El País ha publicado un artículo sobre seguridad informática bastante interesante.

En él podemos leer lo siguiente:

“Los ordenadores personales infectados con virus y controlados por delincuentes se han quintuplicado en los últimos cuatro meses y siguen subiendo, según informa la fundación Shadowserver…

Según Shadowserver, en junio había 100.000 ordenadores zombi en las botnets monitorizadas, mientras que en septiembre rozan los 500.000 y subiendo…

De los Santos reconoce que han aumentado los sitios infectados con virus, pero recuerda: "Para que culmine la infección, el usuario debe visitar el sitio con un navegador vulnerable y, en las últimas semanas, no se han descubierto fallos en navegadores que permitan ejecutar código". Por muchos virus que haya en una web, si no hay un agujero en el ordenador no pueden entrar. Aunque, puntualiza el experto: "Los internautas medios no suelen actualizar su sistema durante meses"…

Gabriel Agatiello, de Trend Micro, añade otros factores responsables del crecimiento de zombis, como el aumento masivo de personas con acceso a Internet y la poca seguridad de sus ordenadores: "Todavía encontramos muchos usuarios que piensan que con un antivirus es suficiente, o tan ingenuos para pinchar en enlaces de correos poco fiables".”

La clave desde nuestro punto de vista está en los dos últimos párrafos. El factor humano es el eslabón más débil de la cadena. Nosotros lo vemos cada día: como norma general un usuario medio/avanzado no suele resultar infectado, sin embargo el usuario particular (quizá cabría decir “normal” atendiendo a que compone el índice más alto) es el foco más asiduo de conseguir reunir una “granja de virus” en sus máquinas. Hemos visto casos realmente increíbles en los que la desinfección ha resultado un arduo trabajo.

De momento poca cosa se puede hacer al respecto. Soy de la consideración que poco a poco la gente va siendo más consciente del problema y que llegará el día en que incluso los usuarios novicios tendrán en cuenta las más elementales normas de seguridad. Pero para eso todavía queda mucho tiempo.

“Desde finales del mes pasado, muchos usuarios están detectando un comportamiento extraño en su portapapeles. A la hora de copiar y pegar cualquier dato, encuentran que siempre aparece almacenada en este memoria una misma dirección de Internet, que no recuerdan haber copiado nunca. Copian algún dato en su “clipboard”, y cuando van a pegarlo esa información ya ha sido modificada y en su lugar se memoriza una URL…

El problema se debe a que por medio de la función “setClipboard” de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. La descripción se puede leer en la documentación de Adobe Flash citada a continuación: “El método System.setClipboard() permite a un archivo SWF reemplazar el contenido del portapapeles con una cadena de caracteres en texto claro. Esto no supone un riesgo de seguridad. Para proteger contra los riesgos que supone que contraseñas y otra información sensible sea cortada o copiada de los portapapeles, el método “getClipboard” de lectura desde el portapapeles no existe”…

El ataque (más molesto que peligroso) se está usando para secuestrar el portapapeles, pegando una URL que lleva a una página de un falso antivirus que resulta ser malware. En el caso concreto detectado en los últimos días, el código ActionScript malicioso venía incrustado en anuncios flash alojados en sitios legítimos que tienen un gran tráfico de visitas diarias, como Newsweek, Digg y MSNBC”

La solución:

“Para "liberar" el portapapeles y que vuelva a funcionar de forma normal, tan solo hace falta cerrar la pestaña del navegador con la que se está visitando en el sitio web susceptible de contener el flash especialmente manipulado.

Aviv Raff ha desarrollado una prueba de concepto que carga de forma persistente la cadena http://www.evil.com en el portapapeles, disponible desde http://raffon.net/research/flash/cb/test.html”

Esta vez el turno le toca a Antivirus 2009, un ejemplar relativamente reciente que según parece está afectando a cada vez más gente. Podemos leer un informe sobre este bicho también en el blog de Infospyware.

