pueden considerarlo como un software espía por la similitud que tiene con algunos de ellos, concretamente dicen;

» El problema parece radicar en que ALERTVIR se puede comparar por su forma de actuar a un programa de Publicidad ya que realmente se conecta a un servidor externo cada cierto tiempo»

Estoy totalmente de acuerdo con Bernardo Quintero en que ese aviso más bien parece una excusa elegante para no dejar a la altura del barro a ciertas compañías de antivirus (no todas lógicamente) que por lo que se ve, no se molestan mucho en comprobar o analizar el archivo y mucho me temo que, amparándose en «eso de la heurística» que aplicado a este caso puede ser que sólo por usar un packer (UPack) que comprime el ejecutable, ya es considerado como un vector de alto riesgo ¿?.

Han probado a hacer el mismo análisis descomprimiendo el «.exe» y (¡qué cosas!) sólo es catalogado como un virus por 5 de ellos…de ahí los nombres que le asignan del tipo «Sus/ComPack-K, Packed/Upack».

Vaya que si eres programador ten cuidado con no hacer una aplicación empaquetada y que cada cierto tiempo se conecte a un servidor externo para recopilar y recibir información no sea que vaya a ser bloqueada por toda la élite del mundo mundial anti-vírica.

Y muy cansados tienen que estar en la Asociación de Internautas de esos falsos posiitivos cuando publican el pasado día 14 este artículo. ¿Qué puede indicar eso? que si la información original de Bernardo Quintero en el Blog de Hispasec data del 27 de Agosto, la tendencia es la misma casi tres meses después y muchos usuarios se estarán quejando…

Así que ya sabes, viendo estas formas de catalogar como un virus a un programa que ayuda a combatirlos, no quieras saber que sucede con «los de verdad». Nunca está mal tener a mano un buen backup por si los antivirus las moscas -;).

Y añado, en nuestro foro de seguridad un usuario ha sufrido en sus propias carnes el desastre de AVG que consideraba un archivo del sistema (USER32.DLL) como un troyano y lo borraba alegremente…

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.