Protegemos su Mundo Digital Informe General de Amenazas 2007 www.eset.com ESET - Informe General de Amenazas del 2007 1 Llegamos al cierre de otro año en el que a muy pocas personas se les puede haber pasado por alto las plagas de códigos maliciosos, la cantidad desbordante de correos electrónicos fraudulentos y la creciente corrupción de nuestro mundo en línea, que han convertido al año 2007 en uno de los más extraordinarios de la historia del malware. Desde la fundación de ESET en 1992, surgieron muchos tipos de amenazas, evolucionaron y, en ciertos casos, volvieron a desaparecer. El 2007 no fue una excepción; como empresa, hemos tenido que crecer y evolucionar para encontrar formas innovadoras de combatir esas amenazas. Para cerrar este año emocionante – quizá demasiado emocionante en algunos aspectos – decidimos hacer una retrospectiva para reflexionar sobre los retos y triunfos de los últimos meses. ESET cuenta con una base de datos única para explotar y analizar, recopilados a través de nuestra tecnología ThreatSense.Net®, que reúne información sobre amenazas de códigos maliciosos, en particular sobre nuevas amenazas detectadas por heurística. La información es enviada por nuestros clientes (con su consentimiento explícito, por supuesto) a nuestro Laboratorio de Amenazas. Este proceso nos permite reconocer las nuevas amenazas instantáneamente y recopilar estadísticas sobre la efectividad de nuestra detección. De este modo, logramos obtener un panorama completo del malware en constante evolución en el “mundo real”. ThreatSense.Net no sólo nos permite mejorar constantemente nuestros productos por medio del análisis de datos, alcanzando una detección perfeccionada, sino que también nos permite compartir nuestra perspectiva de las tendencias y avances del año con el resto del mundo. Es evidente que el nuevo año nos presentará más desafíos. Pero hay una tendencia clara: al momento de lidiar con las enormes cantidades de códigos maliciosos y la rápida propagación que vemos hoy, cada vez más personas notan que la detección proactiva de programas maliciosos constituye un componente imprescindible en la estrategia de defensa. En ESET, sabemos que la mera predicción y seguimiento de tendencias no constituyen recursos suficientes para asegurar la protección de nuestros clientes y continuaremos basándonos en nuestros valores principales, quedando siempre al frente de las evaluaciones comparativas gracias a la consistencia de nuestra innovación tecnológica. Como somos exitosos pioneros en técnicas heurísticas, ¡pueden confiar plenamente en que nos aseguraremos de vencer el reto de lo impredecible! Al leer este informe, hay que tener en cuenta que la información no está limitada a la perspectiva de ESET, sino que también refleja lo ocurrido a nivel mundial durante los últimos doce meses. Como sucede con las acciones y valores, las tendencias pasadas de las amenazas informáticas no conforman pronósticos suficientes sobre los procesos futuros: no obstante, podemos estar seguros de una cosa. Aunque las amenazas cambien y surjan otras nuevas, seguirán existiendo códigos maliciosos mientras tanto existan computadoras para ser atacadas y explotadas, y usuarios para hacer el papel de víctimas. Además, mientras más plataformas empiecen a ser de uso corriente, inevitablemente serán utilizadas como medio de explotación. Vale la pena recordar que muchas amenazas de códigos maliciosos explotan al usuario y no a una plataforma en particular. El phishing (fraude informático), por ejemplo, no corresponde únicamente al entorno de un solo sistema operativo. Esperamos que la lectura de este informe resulte interesante y estaremos encantados de recibir sus comentarios. Por favor, escríbanos a [email protected]. Le deseamos un buen viaje a través de 2008, y quédese tranquilo: haremos todo lo que esté a nuestro alcance para Proteger su Mundo Digital. El Equipo de Investigación de ESET 1-866-343-ESET (3738) www.eset.com 2 Tabla de Contenidos Página Introducción y Nociones generales 3 Las diez amenazas principales propagadas por el correo electrónico Imagen 1: Comparativa de las 10 amenazas principales de 2007 Tabla 1: Significado de los nombres Proporción de mails infectados en el total de mensajes controlados Descripciones de las amenazas • Win32/Stration • “Probablemente desconocido NewHeur_PE virus” • Win32/Netsky.Q • Win32/Nuwar.gen • Win32/Fuclip • Win32/Nuwar Imagen 2: Top 10 de VirusRadar de los principales malware 4 4 5 5 6 6 6 6 6 7 7 8 Resumen de Tendencias de 2007 • Los diez malware principales de Enero del 2007 • Otros evento de Enero • Los diez malware principales de Febrero del 2007 • Otros eventos de Febrero • Los diez malware principales de Marzo del 2007 • Otros eventos de Marzo • Los diez malware principales de Abril del 2007 • Otros eventos de Abril • Los diez malware principales de Mayo del 2007 • Otros eventos de Mayo • Los diez malware principales de Junio del 2007 • Otros eventos de Junio • Los diez malware principales de Julio del 2007 • Otros eventos de Julio • Los diez malware principales de Agosto del 2007 • Otros eventos de Agosto • Los diez malware principales de Septiembre del 2007 • Otros eventos de Septiembre • Los diez malware principales de Octubre del 2007 • Otros eventos de Octubre • Los diez malware principales de Noviembre del 2007 • Otros eventos de Noviembre • Los diez malware principales de Diciembre del 2007 • Otros eventos de Diciembre 9 10 12 13 13 14 14 15 16 17 17 18 18 20 20 21 21 22 23 24 25 26 26 27 27 Más malware de interés Conclusión Recursos y lecturas complementarias Glosario Acerca de ESET Acerca de ESET NOD32 Antivirus y ESET Smart Security Acerca de ThreatSense® 29 30 31 32 35 35 35 ESET - Informe General de Amenazas del 2007 3 Introducción y Nociones generales La línea de productos de ESET tradicionalmente se ha centrado en la detección y eliminación de todo tipo de códigos maliciosos, aunque se nota al leer este documento que se hace bastante más que eso y que el alcance de los productos tiene una versatilidad cada vez mayor. Aún así, las fuentes de datos que utilizadas para poder ofrecer este resumen siguen centralizándose en el malware; por lo tanto, no se hará más que una referencia superficial a otros fascinantes fenómenos relacionados a la seguridad y a temas que han predominado en el año, como los siguientes: • El uso de archivos PDF de Adobe Acrobat y otros objetos con menús gráficos fáciles de usar, como las hojas de cálculo de Excel, en campañas de envío de correos electrónicos no deseados y estafas bursátiles, conocidas como fraudes pump and dump. • El surgimiento de Windows Vista de Microsoft y las reñidas discusiones sobre sus mejoras de seguridad. • La creciente atención que tanto los especialistas de seguridad como los crackers le han dado a las tecnologías Web 2.0 (tecnologías y plataformas colaboradoras, como wikis, blogs, entre otras), así como a mundos virtuales como Second Life y a redes sociales como Facebook, MySpace, Ning y Linkedin. • La diversificación continua y la sofisticación cada vez mayor de la tecnología y topología de las redes botnets. • La constante transición desde los programas maliciosos replicativos (virus y gusanos) hacia otras formas de códigos maliciosos (backdoors, keyloggers, troyanos bancarios) y desde la creación de virus como recreación hacia su desarrollo profesional con objetivos delictivos. • El reconocimiento por parte de desarrolladores, investigadores y evaluadores de programas antimalware del hecho de que las pruebas comparativas y las certificaciones no sólo deben incluir las evaluaciones de códigos maliciosos conocidos, sino también metodologías más demandantes diseñadas para probar la capacidad que posee un producto de usar el análisis de comportamiento, la heurística y otras formas de detección proactiva y dinámica en lugar de centrarse exclusivamente en la detección específica de programas maliciosos por medio de las firmas de virus. Para elaborar este resumen, hacemos uso de las fuentes de datos que empleamos continuamente para mantener y mejorar el alcance de nuestros productos. En particular, VirusRadar.com recopila datos sobre programas maliciosos propagados por el correo electrónico, mientras que nuestra tecnología ThreatSense.Net® recopila automáticamente información sobre todo tipo de amenazas conocidas y desconocidas que son detectadas por la heurística y reenviadas de inmediato a nuestro Laboratorio de Investigación de Amenazas. Estos datos cumplen la función principal de darnos una ventaja en el mercado de seguridad informática al permitirnos mejorar la capacidad de detección de nuestros productos, para que no sólo sigamos detectando programas maliciosos sino también amenazas totalmente nuevas, gracias al perfeccionamiento continuo de las tecnologías de detección proactiva. Esperamos que esta breve mirada a la esencia de nuestra tecnología y a lo que hemos recopilado en los últimos doce meses le resulte interesante, informativa y útil. 1-866-343-ESET (3738) www.eset.com 4 Top 10 de malware propagado por e-mail VirusRadar.com es un proyecto creado por ESET y sus Partners para efectuar análisis estadísticos y de control de los códigos maliciosos propagados a través del correo electrónico. A continuación, presentamos las diez amenazas principales del año 2007, según los datos obtenidos por VirusRadar. Los valores indican la cantidad de instancias registradas hasta el 10 de diciembre de 2007 y luego se da una explicación de las amenazas mencionadas. Nombre bajo el cual ESET detecta el código malicioso Cantidad de detecciones “Variante de Win32/Stration.XW” 11,608,228 “Probablemente virus desconocido NewHeur_PE” 4,184,672 Gusano Win32/Netsky.Q 3,355,513 Gusano Win32/Nuwar.gen 2,965,119 Troyano Win32/Fuclip.B 1,740,631 Gusano Win32/Stration.XW 1,300,049 “Variante del Gusano Win32/Stration.WL” 760,689 “Probablemente una variante del gusano Win32/Nuwar” 745,021 Gusano Win32/Stration.WC 668,624 “Variante del Gusano Win32/Stration.QQ” 585,736 Otras detecciones de malware registrados: 5,895,524 Imagen 1: Proporción comparativa de las 10 amenazas principales del 2007 Nota: En el momento de la captura de datos, 1.142 amenazas individuales fueron identificadas por VirusRadar. Hay información más actualizada disponible en: http://www.virusradar.com/stat_01_current/ index_all_c12m_esn.html. ESET - Informe General de Amenazas del 2007 5 Tabla 1 Significado de los nombres “Variente de Win32/Stration.XW” Detección de un programa malicioso muy similar al gusano Win32/Stration.XW. “Probablemente desconocido NewHeur_PE virus” Detección heurística (ver glosario) de un programa malicioso desconocido. Win32/Netsky.Q Detección específica de un gusano de Internet. Win32/Nuwar.gen Detección genérica de una variante del gusano Nuwar. TroWin32/Fuclip.B Detección específica del troyano Fuclip.B. Win32/Stration.XW Detección específica de una variante en particular del gusano Stration. “Variante de Win32/Stration.WL” Detección genérica de un código malicioso muy similar a una variante del