Los peligros (a veces olvidados) de la web 2.0

jueves, 16 octubre 2008 17:42 by armando

Hace unos momentos cai en cuenta de algo y no quize irme a dormir sin postear al respecto. Cada vez mas escuchamos como los hackers tratan de hacer caer a las victimas en sus paginas de internet para hacer descargas de malware y trojanos. Pero poco nos ponemos a pensar (por lo menos en mi caso) de que herramientas de dia a dia, y que son muchas veces de uso de personas savvy en cuestion de internet nos ponemos en riesgo.

Cuento con una herramienta que compre llamada ForceField de la empresa ZoneAlarm, que a su vez es subsidiaria de Checkpoint. Basicamente es un software que te protege a nivel navegador de paginas que puedan ocasionar o querer descargar algun elemento nocivo para la PC (malware, virus, etc...). En algunas ocasiones anteriores al tratar de entrar al servicio de tinyurl (para los que no lo conocen es un servicio que permite acortar URLs para hacerlos mas faciles de recordar), me marcaba como un sitio peligroso y que entrara bajo mi propio riesgo, a lo que realmente poca atencion le daba, debido a la reputacion que se que tiene esta herramienta y lo disperso que este en internet.

Sin embargo el dia de hoy me cayo el 20 de la advertencia, de que cualquier URL malicioso puede ser facilmente disfrazado por estos servicios y al tener el respaldo del nombre del servicio uno confia en la seguridad de la liga.

Asi que pienses 2 veces antes de acceder un recurso por medio de este tipo de servicios y asegurense que si lo van a usar en twitter o alguna pagina, sea de una fuente MUY MUY respetable, o por lo menos cuenten con un servicio de proteccion como ForceField, o un muy buen antivirus/spyware/malware.

Que tan precavido eres al navegar por medio de estos servicios para acortar URLs?

Digg It!DZone It!StumbleUponTechnoratiRedditDel.icio.usNewsVineFurlBlinkList

Sea el primero en calificar este post

  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Tags:   , , ,
Categories:   malware | software | web 2.0
Actions:   E-mail | Permalink | Comentarios (0) | Comment RSSRSS comment feed

Maldito malware

martes, 14 octubre 2008 16:14 by armando

El dia de ayer tuve un encuentro cercano del 3er tipo con un puerco malware. Un ejecutivo de alto rango de la empresa (de los pocos que tienen Messenger habilitado), cometio la equivocacion de aceptar un archivo .zip de esos muy comunes estos dias, donde el mensaje te dice que veas una foto.

Pues al enterarme que la computadora estaba infectada (miles de mensajes a todo el mundo, tratando de diseminar el virus), me di a la tarea de limpiar el equipo.

Lo primero que descubres es un ejecutable llamdo symlsvrn.exe, que obviamente no puedes eliminar debido que un proceso lo esta utilizando. Lo primero que las empresas antivirus recomiendan para lidiar con este tipo de malware es reiniciar el equipo en modo a prueba de fallos. Pues cual fue mi sorpresa que este malware ocasionaba que simplemente el equipo se reiniciara y no te permitiera hacerlo.

Como buen malware lo primero que hizo tambien fue modificar el archivo host local, para evitarme la navegacion a sitios antivirus, que despues de corregir el archivo, de poco sirvieron ya que ni una sola herramienta pudo ayudarme con la infeccion.

Las herramientas de regedit y de msconfig quedaron tambien deshabilitadas, para proteger cualquier modificacion que desearas hacer en el registro. A esas alturas me empece a desesperar porque practicamente el malware se estaba protegiendo muy bien.

Fue cuando recorde las buenas herramientas de systernals las cuales hace tiempo fueron adquiridas por Microsoft. Entre ellas esta el process explorer  y el PSKill. Pues cual fue mi sorpresa que el malware ni siquiera dejaba correrlas, mataba el proceso al momento de iniciarlo. Afortunadamente tienen la opcion que ademas de descargarlas las puedas correr en linea y de esa manera me lleve la impresion mas grande.

El archivo que les platico, estaba colgado del proceso explorer.exe, lo que significaba que jamas iba a poder tronar el proceso y al mismo tiempo eliminar el archivo.

Mi salvacion llego, con una solucion de bootear en Linux y usar una herramienta dentro del mismo .iso que me permitia modificar el registro. De esta manera elimine el registro que cargaba el archivo en memoria y por fin pude eliminar.  El proceso me tomo practicamente 4 horas.

Aparentemente el virus era el Netsky, o por lo menos asi lo detecto mi AV, pero dudo que haya sido esa variante, por lo menos lo pasos para resolver el problema eran muy sencillos.

Asi que no se olviden de 3 puntos muy importantes (definicion del personal para uso de messenger, usuarios sin privilegios de administrador y definicion de virus actualizadas), aunque esto no les garantiza al 100% que nunca se infecten, minimizan mucho el riesgo.

 

Digg It!DZone It!StumbleUponTechnoratiRedditDel.icio.usNewsVineFurlBlinkList

Actualmente calificado con 5.0 por 1 personas

  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Tags:   , , ,
Categories:   malware
Actions:   E-mail | Permalink | Comentarios (1) | Comment RSSRSS comment feed