Una de los factores más importantes a destacar respecto a este malware es la gran dedicación que le dedican los programadores a engañar al usuario. Para empezar, ocasionalmente nos mostrará la clásica pantalla azul de error de Windows (también llamada BSOD, “pantalla azul de la muerte”):

Como nos cuenta BlackJack no es más que una imagen que simula este fallo. Después también aparecerá una copia del Centro de Seguridad de Windows en la que se nos dirá que no se ha encontrado protección y nos “sugerirá” la compra de este falso antivirus.

Hasta nos secuestrará la página de Google en nuestro navegador de internet para que aparezca algo como esto:

Quieren hacer creer al sufrido usuario que el mismo Google les recomienda comprar su producto.

Muchos productos antivirus suelen sacar sus versiones nuevas antes de que acabe el año en curso, por ejemplo en pocas semanas veremos las tiendas inundadas de las versiones 2009 de Panda, Kaspersky, etc. Esto se debe a una estrategia de márketing consistente en infundar al usuario una falsa sensación de desactualización. Imaginemos al pobre consumidor que adquiere en julio su flamante antivirus en su versión 2008 y en septiembre aparece la 2009: este usuario si quiere “estar al día” ampliará su licencia durante 1 año más para obtener la nueva versión, estando cazado para casi 2 años (peor que los contratos de telefonía móvil). Esta es una forma de comercializar con la que no estamos de acuerdo en absoluto y en la que nuestro querido avast! no ha caído nunca: las nuevas versiones son numeradas en cuanto a la versión del producto (4.6, 4.7, 4.8, etc.) y no se programan para fechas concretas sino cuando la actualización es requerida.

Pues bien, este falso antimalware se aprovecha de esta tendencia marcada por los “grandes” para hacer más creíble su “novedad”.

Su funcionamiento es el clásico: intenta hacer creer al usuario infectado que su ordenador está lleno de virus y spyware (que o son falsos o bien han sido introducidos por el mismo programa) y que debe comprar el software para poder deshacerse de ellas.

Para más información al respecto:

- Cosas que pasan: Antivirus 2009

- Infospyware blog: Antivirus 2009

Es evidente que ya no saben cómo ingeniárselas para atrapar al usuario y hacerle caer en la trampa. Si nos fijamos toda la interfaz del malware está diseñada para que parezca que sea del propio Windows Vista.

Podéis ver la historia completa HACIENDO CLIC AQUÍ.

“El antivirus AVG Technologies ha actualizado su producto debido a un fallo de seguridad que permitía ataques DoS.
La vulnerabilidad está causada por la división por cero en el tratamiento de los paquetes UPX.
El fallo de seguridad ya está resuelto con está nueva versión que han lanzado, la versión 8.0.156 que soluciona el problema.
En está versión también han mejorado el módulo Search-Shield, que no escaneaba los sitios web de contenido malicioso hasta que el usuario hace clic en el enlace a la página de búsqueda.
Anteriormente, el vínculo pre-escanear escaneaba todos los sitios encontrados por una búsqueda en Google.
Este cambio ha sido motivado como respuesta a las masivas críticas por los administradores de red que se quejaban que enlace escanear utiliza demasiado ancho de banda para el análisis de su sitio web.
Fuente:

• AVG Antivirus UPX parsing Divide by Zero Advisory, nruns security advisory
• Program update AVG 8.0.156, description by AVG“

- Gran parte del desarrollo se está centrando en mejorar la protección proactiva (defensa ante malware no clasificado en las firmas de virus de avast!).

- Cambio en la interfaz gráfica de usuario. Esto es algo largamente demandado por la comunidad de usuarios del antivirus. Aunque avast! permite el uso de skins (máscaras) que permiten cambiar el aspecto del programa, muchos sugerían que ya iba siendo hora de hacer un cambio radical al respecto.

Parece ser que nos tendremos que ir olvidando de la archiconocida skin con forma de reproductor de audio…

Si buscamos avast! en Google es muy normal que aparezcan anuncios patrocinados (a la derecha y/o arriba) de empresas o personas (más bien personas disfrazadas de empresas) que no tienen ninguna autorización para distribuir u ofrecer nuestro antivirus. Normalmente se trata de ESTAFAS y dado el volumen de gente a la que pueda afectar queremos incidir en ello.