gusano Stration. “Probable variante de Win32/Nuwar worm” Detección de un código malicioso muy similar a una variante del gusano Nuwar. Win32/Stration.WC Detección de un programa malicioso muy similar a una variante del gusano Nuwar. “Variante de Win32/Stration.QQ” Detección genérica de un programa malicioso muy similar a una variante del gusano Stration. Proporción de mails infectados en el total de correos electrónicos controlados Nuestras cifras indican que de una muestra de 4.251,9 millones de mensajes controlados durante el período entre el 1 de enero del 2007 y el 10 de diciembre del 2007, 33,8 millones de mensajes tenían contenido malicioso en forma de archivos maliciosos adjuntos o de vínculos a un sitio web que posee códigos maliciosos. Es cierto que la cantidad de mensajes que controlamos ni siquiera se acerca al total de todos los correos electrónicos enviados en todo el mundo; sin embargo, es una muestra suficientemente extensa para formarnos una idea de lo que ocurre a nivel mundial. Naturalmente, existen ciertas cosas que no podemos controlar, por ejemplo, no sabemos cuántos mensajes infectados fueron interceptados por otros sensores antes de llegar a los servidores que nosotros controlamos, pero es un problema que tienen todos los vendedores de soluciones de seguridad. Tampoco podemos saber qué proporción de mensajes no infectados constituyen correos no deseados molestos, pero “inofensivos” que no transportan ningún contenido malicioso evidente: para averiguarlo, hace falta la puesta en marcha de una serie de herramientas completamente diferentes y aún así, el envío indiscriminado de correos no deseados no se puede medir con la misma precisión que el contenido de mensajes con programas maliciosos porque, hasta cierto punto, el destinatario es quien define qué correo electrónico es correo no deseado y no la comunidad de seguridad informática. A pesar de todo, las estadísticas brindan la tranquilidad de que nuestra detección proactiva de nuevas amenazas – ya sea por su semejanza a amenazas conocidas usando firmas genéricas como por sofisticadas técnicas heurísticas que identifican códigos maliciosos totalmente nuevos – sigue siendo tan sorprendentemente efectiva como lo esperan nuestros clientes. 1-866-343-ESET (3738) www.eset.com 6 Descripciones de las Amenazas Informáticas Win32/Stration La amenaza Stration ha estado en circulación desde mediados del 2006. Este programa malicioso de correo masivo se usa para enviar mensajes de correo electrónico no solicitado (spam). Por lo general, llega en un archivo adjunto del mensaje e intenta hacerse pasar por un archivo de texto normal modificando su icono propio. Hemos visto variantes del Stration que también utilizan los programas de mensajería instantánea MSN Messenger o Skype para enviar copias de sí mismos. Stration envía correos masivos con un pequeño archivo ejecutable que, cuando el usuario lo abre, descarga componentes adicionales de sitios web registrados por los mismos creadores. Los creadores del Stration han registrado decenas de sitios web para actualizar sus redes de los equipos anfitriones comprometidos. También se usan los servidores para insertar el contenido de los correos electrónicos no solicitados y los objetos a infectar en todos los nodos de la red antes de iniciar la propagación. Las variantes del Stration usan diversas estrategias para convencer al usuario de que su computadora no se encuentra infectada. Por ejemplo, si intenta abrir un archivo ejecutable que se hace pasar por un archivo de texto, se le mostrará un mensaje de “Error desconocido”, para cubrir el hecho de que en realidad no aparecerá ningún texto en el Bloc de notas. Otros nombres comunes para referirse a esta amenaza son Warezov y Strati. “Probablemente desconocido NewHeur_PE virus” Este rótulo indica que el mecanismo de Heurística Avanzada (ver glosario) implementado en ESET NOD32 llegó a la conclusión de que el archivo era malicioso. El rótulo no se usa para identificar una familia de malware en particular; indica la detección proactiva de amenazas informáticas que no se han visto antes ni fueron clasificados. La gran cantidad de detecciones en esta categoría demuestra la sobresaliente efectividad de nuestra tecnología heurística. Win32/Netsky.Q Es una variante muy común de un gusano de Internet que se difunde a través de mensajes de correo electrónico, redes P2P (entre pares, o “peer-to-peer”) o unidades compartidas de red. En general, se propaga como un archivo adjunto en los correos electrónicos, usando la extensión .pif ó .zip. Es capaz de explotar una vulnerabilidad en las copias de Internet Explorer 5.x a las que no se les instalaron los parches correspondientes y las que permiten la ejecución del código malicioso cuando la víctima abre el mensaje o su vista previa, incluso cuando el archivo adjunto no es abierto. Se puede identificar a este programa malicioso por otros nombres, entre los que se encuentran: Netsky.P, I-Worm. NetSky.q, W32.Netsky.P@mm o WORM_NETSKY.GEN. Al ejecutarse, el programa genera un archivo con extensión .dll empaquetado con el compresor UPX. El correo electrónico parece haber sido enviado por un remitente conocido por el destinatario, pero en realidad la dirección está falsificada. El gusano encontró el nombre del supuesto remitente buscando en varios tipos de archivos del disco rígido de una computadora infectada previamente. El asunto y el cuerpo del correo electrónico varían considerablemente. El gusano crea archivos en el sistema infectado y manipula el registro de Windows agregando entradas. Tiene incorporado un motor SMTP que le permite enviarse a sí mismo a las direcciones encontradas en el sistema infectado cada vez que haya una conexión a Internet activa. A veces provoca ataques de denegación de servicio (DoS) contra sitios web específicos. El hecho de que un programa relativamente antiguo que envía correos masivos haya seguido circulando durante tanto tiempo constituye un mensaje perturbador sobre la cantidad de usuarios y sitios que no cuentan con la protección adecuada contra los programas maliciosos y sobre la continua necesidad de contar con detección por firmas de virus para identificar y eliminar códigos maliciosos conocidos, a pesar de los avances en la detección heurística y en los análisis de comportamiento. ESET - Informe General de Amenazas del 2007 7 Win32/Nuwar.gen Los sitios web utilizados para distribuir variantes del Nuwar (ver notas sobre Win32/Nuwar) ponen en circulación una nueva versión del programa malicioso cada treinta minutos. Para garantizar la detección de cada variante de esta amenaza se utiliza una firma genérica en lugar de firmas individuales para cada una de las variantes. El rótulo Nuwar. gen identifica muestras que han sido detectadas basándose en la firma genérica para la familia de gusanos Storm Worm, y no en la detección específica de una variante o subvariante particular. Win32/Fuclip El nombre Fuclip es una abreviación que proviene del inglés “Full Clip” (“video completo”). Este programa malicioso formó parte de la primera ola de infección de Nuwar. ESET NOD32 detecta los archivos en las unidades del sistema creados por Nuwar en su intento por ocultar su presencia mediante técnicas de rootkits y de componentes como Fuclip. La variante Fuclip.B se ha enviado como correo masivo con una gran diversidad de mensajes y algunos de los asuntos tenían la siguiente modalidad de noticias (todos aparecían en inglés): 230 muertos tras tormenta que azota Europa Genocidio de musulmanes británicos Secretaria de Estado de los E.E.U.U. Condoleezza Rice golpeó a la Canciller alemana Ángela Merkel Hugo Chávez muerto Musulmán radical bebe sangre enemiga ¡Sadam Hussein sano y salvo! ¡Sadam Hussein vivo! Fidel Castro muerto. Con frecuencia, Fuclip descarga un archivo de Internet y lo ejecuta. El archivo puede ser utilizado para controlar la computadora infectada en forma remota o para ocultar su presencia en el sistema, usando las técnicas comunes de rootkits. Win32/Nuwar Nuwar, también muy conocido como el gusano Storm Worm (a pesar de ser un troyano, en lugar de un gusano), llega a la computadora personal como un archivo adjunto en un correo electrónico o se descarga cuando un usuario visita un sitio web con programas maliciosos. Los creadores del Nuwar utilizaron decenas de estrategias distintas de Ingeniería Social para engañar a los usuarios y lograr que seleccionen el vínculo malicioso que les llegó en el correo electrónico o que abran el archivo adjunto. Al parecer, el propósito principal de este programa malicioso es crear una poderosa red de computadoras comprometidas que se comporten como zombis (una botnet). Se ha utilizado para enviar información relacionada al fraude bursátil “pump and dump” y también para instalar programas maliciosos adicionales con el objetivo de robar datos bancarios de las computadoras comprometidas. Nuwar es único porque sus programadores y los administradores de las botnets, con quienes trabajan, le prestan suma atención al mantenimiento de las botnets y lanzan actualizaciones frecuentes para evadir los sistemas de detección de programas antimalware. Otros nombres de uso común para esta amenaza son: Peacomm, Zhelatin y Tibs, y aparece en la lista de programas maliciosos comunes como CME-711, en el sitio web Common Malware Enumeration (http://cme.mitre.org). 1-866-343-ESET (3738) www.eset.com 8 Imagen 2: Listado de VirusRadar de los 10 malware principales según el tipo de detección Detección específica de códigos maliciosos 7,064,817 Detección por firmas genéricas 16,604,793 Detección heurística 4,184,672 La “detección específica de códigos maliciosos” denota que se ha identificado un programa malicioso que ya conocemos. La “detección por firmas genéricas” denota que se ha identificado un programa malicioso que se asemeja mucho a una variante de un programa malicioso conocido o que pertenece a una familia de programas maliciosos. La “detección heurística” denota que se ha identificado un programa malicioso que no se asemeja a los programas maliciosos existentes. Las cifras obtenidas por VirusRadar demuestran que la detección de amenazas nuevas (y de nuevas versiones de amenazas antiguas) es al menos tan importante en los programas de seguridad como la detección tradicional basada en firmas de virus. Consideramos que nuestra heurística es la mejor de la industria y cuando usted vea las tendencias de las amenazas y la tecnología de seguridad a lo largo del año, notará que varios expertos de la industria están de acuerdo con nosotros. ESET - Informe General de Amenazas del 2007 9 Resumen de Tendencias del 2007 Esta sección muestra las tendencias de cada mes desde enero hasta diciembre del 2007. La mayoría de los datos presentados fueron extraídos de ThreatSense.Net®, intercalados con otra información de interés más general. Mientras que VirusRadar.com controla los correos electrónicos, los datos de ThreatSense.Net® están basados en muestras enviadas automáticamente a nuestro Laboratorio de Investigación de Amenazas por los clientes que desean participar, por lo tanto, no se restringen a las amenazas distribuidas en correos electrónicos. 