Blogantivirus

La compañía Bakasoftware, de origen ruso, es la actual distribuidora y creadora de un supuesto software de seguridad llamado Antivirus XP 2008 (aunque ahora han lanzado la versión Antivirus XP 2009).

Este producto, que a simple vista puede parecer un antivirus, se ubica como uno más en la larga lista de productos scareware.

¿Qué es el scareware?, básicamente un software que alerta al usuario sobre una situación ficticia (como el hecho de tener un virus en el ordenador), para que este tome alguna acción en particular (desde instalar una herramienta, hasta incentivar para que este pague por comprar un software).

Según comentan en NYT, un investigador ha logrado revelar lo que se esconde detrás de esta compañía, Bakasoftware, de la cual se presume que tiene ingresos anuales de millones de dólares.

El producto que distribuye por Internet, revisa el sistema una vez que se ejecuta, para ver si el idioma está en inglés, ya que aparentemente estaría enfocado en este tipo de usuarios nomás (o quizás no tuvieron tiempo de traducirlo).

Por otro lado, una peculiaridad del producto, es que si al momento de ejecutar detecta que el idioma configurado es ruso, el programa termina su ejecución.

Como si esto fuera poco, existe un mercado para revender este producto, que les permite obtener comisiones de entre el 58 y 90% de cada venta, según el volumen vendido.

Para ir cerrando, un consejo desde BlogAntivirus: si van a instalar un producto de seguridad, verifiquen que los mismos han sido obtenidos desde los sitios oficiales de empresas reconocidas. Para investigar sobre una empresa, no necesitan más que sentarse 15 o 20 minutos a indagar por medio de algún buscador (como Google) y verificar en foros/blogs/sitios importantes, si estas empresas son de fiar.

Enlace: NY Times

Tags: antivirus xp 2008, antivirus xp 2009, bakasoftware, scareware

Una de las redes más importantes a nivel mundial de bots (botnets), Storm, podría estar de vacaciones, según algunos analistas de seguridad informática.

La actividad de Storm ha mermado notablemente durante el último mes, lo cual podría significar dos cosas… que los creadores se han salido del negocio… o que estos están tramando algo mucho más grande y, por tanto, su retorno no será placentero.

Lo peor del asunto, es que dado el caso de que se hayan salido del negocio, cualquier otra red con conocimientos sobre como funcionaba Storm, podría tomar control de las máquinas rehenes nuevamente, dando lugar a un nuevo candidato en este ‘mercado’ (si podemos llamarle así).

Vale resaltar, que según las cifras de Marzo del 2008 (por MessageLabs Intelligence), el 20% del SPAM a nivel mundial, sería originado por parte de Storm.

Habrá que sentarse a esperar que sucede con esta botnet, ya que en ambos casos significará problemas… solo que no podemos predecir cuales serán sus consecuencias.

Enlace: CNet

Tags: botnet, storm

Según informa Trend Micro, diversos fabricantes de seguridad registraban la existencia de websites maliciosas asociadas a la trágica noticia, las cuales aparecían a través de búsquedas realizadas en Google con el término “benazir”. Estas páginas tratan de infectar a los usuarios que quieren obtener más información sobre el incidente.

El equipo de investigación de los laboratorios de Trend Micro, TrendLabs, advierte que uno de los sitios web en cuestión contiene código JavaScript malicioso, que Trend Micro ha detectado como JS_AGENT.AEVE, y lo redirecciona.

Este script malicioso descarga un troyano (identificado como TROJ_SMALL.LDZ), que activa más archivos maliciosos, entre los que se encuentran WORM_HITAPOP.O y TROJ_AGENT.AFFR.

Más información en Trendmicro.

Fuente: Nota de Prensa oficial.

Según nos alertan los chicos de Panda, se está propagando estos días un virus mediante correo electrónico que se aprovecha del tirón de la última película de Disney para cometer sus fechorías. El mensaje lleva un fichero anexo de nombre Official Trailer Pirates of the Caribbean At World’s End.exe que al ejecutarse muestra una ventana de error relacionado con los codecs de vídeo, mientras que por detrás comienza a instalarse un dialer y a modificar parámetros de seguridad en el Internet Explorer para permitir la posterior descarga de más malware.

Más información en el blog de Panda.

Aunque por lo visto sólo se trata de una prueba de concepto sin intención de infectar los equipos de forma masiva (la muestra fue enviada directamente a SophosLabs por sus creadores), no deja de resultar interesante el comportamiento de este virus de macro llamado Badbunny que varía en función del sistema operativo donde se esté ejecutando.

El malware se distribuye a través de un documento OpenOffice Draw (badbunny.ODG) que intenta descargar una imagen JPG de un señor vestido de conejo realizando una “guarrerida española” y posteriormente, según el sistema operativo donde se ejecute, intenta infectar de diferentes formas:

- Si se ejecuta con OpenOffice bajo Windows, intenta descargar un fichero llamado drop.bad y borra system.ini de la carpeta del programa mIRC. También descarga y ejecuta badbunny.js, un virus en JavaScript que se replica en el sistema

- Si se ejecuta desde Linux, descarga badbunny.py (python) como script para XChat y badbunny.pl (Perl). Este es un pequeño virus que infecta a otros ficheros Perl.

- Si se ejecuta desde MacOS, descarga badbunny.rb o badbunnya.rb, dos scripts creados en Ruby.

De esta forma queda demostrada la posibilidad de crear malware multiplataforma a través de OpenOffice.

Vía: Hispasec