El engaño más usado (que está siendo utilizado por las webs www.avast-antivirus.org y www.avastdesoft.com actualmente) consiste en lo siguiente: se crea una web con colores normalmente bonitos, con apariencia 2.0, para que resulte lo más llamativa posible. Se da a entender al visitante que esa web pertenece a la empresa desarrolladora de avast! o que se trata de un distribuidor oficial cuando no es así en absoluto (incluso incluyen página de soporte que por supuesto no dan ya que los formularios no suelen funcionar). Hacen uso de imágenes y logos del producto de manera ilegal y no autorizada. Te indican que se trata de un producto freeware (gratis). Y por último lo que más destaca en todas las páginas es el botón de “Descarga”, “Descárgalo ya” y análogos.

Lo que realmente te estás descargando es un instalador que nada tiene que ver con avast! y que suele estar infectado con algún tipo de spyware, por lo que es evidente el peligro que puede suponer para el usuario desinformado.

Otro sistema también profusamente presente es el de los SMS premium. Una vez descargado el archivo se te pedirá una clave que conseguirás cuando envíes varios SMS (normalmente con un coste de 1,20 euros mas IVA cada uno) para que te la den. Luego si tienes suerte te encontrarás con un avast! Home que como sabéis es totalmente gratuito si lo buscas en los canales oficiales. En otras palabras, has pagado por un producto que es gratis. En otras ocasiones lo que instalarás será un programa que no tendrá nada que ver con avast!.

Por último, el más grave de todos: vender licencias de avast! a través de una web montada al efecto y que no está autorizada ni por Alwil Software ni por La tienda avast!. Lo “mejor” del caso es que lo que recibirás al comprar en estas webs es una licencia de avast! Home, que como hemos dicho es totalmente gratuita siguiendo las instrucciones que detallamos aquí.

Así pues recomendamos a nuestros lectores que tengan en cuenta que los anuncios patrocinados que salen en Google destacados no tienen por qué ser de webs legítimas, y que hay mucho aprovechado suelto a la espera de cazar al usuario incauto/desinformado.

Por nuestra parte cada vez que somos conscientes de la existencia de una de estas webs-estafa nos ponemos en contacto con sus responsables para informarles de la ilegalidad de sus actos y las posibles consecuencias judiciales si no dejan de realizar la actividad ilícita. En muchas ocasiones esto no es posible porque ya se encargan de los formularios de contacto de sus webs no funcionen y además ocultan sus datos en el registro de los dominios, por lo que hay que pasar a otras soluciones menos amistosas.

Versión 4.8.1227

- Mejoras en ciertos unpackers (WinExec, SFX CAB, LHARC, ZOO).

- En vistas a reducir los falsos positivos el chequeo de archivos críticos de sistema se realiza incluso en el escaneo por acceso.

- Arreglado bug en el escáner bajo línea de comandos (recuento de directorios).

- Arreglado fallo de entradas duplicadas de contenido en el escaneo de discos duros de sistema en Windows Vista.

- Cuando se aborta un escaneo iniciado por la extensión del explorador (ashQuick.exe) ahora ya acaba inmediatamente.

- Arreglado fallo en el envío de informes SMTP.

- En Windows Vista y Vista x64 se arregla fallo de verificación de firmas digitales que sucedía en el escáner por acceso.

- En la interfaz avanzada de usuario se elimina el hecho de que pulsando la tecla Del o Supr (suprimir) se pueda borrar una tarea por defecto.

- Resuelto un conflicto de sincronización que podía provocar cuelgues en componentes de avast! al ejecutar ciertas aplicaciones (por ejemplo Outlook).

- Arreglado fallo que se podía producir en Windows Vista SP1 y que podía ocasionar problemas de apagado.

- Mejorado el manejo de excepciones en el módulo de protección estándar.

- Mejoras en el manejo de correos IMAP.

Versión 4.8.1229

- Módulo de protección web: arreglados problemas de compatibilidad con el navegador Ópera.

- Módulo de protección web: arreglado problemas con algunos routers de la marca D-Link.

Recomendamos a todos la actualización si no se ha producido de manera automática. Para realizarla manualmente haced clic con el botón derecho en el icono residente (la bola azul con la “a”), id al menú “Actualizar” y seleccionáis la opción “Actualizar el programa”.