1-866-343-ESET (3738) www.eset.com 10 Enero Imagen 3: Los diez programas maliciosos principales en enero del 2007 Win32/Adware.Boran Adware.Boran no es un virus: entra en la categoría que los fabricantes de soluciones de seguridad con frecuencia denominan Programas o Aplicaciones potencialmente indeseables. Después de que se instala a sí mismo, el programa abre ventanas emergentes de publicidades y es posible que redirija algunas de las solicitudes hechas a la web a sitios de terceros. También se lo conoce con el nombre Adware.Win32.Agent. Este programa intenta contactar una gran cantidad de sitios para buscar datos sobre actualizaciones. Además cambia la información en el registro de manera que se carga automáticamente cada vez que se inicia el sistema operativo. Win32/RJump.A RJump es un gusano de Internet que presenta características de un troyano, ya que abre una puerta trasera en el sistema infectado y envía información sobre la computadora comprometida. Se propaga copiándose a unidades externas, como discos rígidos, cámaras digitales, celulares y memorias USB. A veces también se lo conoce por los siguientes nombres: Backdoor.Rajump, W32/Jisx.A.worm, W32/RJump.A!Worm, WORM_SIWEOL.B. Win32/Brontok Es un programa malicioso con características de un programa de puerta trasera (backdoor), se difunde por medio de los correos electrónicos y recursos compartidos en red. Utiliza su propio motor SMTP para enviar mensajes de correo electrónico con archivos adjuntos que usan las siguientes extensiones: .ASP, .CMF, .CSV, .DOC, .EML, .HTM y .HTML, .PHP, .TXT, y .WAB. También crea archivos de sistema y modifica algunas entradas en el registro. ESET - Informe General de Amenazas del 2007 11 Nuwar (Storm Worm) Este programa malicioso ha atraído la atención de los medios desde enero, ya que se propagó al hacerse pasar por una noticia sobre el fuerte temporal Kyrill. Las razones son muchas. En primer lugar, fue una de las primeras amenazas de gran alcance que utilizó redes P2P como mecanismos de comunicación de comando y control (C&C o Command and Control), a pesar de que los bots han estado usando las redes P2P aproximadamente desde el 2003. El hecho de que Nuwar se comunique en una red descentralizada hace que sea muy difícil estimar la cantidad de equipos anfitriones infectados. Algunos investigadores aseguraron que existen más de un millón de equipos infectados, mientras que investigadores de Microsoft sugirieron que las máquinas comprometidas son sólo un par de cientos de miles. El objetivo principal de esta amenaza es construir una botnet sólida y confiable (una red de computadoras anfitrionas comprometidas). La botnet del Storm Worm se ha utilizado para enviar correos electrónicos con fraudes bursátiles “pump and dump”, correos no deseados, correos electrónicos de auto propagación e incluso troyanos bancarios, diseñados para robar información de cuentas bancarias. Los creadores del Storm Worm han usado una variedad de tácticas de Ingeniería Social para atraer a los usuarios a visitar sitios web maliciosos y comprometer así sus sistemas. La siguiente tabla muestra una lista de los temas de Ingeniería Social utilizados con este propósito. La duración del uso de las técnicas demuestra que los creadores cuentan con medios para controlar la efectividad de cada una de las maniobras, lo que contribuye a la mejor propagación e infección. Ajustan las estrategias en respuesta a los resultados obtenidos para incrementar el rendimiento y efectividad de su botnet. Tipo Período Noticias aterradoras o de actualidad Diciembre del 2006 a mayo de 2007 Tarjetas electrónicas Junio a agosto del 2007 Postales electrónicas Agosto del 2007 Soporte técnico (envío de parches o conexiones a redes Agosto del 2007 (un día solo) privadas virtuales) Versiones de prueba de programas Agosto del 2007 (un día solo) Videos Agosto a septiembre del 2007 Día del trabajo Septiembre del 2007 (un día solo) Privacidad (Tor, o red de anonimato) Septiembre del 2007 (un día solo) Temporada de la Liga de Fútbol Americano Septiembre del 2007 Descarga de videojuegos clásicos Septiembre a octubre del 2007 Además de cambiar las estrategias de Ingeniería Social, los creadores de Nuwar crean actualizaciones de los programas con frecuencia. Los sitios web que utilizan para distribuir los programas maliciosos tienen un archivo diferente cada 30 minutos. En general, la diferencia entre los archivos es mínima, pero es suficiente para evadir los patrones de firmas en los que se basan la mayoría de los programas antivirus. El marco de comando y control en el que opera Nuwar es completamente descentralizado y depende del protocolo Overnet para encontrar los recursos necesarios para infectar computadoras. Por ejemplo, un equipo anfitrión infectado explorará las redes entre pares (P2P) para encontrar sitios de actualización desde donde bajar las nuevas versiones del programa malicioso. Nuwar también usa la red de pares con el objetivo de recibir información e instrucciones relacionadas a los correos no deseados que debe diseminar y de especificar los objetos para ataques de denegación de servicio distribuido (DDoS, según sus siglas en inglés). La información transmitida por la red siempre es confusa y oculta, y utiliza el algoritmo de cifrado RSA. Nuwar es un buen ejemplo de una amenaza moderna que utiliza tecnologías avanzadas para infectar computadoras y mantenerse firme en los sistemas comprometidos por cualquier medio que sea necesario. Su estructura sofisticada y diversificada así como su mecanismo de auto actualización provocan que distintos componentes sean detectados bajo nombres muy diversos, incluso por el mismo producto antivirus. 1-866-343-ESET (3738) www.eset.com 12 Win32/PSW.QQRob Es un keylogger capaz de robar información sobre el usuario y la computadora infectada, incluyendo contraseñas, nombres de usuario y cualquier tipo de información confidencial ingresada en cualquier documento o sitio web desde el teclado. Otros eventos en enero También en el mes de enero, el Global Islamic Media Front, la pantalla mediática de Al Qaeda, anunció la aparición del “primer programa informático islámico para intercambio seguro en Internet”. El hacker conocido como “LMH” y Kevin Finisterre explicaron en detalle lo que llamaron el “Mes de las Fallas de Apple” (http://projects.info-pull.com/moab/). El Servicio de Seguridad del Departamento de Defensa de los Estados Unidos rectificó su informe sobre las “monedas espía canadienses”: habían afirmado que los contratistas militares estadounidenses que viajaban por Canadá estaban siendo vigilados por medio de radiotransmisores diminutos insertados en monedas. Las personas empezaron a hablar sobre Julie Amero, una maestra de escuela de Connecticut llevada a juicio por no haber evitado la exposición de los alumnos a ventanas emergentes con imágenes pornográficas durante una clase. Microsoft sacó al mercado un producto llamado Vista, sobre el cual la Electronic Frontier Foundation (Fundación Fronteras Electrónicas) resaltó la existencia de ciertas restricciones preocupantes en el Acuerdo de Licencia de Usuario Final – http://www.eff.org/deeplinks/2007/01/microsofts-vista-read-fine-print. Randy Abrams, Director of Technical Education de ESET, participó en un debate sobre la coordinación de ataques zeroday en el curso dictado por Gadi Evron “Internet Security Operations and Intelligence II” (Operaciones de seguridad e inteligencia en Internet II), al que acudieron vendedores de soluciones de seguridad y de otras organizaciones, miembros del centro CERT, representantes del departamento de Defensa y del departamento de Seguridad Nacional de los Estados Unidos y especialistas en seguridad para hablar sobre cómo “arreglar” la seguridad en Internet. AV-Comparatives anunció que ESET NOD32 fue considerado el mejor producto antivirus del año 2006. ESET - Informe General de Amenazas del 2007 13 Febrero Imagen 4: Los diez programas maliciosos principales en febrero del 2007 Win32/Adware.Yisou Este programa, al parecer de origen asiático, muestra publicidades no solicitadas en ventanas emergentes con caracteres chinos. La aplicación Win32/Adware.Toolbar. SearchColours, que “emerge” en el resumen de marzo, es bastante similar. Win32/Genetik El rótulo Win32/Genetik se usa para designar todos los archivos detectados como maliciosos por la nueva técnica implementada en ESET NOD32. Esta técnica de detección usa la Heurística Avanzada para aprovechar el conocimiento acumulado durante años en nuestra base de datos de firmas genéricas. Otros eventos en febrero También en el mes de febrero, una corte holandesa sentenció a dos hackers a prisión (aunque las sentencias fueron un poco cortas) por ofensas relacionadas al uso de botnets con varios propósitos criminales, mientras que un creador holandés de spam recibió una multa de 97.000 dólares por enviar más de 90 mil millones de mensajes de correo electrónico no solicitado. En Los Ángeles, Samy Kamkar recibió una sentencia de tres años de libertad condicional y 90 días de servicio comunitario por haber creado el Superworm, que usaba la red social MySpace para propagarse. Varios artículos de noticias especularon sobre la amplia difusión de los ataques de hackers chinos. Mientras tanto, estalló la controversia sobre el caso de Julie Amero: ¿era una corruptora de menores, una ignorante incapaz de encontrar el botón de encendido de la computadora o del monitor, o la víctima de la junta directiva de una escuela que intentaba cubrir su propia incompetencia y evadir un caso de prosecución sobre falsos testimonios? ESET NOD32 obtuvo su 42º premio VB100 en una evaluación comparativa de programas antivirus en Windows Vista, realizada por Virus Bulletin. El crítico John Hawes también señaló su “impresionante velocidad, como siempre”. En el mismo mes, ICSA labs certificó el producto bajo su Programa de Certificación de Soluciones Antivirus para Windows Vista. 1-866-343-ESET (3738) www.eset.com 14 Marzo Imagen 5: Los diez programas maliciosos principales en marzo del 2007 Win32/Perlovga Perlovga es un programa muy simple que copia archivos a la carpeta %windir%, donde se replica a sí mismo como %windir%\xcopy.exe. También intenta copiar %windir%\autorun.inf a C:\autorun.inf y a veces se lo llama Trojan. CopySelf. Puede formar parte de una amenaza más importante. Win32/TrojanDownloader.Agent.AWF Perlovga es un programa muy simple que copia archivos a la carpeta %windir%, donde se replica a sí mismo como %windir%\xcopy.exe. También intenta copiar %windir%\autorun.inf a C:\autorun.inf y a veces se lo llama Trojan. CopySelf. Puede formar parte de una amenaza más importante. Otros eventos en marzo El periódico británico Daily Mail expuso una posible vulnerabilidad en los nuevos pasaportes electrónicos de Reino Unido, mientras que el Home Office (el Ministerio del Interior británico) negó la posibilidad de falsificar un pasaporte nuevo por ningún medio. El periódico Washington Post informó que hubo que apagar 2.500 computadoras del gobierno de los Estados Unidos en el condado de Anne Arundel debido a una infección de Rinbot; se informó que Al Qaeda estaba formando un complot para desmoronar el acceso a Internet de Reino Unido bombardeando el centro de comunicaciones Telehouse en Londres; y una publicación del servicio de seguridad de Microsoft describió una vulnerabilidad en los cursores e íconos animados de Windows. En ESET, el cofundador Miroslav Trnka fue nombrado el Empresario del año 2006 por Ernst & Young, y se publicó un documento informativo sobre Análisis Heurístico escrito por Andrew Lee, Chief Research Officer de ESET, y David Harley, Reseach Author. ESET - Informe General de Amenazas del 2007 15 Abril Imagen 6: Los diez programas maliciosos principales en abril del 2007 Win32/TrojanDownloader.Ani.Gen Los archivos que ESET NOD32 identifica como Win32/TrojanDownloader.Ani.Gen son archivos maliciosos de iconos que intentan explotar una falla de seguridad en el editor de iconos animados de Windows (MS07-017: ver http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx y http://www.cve.mitre.org/cgi-bin/cvename. cgi?name=CVE-2007-0038 ). Estos archivos pueden cargarse en un explorador con javascript. La falla de seguridad se ha utilizado considerablemente para descargar programas maliciosos adicionales en las computadoras de las víctimas. La actualización de seguridad de Microsoft correspondiente a abril del 2007 incluyó un parche para esta falla de seguridad. Entre los otros nombres por los que se conoce a esta amenaza se encuentran: Exploit.Win32.IMG-ANI y Trojan.Anicmoo. Win32/Pacex.Gen El rótulo Pacex.gen en general designa archivos maliciosos que usan una capa específica de ofuscación, para pasar desapercibidos ante programas antivirus. Se descubrió que esta capa de ofuscación es utilizada mayormente por los troyanos que roban contraseñas. Win32/Adware.Virtumonde Este programa frecuentemente denunciado, entra en la categoría de Programas potencialmente indeseados. Se usa para enviar publicidades a las computadoras de los usuarios y también puede ser identificado bajo el nombre Vundo. Win32/Spy.VBStat.J Spy.VBStat es un troyano que roba información, se distribuye en formato DLL y muchas veces es instalado por otro programa malicioso. También puede ser identificado por el nombre InfoStealer. 1-866-343-ESET (3738) www.eset.com 16 Otros eventos en abril En su primera edición de abril, la cadena de noticias CNET anunció que el presidente Bush había firmado una medida donde decretaba que Vista es tan complejo que presenta una amenaza a la seguridad nacional; que la Corte Suprema había anulado la Ley de Moore; y que el departamento de Seguridad Nacional planificaba controlar a los estadounidenses con cámaras de video integradas en las computadoras personales, como medida antiterrorista. De vuelta en el mundo real, Kevin Poulsen, el hacker que se convirtió en periodista, mencionó en la revista Wired que Vista no incluye una versión del protocolo telnet, una herramienta de red primitiva y algo insegura que se ha usado durante los últimos 35 años. Tradicionalmente, los programas exploradores de Internet tenían soporte para telnet, ya que pasaban los pedidos de las conexiones de telnet a las aplicaciones clientes locales de telnet. Sin embargo, el programa que habilita el uso de telnet no se encuentra presente en Internet Explorer 7. (Si uno lo desea, se puede volver a habilitar. Por cierto, sigue presente en muchos sistemas que no funcionan con Windows.) También hubo denuncias de mensajes y vínculos a fotografías “calientes” de Britney Spears que resultaron ser explotadores de las vulnerabilidades de iconos animados de Windows mencionadas arriba. Apareció una prueba de concepto de un malware (cuyo único objetivo es demostrar lo que se puede llegar a hacer) que infectaba iPods con Linux. Alex Ionescu puso en circulación una prueba de concepto de un programa que deshabilita la protección de “procesos protegidos” en Vista, como una forma de explotar la gestión de derechos digitales de Vista para ocultar programas maliciosos. Joanna Rutkowska anunció que entre julio y agosto iba a demostrar cómo evadir las técnicas de antirootkits y BitLocker en Vista durante una convención de Black Hat. Abril también fue un buen mes para bromas, como el virus de la antorcha olímpica y un supuesto virus de telefonía celular que es letal para seres humanos, de circulación en Pakistán. ESET anunció la versión beta del programa ESET Smart Security, un producto que integra un motor antimalware excepcional con control de correo no deseado y un firewall personal. ESET - Informe General de Amenazas del 2007 17 Mayo Imagen 7: Los diez programas maliciosos principales en mayo del 2007 Otros eventos en mayo La empresa española especialista en seguridad industrial Neutralbit anunció la existencia de problemas en el protocolo para control de procesos “OLE for Process Control” (OPC) que podrían indicar vulnerabilidades de explotación remota en sistemas SCADA (Control supervisor y adquisición de datos, según siglas en inglés) utilizados por estaciones de servicio, refinerías, etc. Dos hombres fueron sentenciados a servicio comunitario por poner dispositivos que funcionaban con pilas en Boston y Cambridge. Resultó ser un medio de promoción del canal Cartoon Network, pero en un principio, al ser descubiertos en puentes y estaciones de subterráneos, fueron tomados por bombas, lo que ocasionó graves obstaculizaciones de tráfico. Hubo una especulación constante de que los ataques de “ciberguerra” en Estonia se originaban en Rusia, que se encontraba en conflicto con Estonia. Verison adquirió Cybertrust, por lo que incidentalmente adquirió ICSAlabs, que se especializa en la certificación de productos de seguridad y también dirige la organización internacional Wildlist International Organization (http://www. wildlist.org). Esta organización constituye una fuerza mayor en el rastreo de programas maliciosos y su colección de muestras WildCore es un componente esencial en cualquier prueba de programas antivirus. En Reykiavik, Islandia, se llevó a cabo un taller internacional sobre la evaluación de programas antivirus, que reunió a los fabricantes antivirus y organizaciones relacionadas a las pruebas comparativas y certificaciones: Andrew Lee dio una presentación de gran aceptación sobre el momento para actualizar (Time to Update). ESET anunció su servicio de análisis gratuito en línea. 1-866-343-ESET (3738) www.eset.com 18 Junio Imagen 8: Los diez programas maliciosos principales en junio de 2007 INF/Autorun Este rótulo se usa para describir una variedad de programas maliciosos que utilizan el archivo autorun.inf para instalarse o para liberar otros archivos en el sistema. El archivo autorun.inf contiene información sobre programas que se ejecutan automáticamente, como los CD o las memorias USB. Los programas maliciosos que instalan o modifican archivos en autorun.inf son detectados por ESET NOD32 con el nombre Autorun/INF. En la actualidad corresponde a un vector de amenazas muy extendido. Win32/BHO.G BHO (a veces llamado Metajuan) es un troyano que roba información. Su nombre proviene de “Browser Helper Objects”, un módulo a veces usado por Internet Explorer. El troyano usa los objetos de ayuda para recopilar la información ingresada en campos de texto cuando se utiliza Internet Explorer para llenar formularios, además recopila las direcciones de los sitios web visitados. Se cree que existe una relación directa entre Adware.BHO.G, Adware. Virtumonde y el troyano BHO.G. Otros eventos en junio Se le concedió un nuevo juicio a la ex maestra de Connecticut Julie Amero. Sin embargo, todavía no se llevó a cabo y se especula que el juicio nunca se hará: algunos creen que se dejará que el asunto vaya muriendo en forma inadvertida. Una broma sobre un tsunami en Indonesia generó que miles de personas huyeran de sus hogares en la costa: se especula que la broma fue iniciada por saqueadores. (Existen ciertas evidencias de que esto también ocurrió luego del Tsunami del océano Índico de 2004, que de por sí generó muchas bromas y estafas.) El departamento de Justicia de los Estados Unidos y el FBI informaron que habían identificado a más de un millón de víctimas de crímenes relacionados a botnets como parte de una iniciativa de entorpecer la Operación: Bot Roast, una operación para eliminar las botnets. Muchos de nosotros en particular disfrutamos el informe donde se explica que la iniciativa tenía el propósito de “desbaratar y desmantelar a los botherders”. (El término botherders se aplica comúnmente a ESET - Informe General de Amenazas del 2007 19 las personas que administran las botnets maliciosas: a pesar de que existan argumentos para atraparlos, colgarlos y descuartizarlos, es improbable que hasta la corte estadounidense más cruel vaya tan lejos.) En un debate de una convención de Black Hat, Thomas Ptacek, Nate Lawson y Peter Ferrie desafiaron a Joanne Rutkowska a que probara que su tecnología conocida como el proyecto “Blue Pill” (la píldora azul) puede crear un rootkit 100% indetectable. Ella aceptó el desafío bajo una serie de condiciones: los retadores aceptaron cuatro de las condiciones, pero se resistieron a pagarle 384.000 dólares para convertir el prototipo de la “Blue Pill” en un rootkit de calidad comercial; en consecuencia, no se concretó la apuesta. (Para leer la historia completa ingrese a http://blogs. zdnet.com/security/?p=334.) El programa ESET NOD32 recibió una mención de cinco estrellas en el informe sobre herramientas para la detección de programas maliciosos de la revista SC Magazine. 1-866-343-ESET (3738) www.eset.com 20 Julio Imagen 9: Los diez programas maliciosos principales en julio del 2007 Win32/Adware.Ezula Esta aplicación “probablemente indeseada” viene con el ícono de un programa de instalación común, pero al ejecutarlo no se muestra ningún mensaje para el usuario. La instalación se completa en forma oculta y no le ofrece al usuario ningún tipo de información sobre lo que se está instalando. Una vez instalado, descarga y ejecuta componentes adicionales desde un sitio web actualmente ubicado en las Filipinas. Ezula rastrea palabras clave de búsqueda que son enviadas por el usuario a una lista predefinida de sitios web y además muestra en forma intermitente mensajes de publicidades mientras el usuario navega por Internet. También se conoce este programa por otros nombres, como AdClicker-FK, Generic5.CF, TR/Agent.aoy.1 y Trj/Downloader.OZB. Otros eventos en julio Richard Ford, profesor de investigación en el centro de seguridad de la información del Institute of Technology de Florida y ex editor de Virus Bulletin, evaluó “25 años de virus” (http://www.npr.org/templates/story/ story. php?storyld=11954260), tomando como punto de partida el virus “Elk Cloner” para Apple II. Nuwar (Storm Worm) fue el responsable de un vendaval de correos con tarjetas electrónicas falsas, lo que inspiró a Randy Abrams a dar una explicación sobre el motivo por el cual las tarjetas electrónicas y las invitaciones electrónicas son malas en un contexto inapropiado (http://www.eset.com/threat-center/blog/?p=76; http://www.eset.com/threat-center/blog /?p=77). ESET elaboró un informe minucioso sobre phishing y amenazas relacionadas, disponible en http://www.eset.com/ download/whitepapers.php y anunció las versiones beta para sus líneas de productos para servidores Linux y FreeBSD. ESET - Informe General de Amenazas del 2007 21 Agosto Imagen 10: Los diez programas maliciosos principales en agosto del 2007 Win32/Obfuscated El rótulo “Obfuscated” se utiliza cono identificador genérico para designar a los programas maliciosos que usan códigos confusos o de ofuscación para ocultar sus funciones. El nombre se aplica a una gran variedad de programas maliciosos de Windows que se ocultan por técnicas de ofuscación como empaquetamiento, polimorfismo e inyección de código basura dentro del archivo infectado. Win32/HackAV.G La familia de programas identificados como HackAV.G tienen como objetivo hacer modificaciones (cracks y hacks) utilizadas para promover la piratería de aplicaciones. Otros eventos en agosto Como mínimo, una vez por año llega alguien con una prueba comparativa para productos antivirus se pongan con los nervios de punta de los investigadores de soluciones contra programas maliciosos en todo el mundo. Este año fue el turno de Untangle, que ofrece una solución esencial de código abierto para puertas de enlace. No hay nada de malo en esto, el problema es que realizaron una prueba en el evento LinuxWorld donde cometieron casi todos los errores metodológicos básicos, como el uso de un muestrario demasiado pequeño, el empleo de muestras no válidas, el uso inapropiado de archivos libres de virus junto con las muestras y la evaluación basada en comparaciones no válidas. Randy Abrams comentó en http://www.este.com/threat-center/blog/?p=78 que “Hay que hacer lo posible para ser menos competente”, y Andrew Lee y David Harley procedieron a redactar un paper y una presentación para la conferencia AVAR (ver resumen de noviembre) donde usaron la prueba de Untangle y la prueba de Consumer Reports del año anterior como ejemplos de lo que no hay que hacer en una evaluación comparativa. Lee, Chief Research Officer de ESET, también fue uno de los contribuyentes principales del informe de Harley “AVIEN Malware Defense Guide for the Enterprise” (“La guía AVIEN de defensa contra códigos maliciosos en la empresa”), publicado este mes en los Estados Unidos por la editorial Syngress. (No es sorprendente el hecho de que Lee y Harvey hayan escrito un capítulo juntos sobre la evaluación y las pruebas de programas antivirus.) Mientras tanto, se habilitó al público el ESET Online Scanner. 1-866-343-ESET (3738) www.eset.com 22 Septiembre Imagen 11: Los diez programas maliciosos principales en septiembre del 2007 Win32/PSW.Agent.NDP Este programa malicioso es un juego en línea que roba contraseñas. Al ejecutarse, se copia a sí mismo a la carpeta de archivos temporales del usuario y crea un DLL en la misma ubicación. Los archivos creados tienen nombres muy variados, que incluyen “rundl132.dll” y “iexpl0rer.exe”. Se crea una entrada de registro para ejecutar el programa cada vez que se reinicia el sistema. La información robada sobre contraseñas se envía a un servidor Web remoto a través del protocolo HTTP. Los juegos que contienen esta amenaza al parecer cambian según la variante del programa malicioso. Otros nombres para designarlo incluyen InfoStealer.Gamepass y PWStealer. IRC/SdBot El rótulo SdBot designa a una de las familias más grandes de códigos maliciosos. Las variantes del SdBot se usan para crear redes de equipos anfitriones infectados, también conocidos como redes de zombis o botnets. El mecanismo de comando y control utilizado por la mayoría de las variantes del SdBot es el protocolo de comunicación en tiempo real IRC (Internet Relay Chat). Como el código fuente de esta amenaza está disponible para cualquiera que lo descargue de Internet, muchos creadores de programas maliciosos han copiado el código para crear sus propias versiones. La mayoría de las versiones del SdBot se transmiten en objetos compartidos en red y explotan una gran variedad de vulnerabilidades conocidas de distintas aplicaciones. Los bots como SdBot constituyen una grave amenaza para la seguridad de la comunidad en línea. Por el alcance y la naturaleza altamente variable de esta amenaza, no suele llegar a estar entre las primeras amenazas de las listas como ThreatSense.Net®, ya que se basan en el grado de difusión de las amenazas. No obstante, si observan las listas mensuales de virus activos en el mundo real o WildLists (http://www.wildlist.org/WildList/), que no se basan en el grado de difusión, notarán que las variantes de Agobot, Sdbot, IRCbot y sus hermanos se encuentran bien arriba junto a los programas más antiguos (pero aún vigentes) que envían correo masivo. Win32/Agent ESET NOD32 utiliza este rótulo en forma genérica para designar a una gama de códigos maliciosos que tiene, el propósito de robar información. Esta familia de programas maliciosos se copia a sí misma en ubicaciones temporales y agrega entradas en el registro para asegurar que el programa se ejecute cada vez que se inicia el sistema operativo. ESET - Informe General de Amenazas del 2007 23 Otros eventos en septiembre Para la comunidad de investigación contra programas maliciosos, el evento principal de septiembre fue la conferencia organizada por Virus Bulletin, donde se reunieron varias de las mejores mentes de la investigación de códigos maliciosos en Viena para intercambiar ideas e información (http://www.virusbtn.com/conference/vb2007/ VB2007report.pdf). Este año, ESET estuvo muy bien representado: Andrew Lee presentó un paper junto a David Harley titulado “Phish Phodder: is User Education Helping or Hindering?” (Carnada para phishing: ¿la educación del usuario ayuda o entorpece?). Randy Abrams y Pierre-Marc Bureau dieron una presentación donde demostraron que los programas antivirus no van a morir como muchos afirman, sino todo lo contrario. Como siempre, hubo muchas otras presentaciones y papers excelentes como el de Alex Shipp “El extraño caso de Julie Amero” y la presentación de Dmitry Alperovitch sobre los fraudes con correos no deseados. De todas formas, la semana previo, el stand de ESET en la exhibición InfoSecurity en Nueva York presenció un evento de firma de libros significativo cuando se hizo la presentación del libro “AVIEN Malware Defense Guide” (“La guía AVIEN de defensa contra códigos maliciosos”) – para el cual uno de los contribuyentes principales fue nuestro Chief Research Officer, Andrew Lee – y se formó un panel con Andrew y sus coautores David Harley, Ken Betchel y Robert Vibert, quienes respondieron a las preguntas de la audiencia. También contribuyeron en la creación del libro otros miembros distinguidos de AVIEN (http://www.avien.org) y AVIEWS (http://www.aviews.net). 1-866-343-ESET (3738) www.eset.com 24 Octubre Imagen 12: Los diez programas maliciosos principales en octubre del 2007 Mac Malware En octubre observamos uno de los primeros ataques (además de algunos macro virus) que infectaban tanto a computadoras personales con Windows de Microsoft como a Macintosh de Apple con Mac OS X. El vector de infección de este ataque era un códec falso que sólo se hacía efectivo cuando se lograba engañar al usuario para que lo descargue y ejecute. Para más detalles sobre códecs falsos y técnicas de Ingeniería Social, lea el siguiente análisis sobre los engaños al usuario de la computadora para ejecutar los programas maliciosos. El ataque del programa malicioso que infectaba al sistema operativo Mac OS X era similar al W32/Zlob, pero mucho más rudimentario al compararlo con los avanzados códigos maliciosos para Windows. Estaba integrado por un paquete de instalación con formato dmg que funcionaba si el usuario lo seleccionaba y lo instalaba. El programa malicioso usaba una secuencia de comandos de instalación para cambiar elementos críticos de la configuración en el sistema de la víctima. El propósito de este programa malicioso era cambiar la configuración del DNS (Domain Name Server) y redirigir todas las peticiones hechas al DNS a un servidor de la organización del cibercrimen llamada Russian Business Network. Una vez que había logrado controlar la información del DNS, el atacante redirigía las peticiones a sitios web de bancos y comercios en línea para robar la información bancaria de las víctimas. David Harley señaló en su blog Securiteam en http://blogs.securiteam.com/index.php/ archives/1029 que las investigaciones informales de Roger Grimes sugieren que los programas maliciosos que funcionan con técnicas de Ingeniería Social (en este caso engañando a la víctima para que ejecute el programa malicioso) logran “mejores resultados” que los basados en la explotación de las vulnerabilidades de aplicaciones. También están quienes afirman que los usuarios de Mac son más inteligentes que los usuarios de Windows y por lo tanto no se dejan engañar por las técnicas de Ingeniería Social (lo curioso es que en general son las mismas personas que creen que los programas maliciosos de Windows se basan sólo en la explotación de vulnerabilidades y no en Ingeniería Social). Sin embargo, en este momento, los usuarios de Mac sin conocimientos particulares sobre seguridad pueden ser especialmente vulnerables si creen que sus sistemas son tan intrínsicamente seguros fuera de la caja que no necesitan saber ni hacer nada respecto a la seguridad. Harley también comentó: “Más allá de lo que suceda, y más allá de que esta sea la punta del iceberg donde los usuarios de Mac comienzan a sufrir como los usuarios de Windows, estoy convencido de que no es momento para discusiones desde ambos lados del abismo entre Mac y Windows. Éste es un momento para observar y aprender, y para buscar hechos en lugar de prejuicios”. ESET - Informe General de Amenazas del 2007 25 Otros eventos en octubre Este mes, en el blog de ESET en http://www.eset.com/threat-center/blog/, Pierre-Marc Bureau reparó en cierto comportamiento interesante del W32/Nuwar, también conocido como el Storm Worm. Señaló que los primeros veinte minutos luego de una infección se usan para establecer comunicación con otros sistemas comprometidos y unirse a la red descentralizada. El Nuwar utiliza el protocolo de red entre pares (peer-to-peer) eMule, en lugar de los protocolos más comunes IRC ó HTTP: esta peculiaridad parece tener la intención de fortificar la botnet, ya que no hay un punto central desde donde apagar el sistema, por lo tanto no existe un punto único de falla. Cuando una computadora comprometida se conecta a la botnet, provoca volúmenes considerables de tráfico de red y realiza un mantenimiento de red a cada hora. La importancia de los picos resultantes en el tráfico de red es que les otorga a los administradores de red que están alerta una forma de controlar el impacto local de Nuwar y otros programas maliciosos similares. Como dice Pierre-Marc Bureau: “los creadores de este programa malicioso parecen haber elegido la confiabilidad por sobre el encubrimiento en la red. La industria de seguridad necesita prestar atención a las concesiones operacionales que hacen los atacantes. Estos intercambios pueden mostrar debilidades que nos ayudan a asegurar nuestra infraestructura”. Pierre-Marc también llamó nuestra atención el 31 de octubre por el hecho de que el Storm Worm se estaba sumando a los festejos y juegos del Día de Brujas haciéndose pasar por una aplicación de un esqueleto bailarín. ¿Qué mejor momento para ampliar la población de zombis? Como mencionamos más arriba, un nuevo troyano llegó al radar de Mac. Esta fue una de las más interesantes: estaba relacionada a una familia significativa de programas maliciosos para los usuarios de Windows, usaba un códec falso como vector de infección y, una vez instalado, redirigía las peticiones al DNS para lograr que las víctimas finalmente ingresaran a sitios web falsos de bancos y comercios en línea con la intención de robar la información de su cuenta. Convencer a los usuarios de computadoras de que necesitan descargar un códec especial para poder ver un video fue un vector muy popular en las infecciones del año 2007. Un códec es un componente de una aplicación que permite la compresión y descompresión de archivos de video para ocupar menos espacio en el disco. Con frecuencia, los usuarios eran redirigidos a sitios web que supuestamente contenían videos, donde se les informaba que necesitaban descargar e instalar un códec para poder visualizar el video en su computadora. La mayoría de los ataques de códecs falsos que hemos visto hasta ahora se han usado para infectar computadoras con la familia de programas maliciosos Zlob. La familia de troyanos Zlob descarga componentes adicionales luego de su instalación y le provee al atacante acceso completo a la computadora de la víctima. También se realizaron estafas con códecs falsos (tanto en Windows como en OS X) para distribuir programas que modifican la configuración del DNS del equipo anfitrión para redirigir las peticiones de sitios Web legítimos a sitios maliciosos, con el objetivo de robar información sensible o recopilar estadísticas de la navegación en Internet. Mientras tanto, ESET lanzó la versión definitiva de ESET Smart Security y la versión ESET NOD32 3.0. 1-866-343-ESET (3738) www.eset.com 26 Noviembre Imagen 13: Los diez programas maliciosos principales en noviembre del 2007 Este mes no entró ningún malware novedoso en la lista de los diez principales. Otros eventos en noviembre El Servicio de Hacienda y Aduanas británico (HMRC) admitió haber perdido dos CD con los datos de 25 millones de familias beneficiarias del programa de ayuda a familias con niños menores, por lo que pueden verse expuestas a explotación fraudulenta. Los datos fueron enviados a la National Audit Office (NAO) a través de un canal inseguro, al parecer no estaban codificados y los registros incluían más datos sensibles que los solicitados en realidad por la NAO, ya que resultaba más económico dejar intactos los datos correspondientes a la información no deseada. Estos temas sugieren el incumplimiento de varios de los Principios de Protección de Datos establecidos por el Reino Unido y otras leyes europeas. En forma sucesiva, se reconoció que previamente la organización había tenido siete casos más de incumplimiento de este tipo desde el 2005. Cada año se realizan tres conferencias de seguridad a las que los investigadores de seguridad contra malware no suelen faltar. Lamentablemente, la conferencia EICAR para esta temporada de 2007 fue cancelada y ya hemos hecho referencia a la conferencia de septiembre de 2007 realizada por Virus Bulletin. A fines de noviembre, el tercer gran evento sobre seguridad correspondía a la conferencia AVAR (Asociación de Investigadores de Antivirus de Asia, según sus siglas en inglés) en Seúl. Esta conferencia fue particularmente interesante para todo el que haya seguido la evolución de las pruebas de productos antivirus y de las certificaciones, ya que hubo, a falta de uno, tres papers presentados sobre el tema, incluyendo uno escrito por nuestro propio experto Andrew Lee junto a David Harley. (Este dúo se está convirtiendo rápidamente en el Abbot y Costello dentro del ámbito de eventos sobre seguridad informática; ¿o deberíamos decir Morecambe y Wise porque son ingleses?) Además, el 22 de noviembre, Andrew y Pierre-Marc Bureau presentaron un paper sobre la evolución de los programas maliciosos, titulado “Du Défi au Profit” (“Bravado to Business: from hobbyist to malware for profit” “De fanfarrón a negociante: programas maliciosos como pasatiempo o por dinero”) en el evento organizado por Infosec en Paris. ESET lanzó las versiones Business Edition de ESET Smart Security y ESET NOD32 3.0, así como la versión pública de la protección de seguridad para Linux/FreeBSD en empresas y entornos de red de PYME. ESET - Informe General de Amenazas del 2007 27 Diciembre Imagen 14: Los diez programas maliciosos principales en diciembre de 2007 W32/Virut Virut es un virus polimórfico que modifica archivos ejecutables bajo el sistema operativo Windows. Como tiene la capacidad de infectar archivos ejecutables, se propaga a través de redes compartidas y medios de almacenamiento portátiles. Este programa malicioso también se distribuyó por intermedio de sitios web maliciosos. El objetivo de Virut es instalar un programa de puerta trasera (backdoor) que se conecte al servidor IRC. Aunque Virut no llegó a estar entre los diez programas maliciosos principales del mes, incluimos esta nota sobre él porque prevaleció lo suficiente como para ser mencionado en la prueba de Virus Bulletin, a la que hacemos referencia más abajo, y generó dificultades significativas de detección para muchos programas antivirus (¡no para ESET NOD32!). Otros eventos en diciembre En el mundo hubo denuncias sobre un chatbot ruso que seduce a sus víctimas para extraerles información confidencial mediante engaños. Habrá que ver si el “Ciberlover” llegará a tener alcance internacional, pero los geeks de la ciencia informática de inmediato comenzaron a hablar extasiados de recuerdos nostálgicos sobre la Prueba de Turing y “el juego de la imitación” citado por Alan Turing en su paper sobre inteligencia artificial de 1950 titulado “Computer Machinery and Intelligence” (http://loebner.net/Prizef/TuringArticle.html), y sobre un programa informático llamado Liza que una vez logró mantenerse en pie durante una conversación sobre Dios que duró 1½ hora. Sin embargo, este bot ruso parece haber dominado el arte de la cita rápida, ya que logra conseguir hasta diez parejas en una hora, mientras recopila información personal, como los datos del contacto y fotografías. Quizá no sea tan sorprendente que este mes Gartner haya informado que la cantidad de víctimas de ataques de phishing aumentó 40% en el efa2007. El Internet Storm Center (http://isc.sans.org), un proyecto que controla los códigos maliciosos en Internet, resaltó el constante problema de las publicidades maliciosas (también llamadas malvertising), por medio de las cuales se engaña a las víctimas para que descarguen programas indeseados o maliciosos a través de publicidades y redes sociales. Al parecer, el vector más difundido son los archivos SWF creados por el programa Flash de Adobe que incluyen códigos maliciosos desarrollados con el lenguaje de Flash ActionScript: Adobe respondió sacando un parche importante que soluciona varias vulnerabilidades de Flash de distintos niveles 1-866-343-ESET (3738) www.eset.com 28 de gravedad. El sitio Business Intelligence Lowdown publicó una lista de los diez virus, troyanos y gusanos más graciosos. Como en la lista se incluyeron programas que infectaban archivos de imagen y sonido en los sistemas de usuarios, que dejaban los teléfonos móviles inteligentes “prácticamente inservibles”, que eliminaban archivos al azar y que publicaban documentos de Word “confidenciales y personales” en el grupo de noticias Usenet, la elección del adjetivo “gracioso” suena bastante bizarro. Una vez más, los creadores del Storm Worm aprovecharon la temporada de fiestas enviando tarjetas electrónicas falsas con motivo de Navidad y Año Nuevo. Hemos visto muchos miles de variantes bien definidas del programa para Navidad y Año Nuevo, con modificaciones y actualizaciones diarias. La revista Forbes (http://www.forbes.com/technology/2007/12/20/apple-army-hackers-tech-security-cx_ag_1221army. html) informó que el Ejército de los Estados Unidos estaba comprando grandes cantidades de servidores Xserve de Apple para sus centros de datos. El sitio The Register predijo un estrépito ensordecedor de teclados Apple cuando las ciberfuerzas militares chinas, ente otras, comiencen a indagar para detectar posibles vulnerabilidades en los sistemas (http://www.theregister.co.uk/2007/12/31/us_army_mac_attack/). El nuevo blog técnico de seguridad de Microsoft Security Vulnerability and Defense ofreció información más detallada sobre sus actualizaciones de seguridad y las vulnerabilidades a las que corresponden. Ontrack, una empresa especialista en recuperación de datos, informó que en su lista de las historias más desastrosas de pérdida de datos no aparecían temas relacionados a malware, pero sí hubo muchas computadoras, dispositivos USB y discos rígidos maltratados físicamente, entre los que se encontraba una computadora embebida en repelente para insectos, una computadora portátil que tuvo que ser “pescada” del fondo de un lago, un dispositivo USB que logró escabullirse en un lavarropas y un disco rígido que “chirriaba” y fue “reparado” por su dueño, que lo perforó con un torno y lo llenó de aceite (http://www.ontrackdatarecovery.co.uk/data-disaster-2007/). ESET NOD32 obtuvo su 47º premio VB100 en una evaluación comparativa de programas antivirus en Windows 2000, realizada por Virus Bulletin. Este resultado nos permitió seguir siendo los primeros por un gran margen de diferencia, ya que varios programas antivirus de la competencia fracasaron por haber detectado Falsos Positivos o por haber pasado por alto muestras del virus polimórfico W32/Virut, que infecta archivos. Respecto al rendimiento de ESET NOD32 en la evaluación, Virus Bulletin anunció “como se esperaba, realizó la prueba a una velocidad increíble y obtuvo resultados excelentes, al igual que siempre”. ESET - Informe General de Amenazas del 2007 29 Más códigos maliciosos de interés Los códigos maliciosos mencionados anteriormente son simplemente una pequeña fracción de los datos emitidos en el 2007 por ThreatSense.Net® y por otras fuentes y recursos. A continuación, exponemos algunos ejemplos más que fueron denunciados en cantidades significativas. No obstante, hay que tener en cuenta que es imposible obtener estadísticas exactas universales sobre el predominio de programas maliciosos. Lamentablemente, no existe un parquímetro informático que lleve la cuenta de todo el tráfico malicioso, por lo tanto todas las estadísticas representan una imagen parcial que llega a través de una pequeña ventana, no es la imagen completa. VBS/Butsur.A El VBS/Butsur.A es un gusano escrito en Visual Basic que se copia a sí mismo a la carpeta %windir% con el nombre Bha.dll.vbs: también modifica el registro y se replica en dispositivos de almacenamiento portátiles y unidades compartidas, usando el archivo autorun.inf para cargarse en otros sistemas. Win32/Saburex.A Es un virus que infecta archivos y se distribuye a través del correo electrónico, redes P2P y otros vectores de infección. Libera archivos .DLL en la carpeta %windir% y busca archivos .EXE para infectar. Win32/Sohanad.NAF Sohanad es un gusano que se propaga a través de la mensajería instantánea por Internet: sus variantes utilizan el Yahoo! Messenger, AOL Instant Messenger, Windows Live Messenger, etc. Muestra una gran variedad de mensajes que cumplen el papel de “anzuelos” para lograr que el destinatario los abra. Win32/Qhost Este troyano está presente en páginas web, cuyas direcciones URL se distribuyen en spam a víctimas potenciales. Si se ingresa a ellas, ejecuta un código para redirigir a las víctimas a un servidor DNS diferente. Win32/AHKHeap.A Este gusano utiliza secuencias de comandos de AutoHotKey para propagarse a través de unidades de almacenamiento portátiles como las memorias USB, usando un archivo Autorun.inf con los atributos System (sistema) y Hidden (oculto). Los programas maliciosos que usan la función autorun (ejecución automática) para infectar desde unidades portátiles, CD, etc, fueron muy populares durante 2007. Los siguientes blogs sobre este tema valen la pena leer: http://blogs. technet.com/steriley/archive/2007/09/22/autorun-good-for-you.aspx; http://www.eset.com/threat-center/blog/?p=94. Win32/TrojanDownloader.Swizzor Este troyano es un programa de descarga que instala un objeto de ayuda “Browser Helper Object” para Internet Explorer, con el fin de usarlo como programa espía o de publicidades. Nos llegaron muchas denuncias de este troyano durante el primer semestre del 2007. Se instala en forma oculta desde ciertos sitios web maliciosos y puede propagarse en los correos electrónicos no deseados. Se crea usando una rutina de auto generación, lo que significa que cada vez que se descarga, para el antivirus se verá como una aplicación diferente. ESET desarrolló una solución para esta amenaza al poco tiempo de su aparición usando una firma genérica que no es fácil de engañar confundiéndola con pequeñas variaciones del troyano. Win32/TrojanClicker.Small.KJ El Win32/TrojanClicker.Small.KJ es un miembro de la conocida familia de troyanos que intenta descargar y ejecutar otros archivos ejecutables de Internet, permitiéndole al atacante remoto obtener acceso no autorizado a los sistemas infectados. 1-866-343-ESET (3738) www.eset.com 30 Conclusión Entonces, ¿qué hemos aprendido en este rápido recorrido por el año 2007? Aprendimos que al mundo en línea no le faltan aplicaciones maliciosas ni tampoco tonterías sobre el tema de la seguridad, sin duda. Es cierto que la mayoría de nosotros ya somos concientes de que el panorama de amenazas involucra mucho más que virus y gusanos: hay spyware, troyanos, phishing y una gran variedad de otras formas de correos no deseados y de estafas; todos ellos son amenazas con las que debe lidiar un producto sofisticado y actualizado de seguridad informática. Quizás usted se haya sorprendido al notar que los tipos de programas maliciosos más antiguos, por ejemplo, las aplicaciones que envían mensajes masivos por correo electrónico, siguen circulando en grandes cantidades. No se deje engañar por el hecho de que las diez amenazas principales tienden a incluir entre 15% y 25% de las detecciones totales. Existen muchas otras amenazas activas en el mundo real, a pesar de que no hay una forma única y autoritaria para contabilizarlas – pero piense que son “montones de amenazas”. También tenga en cuenta que, como nuestra lista de las diez detecciones principales por lo general incluye firmas genéricas y detecciones heurísticas de programas maliciosos completamente nuevos, en realidad pueden transformarse en cientos o miles de variantes y subvariantes, si hubiera alguien con tiempo disponible para llevar a cabo ese tipo de análisis. Sin embargo, si usted ya es cliente de ESET, probablemente no se sorprenda por el hecho de que nuestros productos detecten una cantidad tan grande de programas maliciosos en forma genérica y proactiva en lugar de firmas para variantes y subvariantes específicas. De hecho, muchas de las detecciones registradas por ThreatSense.Net® dan una idea muy escasa sobre qué tipo de programa malicioso ha detectado exactamente. La razón es que nosotros creemos que la prioridad principal consiste en detectar las aplicaciones maliciosas antes de que encuentren la oportunidad de arraigarse en el sistema y no después de que fueron analizadas y categorizadas. Sin duda, la detección de amenazas conocidas sigue teniendo una importancia vital, en particular si algo serio logró aferrarse en el sistema porque entonces puede resultar muy difícil limpiar la infección cuando no se sabe con exactitud de qué tipo de infección se trata. Por eso es tan importante que ThreatSense.Net® recoja información sobre nuevos códigos maliciosos y la envíe a nuestros Laboratorios de Investigación de Amenazas. Hoy en día se escuchan muchos comentarios sobre “la muerte inminente de los programas antivirus” y la llegada de la detección basada en firmas digitales. Por supuesto, en ESET creemos que la detección por firmas digitales no está lo suficientemente cerca y que la creación de más técnicas proactivas es de importancia crítica. Por eso invertimos tanta cantidad de recursos en investigación y desarrollo para mejorar nuestra heurística. Sin embrago, en muchas ocasiones, únicamente la identificación exacta o casi exacta de programas maliciosos conocidos es suficiente para desinfectar un sistema correctamente. A continuación, mostramos algunas predicciones para el 2008: • Habrá más pruebas comparativas de productos antimalware mal planteadas y cientos de amateurs en seguridad afirmarán haber demostrado que la industria de seguridad antivirus es, en el mejor de los casos, incompetente y probablemente hasta criminal. • Otro individuo afirmará que los programas antivirus ya están muertos y enterrados porque “sólo detectan virus conocidos” y porque fueron reemplazados por la panacea más reciente (probablemente las listas blancas). • Los servicios de seguridad y defensa de todo el mundo seguirán perdiendo computadoras portátiles que contienen información confidencial. • Las botnets seguirán prosperando y diversificándose. • Se enviarán más cantidad de correos electrónicos no solicitados, incluso que en 2007. • Las tecnologías colaborativas web 2.0, los mundos virtuales como Second Life y los sitios de redes y recursos sociales como FaceBook atraerán cada vez más la atención de los “malos” y, en consecuencia, de los investigadores de seguridad que necesitan controlar las amenazas nuevas y las que están por llegar. • ESET continuará ofreciendo a sus clientes protección proactiva de última generación ESET - Informe General de Amenazas del 2007 31 Recursos y lecturas complementarias • Anti-Phishing Working Group (APWG): http://www.antiphishing.org • AntiSpyware Coalition (ASC): http://www.antispywarecoalition.org • AVAR (The Association of Anti-Virus Asia Researchers) http://www.aavar.org • AVIEN (Anti-Virus Information Exchange Network): http://www.avien.org • AVIEWS(Anti-Virus Information & Early Warning System): http://www.aviews.net • Botnets: the Killer Web App: Craig Schiller, Jim Binkley et al, Syngress 2007 • Definiciones de malware: http://www.eset.com/threat-center/threats.php • EICAR, The European Institute of Computer Anti-Virus Research, http://www.eicar.org • ESET Online Scanner gratuito: http://www.eset.com/onlinescan/index.php • ESET Threat Center blog: http://www.eset.com/threat-center/blog/index.php • ESET Threat Encyclopedia: http://www.eset.com/threat-center/encyclopedia.php • Más información sobre ESET Smart Security: http://www.eset.com/download/whitepapers/ESSwhitePaper20071214. pdf; http://www.eset.com/smartsecurity/index.php • Más información sobre el análisis heurístico: http://www.eset.com/download/whitepapers/HeurAnalysis(Mar2007)Online.pdf • Más información acerca de rootkits: http://www.eset.com/download/whitepapers/Whitepaper-Rootkit_Root_Of_All_Evil.pdf • Otros documentos informativos: http://www.eset.com/download/whitepapers.php • SANS Internet Storm Center: http://isc.sans.org • The Art of Computer Virus Research and Defense: Peter Szor, Addison-Wesley, 2005. • The AVIEN Malware Defense Guide for the Enterprise: David Harley et al, Syngress, 2007 • Virus Bulletin: http://www.virusbtn.com • WildList Organization International: http://www.wildlist.org 1-866-343-ESET (3738) www.eset.com 32 Glosario Blackhat (o cracker), whitehat, greyhat Blackhat (o cracker): Es el individuo que se dedica a realizar actividades inequívocamente maliciosas (intrusión; hacking o cracking no autorizado; creación, diseminación o explotación de programas con códigos maliciosos; actividades criminales como el fraude o la extorsión). Whitehat: Es el individuo, en particular un profesional de seguridad informática, que se dedica a defender a toda la comunidad o a su propia organización o grupo de interés de las actividades llevadas a cabo por los crackers. Greyhat: Es el individuo cuya motivación puede ser similar a la del investigador whitehat, pero que emplea métodos que se acercan más a los utilizados por los crackers. La clasificación de estos tres grupos por colores de sombreros (que en español sería: sombrero negro, sombrero blanco y sombrero gris, respectivamente) no es tan simple y proviene de las tradicionales películas western, tan categóricas como esta clasificación, donde los bandidos siempre usaban un sombrero negro y el héroe, un sombrero blanco de vaquero. Bot, Botnet, botmaster Bot: En el contexto de la seguridad moderna, en general se aplica a un programa de una serie de códigos maliciosos utilizados para comprometer un sistema y luego asimilarlo a una red de sistemas infectados (botnet) bajo el control de un administrador o botherder. Botherder, botmaster, botmeister: Es el individuo que administra la botnet con diversos propósitos criminales o maliciosos, como la distribución de correo electrónico no deseado, la distribución de programas maliciosos y la organización de ataques de denegación de servicio distribuido. Botnet: Es la red de sistemas comprometidos o infectados, que se encuentra bajo el control de un administrador o botmaster. Codec La palabra códec proviene de la forma abreviada de compresión/descompresión (en inglés compression/decompression). Es una tecnología diseñada para reducir el tamaño de una señal (por lo general de audio o video) con el objetivo de ahorrar espacio en disco y reducir el tiempo de transferencia a través de una red. DoS (ataque de denegación de servicio), DDoS (ataque de denegación de servicio distribuido) DoS: (siglas provenientes del inglés “Denial of Service”) ataque de denegación de servicio: es un intento de afectar el funcionamiento normal de un sistema. Con frecuencia se asocia a la extorsión: el criminal amenaza con provocar que el equipo deje de funcionar para que la empresa de la víctima no pueda continuar con sus actividades normales. DDoS: (siglas provenientes del inglés “Distributed Denial of Service”) ataque de denegación de servicio distribuido: es un ataque DoS amplificado, ya que se lleva a cabo a través de una red completa de sistemas comprometidos, por lo general a través de una botnet. Identificación exacta Es el reconocimiento de un malware cuando cada una de las secciones de sus partes no modificables es identificada en forma precisa. La identificación “casi exacta” es el término que se utiliza cuando la detección es lo suficientemente convincente para asegurar que la eliminación del código malicioso no generará daños en el equipo anfitrión si se usa un método de desinfección inapropiado. En este caso, no se identifican en forma única todas las secciones no modificables del malware. ESET - Informe General de Amenazas del 2007 33 Genérico En los programas antimalware, el término se refiere a la detección o el bloqueo de una amenaza basándose en la clase de amenaza y no en la variante específica. Antónimo de “específico”. Firma genérica En la detección de programas maliciosos, es un término conveniente pero de uso no muy difundido que describe una definición o firma de virus que se generalizó con el objetivo de detectar una familia de virus o variantes en lugar de detectar una sola variante única. Es similar (aunque no igual) a la distinción que se hace entre “identificación exacta” e “identificación casi exacta”, ya que la identificación casi exacta por lo general se asocia a la desinfección genérica. Heurística Es un término abarcador aplicado a una serie de técnicas para la detección de programas maliciosos y variantes aún desconocidos. Es el reconocimiento de un objeto que posee la suficiente cantidad de características de programas maliciosos como para sugerir que probablemente se trate de un virus u otro tipo de malware. Como se suele usar en el contexto de la detección de programas maliciosos y de correo no deseado, incluye un sistema de asignación de puntos dependiendo de las características y comportamientos maliciosos que presente el objeto analizado, que indicarán el grado de probabilidad de que sea malicioso. Keylogger Es una forma de spyware o troyano que graba cada pulsación del teclado que hace un usuario sin su conocimiento y envía la información recopilada a criminales, administradores de botnets, etc. Un programa que roba contraseñas en general es un keylogger programado para buscar específicamente nombres de cuentas y contraseñas. Malware específico Antónimo de “genérico”. Es la detección e identificación por nombre de un programa malicioso particular o una de sus variantes o subvariantes, en lugar de suponer que es un miembro de una clase o familia de programas maliciosos. Es la detección de programas maliciosos conocidos usando cadenas de códigos específicas de dichos programas maliciosos o variantes. OS X Es el sistema operativo actual de Macintosh. Está basado en Unix BSD pero con una interfaz que continúa la larga trayectoria de la “apariencia” muy fácil de usar de Mac además de proveer acceso a una línea de comandos UNIX más convencional. Las distintas versiones de revisión y actualización del sistema operativo OS X llevan tradicionalmente el nombre de felinos en inglés, por eso la última versión es “Leopard” (OS X 10.5.x) y la versión anterior fue “Tiger”. Rootkit Es una tecnología usada mayormente en programas maliciosos que les permite permanecer ocultos ante el sistema y el usuario. El rootkit le permite al intruso mantenerse firme en un sistema y explotarlo sin ser descubierto. Una definición más formal de rootkit sería la siguiente: una forma de herramienta instalada en un sistema comprometido con el objetivo de: • mantener el acceso privilegiado y el control del sistema; • permitirle al individuo y/o programa que utilice el acceso mencionado de la forma que desee; • ocultarse o restringir el acceso a determinados objetos o procesos, como: ——Procesos ——Hilos de ejecución ——Archivos ——Carpetas / Directorios / Subdirectorios ——Entradas de registro ——Referencias a objetos ——Puertos abiertos 1-866-343-ESET (3738) www.eset.com 34 Pump and Dump (Hype and Dump) Es una forma de fraude bursátil por medio de la cual el valor de las acciones se infla artificialmente para que los especuladores deshonestos obtengan ganancias al venderlas a un precio más elevado que el real. Les da buen resultado a los estafadores, pero no a la empresa (generalmente pequeña) o a las víctimas de estas estafas, cuya satisfacción por el incremento del precio se ve luego compensada con grandes pérdidas una vez que el estafador termina de vender sus acciones y deja de promocionar la empresa. Análisis basado en firmas Es la búsqueda de la presencia de un malware mediante la comparación con una secuencia de bytes más o menos estática. De hecho, incluso los programas antivirus básicos utilizan técnicas más complejas y efectivas hoy en día, entre las que se encuentran el uso de algoritmos, comodines (wildcards), etc. En general, el término “firmas” es despreciado en el área de la investigación de antivirus porque presenta esta ambigüedad, aunque quizá sea demasiado tarde erradicarlo del uso popular y mediático (y del uso equivocado). No obstante, se sigue utilizando en la detección de intrusiones de rutina. Las firmas siguen siendo sinónimos de “secuencias de análisis”, aunque muchas veces lleve a las personas a creer que existe una secuencia única de bytes usada por todos los programas antivirus para reconocer cada virus o variante. Ingeniería Social Es el término aplicado a una amplia gama de técnicas por medio de las cuales se provoca un cambio de comportamiento deseado en un individuo o en un grupo de individuos, o se saca provecho de ellos a través de la manipulación psicológica. El término proviene de las ciencias sociales, donde no tiene necesariamente una connotación negativa, pero al usarlo en el contexto de la seguridad informática implica casi sin excepción algún tipo de engaño, maldad o fraude. Spyware Es un término bastante genérico para designar una gama de programas maliciosos como keyloggers (registradores de pulsaciones del teclado), troyanos de acceso remoto (RAT, según siglas en inglés), troyanos de puerta trasera, entre otros. Los programas maliciosos usados para llevar a cabo actividades realmente criminales como la falsificación (o phishing) también puede encontrarse bajo de nombre de crimeware. Stealth (oculto), Stealthware, Stealthkit Stealth: del inglés, oculto, furtivo. El uso de esta palabra en seguridad informática proviene de las tecnologías furtivas usadas por los militares en “aviones furtivos” (stealth aircrafts) y de otros términos relacionados a estrategias de ocultamiento. Stealthware: Programas (generalmente maliciosos) que utilizan diversas técnicas para permanecer ocultos. Stealthkit: Un grupo de herramientas (en general maliciosas) similares a un rootkit, pero que no involucran necesariamente la explotación del sistema para obtener privilegios elevados ni para mantenerse firmes en el sistema. En otras palabras, tiene la intención de esconderse, pero no necesariamente para explotar los privilegios del sistema en el nivel del administrador. Zombi In botnet terminology, a zombie is a system (usually a PC) which has been compromised by a bot of some sort, incorporated into a botnet, and at least partly under the control of a remote attacker (the botmaster). To zombify is to compromise a system so that it becomes a zombie. ESET - Informe General de Amenazas del 2007 35 Acerca de ESET Fundada en 1992, ESET es proveedor mundial de programas de seguridad para la empresa y el hogar. El premiado sistema antivirus ESET NOD32 provee protección en tiempo real contra virus, spyware, rootkits y otros códigos maliciosos conocidos y desconocidos. ESET NOD32 Antivirus ofrece la protección más avanzada del mercado, además de ser el programa más liviano y rápido, con más premios de Virus Bulletin que cualquier otro producto antivirus. La empresa fue incluida en el Deloitte’s Technology Fast 500 cinco años seguidos y cuenta con una extensa red de Partners, incluyendo empresas como Canon, Dell y Microsoft. ESET tiene sus oficinas centrales en Bratislava, Eslovaquia y oficinas en Bristol, Reino Unido; Buenos Aires, Argentina; Praga, República Checa y San Diego, Estados Unidos, y cuenta con representación mundial en más de 110 países. Para mayor información, visite http://www.esetla.com Acerca de ESET NOD32 Antivirus y ESET Smart Security ESET NOD32 Antivirus no es un simple antivirus: es un sistema integrado contra amenazas que protege los equipos de ataques de virus, spyware, adware, troyanos, gusanos y phishing. La tecnología proactiva ThreatSense® detiene 80% de las amenazas zero-day incluso antes de que sean liberadas en el sistema. El motor unificado ThreatSense® le confiere la mejor detección, el análisis más veloz y el menor impacto en el rendimiento del sistema de todas las soluciones antivirus y antispyware existentes. ESET NOD32 Antivirus es flexible y configurable, tiene administración centralizada y diversas funciones para la emisión de informes. La amplia plataforma del producto protege equipos con Windows, Linux, Novell y MS DOS. ESET Smart Security fue desarrollado sobre esta misma plataforma para ofrecer, además de todo lo mencionado, detección y control del spam y un firewall personal. Las versiones Business Edition de ESET NOD32 Antivirus y ESET Smart Security también incorporan la administración remota, un “mirror” para la replicación de archivos de actualización y su distribución en una red de área local, y la posibilidad de instalar el producto en servidores. Para consultar una lista completa y detallada de los productos ESET, ingrese a http://www.eset-la.com/products/ Acerca de ThreatSense® ThreatSense® es el motor unificado contra amenazas que da vida a ESET NOD32 Antivirus y ESET Smart Security. Combina la mejor Heurística Avanzada de la industria con las firmas genéricas para brindar una protección íntegra superior. Las actualizaciones dinámicas para ambas tecnologías son automáticas y gratuitas para todos los clientes actuales. El programa instalado en el sistema del cliente se conecta con el Laboratorio de Investigación de Amenazas en eset.com cada hora para verificar si hay nuevas actualizaciones. 1-866-343-ESET (3738) www.eset.com www.eset.com 610 West Ash Street • Suite 1900 • San Diego • California 92101 • U.S.A. 866-343-ESET GTRWC20080110 © 2007 ESET, LLC. All rights reserved. Trademarks used herein are trademarks or registered trademarks of ESET, sro & ESET, LLC. All other names and brands are registered trademarks of their respective companies.