virus
Como toda cosa que se vuelve popular, WhatsApp es una aplicación a la que muchos entusiastas con grandes conocimientos en seguridad informática (y quizás alguna que otra mala intención) le han puesto el ojo con el objetivo de encontrar un hueco, un error o lo que sea como para “entrarle” y demostrar, además de que toda aplicación es imperfecta (en el caso de WhatsApp dista mucho de la perfección) que siempre va a haber gente con ganas de ca*ar la ver*a a los demás. En este caso, por lo menos, la molestia no va mas allá de tener todos los contactos de la aplicación con el mismo nombre: Priyanka. Primera pista: este virus debe haber sido programado por alguien en Europa del Este o, generalizando, Asia.
Este curioso virus se contagia a través del sistema de “compartir contactos” que tan bien funciona en la aplicación y deja, en última instancia, al usuario con la capacidad de instalarlo o no. El problema es que cuando un amigo nos manda un contacto a veces no tenemos la capacidad para discernir que puede ser un virus, aunque, preguntarle “¿qué carajo me estás mandando?” no puede estar tan mal después de todo.
(Así se ven todos tus contactos de WhatsApp si llegás a “comerte” el virulo)
Desde hace unos días vengo notando un aumento infernal de consultas respecto al bloqueo de cuentas de Hotmail (ahora Outlook) en familiares, amigos y conocidos, es alarmante.
Las cuentas se bloquean y el sistema nos ofrece enviarnos un correo a las direcciones alternativas, algo que en las cuentas que intenté recuperar, no ha funcionado.
En caso de que nuestra clave (o algún paso simple) no pueda ser enviado a una cuenta alternativa, lo siguiente que nos permite el sistema es rellenar un larguísimo formulario que consta de la pregunta de seguridad, las últimas contraseñas usadas que se recuerden, los contactos con los cuales más se comunica el usuario así como los asuntos más utilizados y hasta la tarjeta de crédito usada para pagar XBOX Live (?) entre otros.
El tema es que para mucha gente casi toda su comunicación informal pasa por Facebook y por ello solamente usa el correo electrónico para enviar y recibir alguna que otra cosa de vez en cuando, por lo que recordar cosas como los asuntos de los últimos correos puede ser complejo.
(Calientes…. como el motor. Así están muchos usuarios de Hotmail con sus cuentas bloqueadas)
Parece mentira, que tantos años después, DOS (o “CMD” de los nuevos Windows, que en definitiva es la consola, o sea, básicamente lo mismo) todavía me sea de utilidad en donde Windows falla miserablemente.
Hace unos días me pasó de nuevo, esta vez con mi vieja, que venía pálida, como si hubiera visto un fantasma… Antes de dejarme decir nada me increpó gesticulando excesivamente con un pendrive en la mano:
- ¡Las fotos! ¡Me borraron todas las fotos!
- ¿Uh? –Le pregunté.
(O quizás no le pregunté pero me vio arquear las cejas con aire inquisidor, no estoy seguro).
- ¡Unos hijos de puta!, ¡llevé las fotos a imprimir en este pendrive y me las borraron a todas!
- … (creo que tampoco dije nada)
- Y al enchufarlo en la compu, me dice que tiene virus, ¿Podrás arreglarlo?
Obviamente, antes de que termine la segunda frase yo ya había pensado en la posibilidad de que le hubieran enchufado el pendrive en una PC infectada con alguno de esos virus que te ocultan los directorios y los reemplazan por archivos ejecutables con el mismo nombre, también había evaluado la posibilidad de efectuar una recuperación de datos a bajo nivel que sabía sería exitosa en el pendrive o la memoria SD de la cámara y ya estaba evaluando mentalmente en donde tenía 16Gb de espacio libre para hacer un DD de todo el pendrive inclusive en el peor de los escenarios.
Lo correcto hubiera sido que le pida el pendrive y se lo arregle, pero es mi vieja y no aprende nunca así que para encumbrarle el susto, aguantando la sonrisa y con cara de póker le pregunté:
- ¿Y no tenías backup?
- No, todas las fotos del viaje estaban ahí.
- Que cagada… Bueno, dejámelo a ver que se puede hacer.
Si sos un pringao, deberías saber que si hay alguien de entre todos tus conocidos que conviene te deba favores, esa es tu madre, por que uno nunca sabe cuando va a necesitar planchar una camisa de urgencia o un trámite en horario laboral y te aseguras de paso por un par de meses -y hasta tanto la eches a perder de nuevo- la mejor porción en las cenas familiares los fines de semana y hasta puede que doble ración de postre, así que hacer un poco de circo en esta circunstancia me pareció lo mas conveniente.
¿Que había pasado?
Virus: Primero simpaticos y juguetones, malvados después –se llevaban tu información en la mayoría de los casos, el BIOS de tu PC en otros pocos-. devenidos mas tarde en la tanda siguiente de malware que aparentaba no tener una finalidad específica mas que la aparente necesidad de propagarse lo mas rápido posible y multiplicarse a la velocidad de la luz como si fueran conejos.
Al poco tiempo alguien se dio cuenta del potencial que representaban tantos millones de PC infectados y empezaron los problemas: Los virus informáticos dejaron de ser cosa intangible y virtual para pasar a ser algo intangible pero real, por que primero robaban tu dirección de correo electrónico para mandarte propaganda, después convertidos en legión de zombis comandados desde algún oscuro rincón de un servidor IRC, usados para concretar ataques de denegación de servicio a empresas o instituciones, mas adelante, disfrazados de keyloggers te robaban tu nombre de usuario y contraseña de correo electrónico y hasta por ahí nomás llegó la cosa antes de volverse una cosa tangible.
La última generación de malware va mas allá y así como antes te robaba tu número de tarjeta de crédito y número de PIN, ahora le apunta a los datos de acceso a de tu banca electrónica para robarte guita, centavo a centavo o todo junto de un solo guascazo.
Mas o menos por la mitad de la lista que menciono mas arriba empezaron los problemas en serio, la capacidad de las empresas para prestar servicios electrónicos colapsaba en mayor o menor medida y la justicia empezó a legislar el asunto, cárcel a los creadores de malware siempre y cuando los pudieran encontrar (cosa que rara vez ocurrió).
Todo este negocio del malware que mueve pilas y pilas de billetes virtuales –que luego una maquinita, mula de por medio, en algún paraíso fiscal convertirá en papel moneda- le ha dado un gran empuje al mundo de la seguridad informática, los encargados de las contramedidas no dan a basto, siempre habrá una vulnerabilidad por parchar y siempre habrá otra mas por descubrir. Del lado opuesto, mueve a miles de desarrolladores de software que impelidos por la codicia se deben pasar buena parte del día devanándose los sesos para encontrar una fallita nueva de la cual sacar provecho, la quinta pata al gato que le dicen pero versión online, sin gato y sin pata.
Todo esto ha llevado a que la complejidad del malware vaya en aumento de forma exponencial para llegar a extremos que rayan en lo ridículo, como la última actualización del troyano Zeus que es capaz de interceptar el mensaje de texto (SMS) que te envía tu banco a tu teléfono celular como medida de seguridad para confirmar una transacción y responderlo para robarte, sin que vos te enteres de nada. Todo esto por que además de tener la capacidad de infectar tu PC, te puede infectar el teléfono. Si, te conoce hasta ese punto… Mete miedo ¿No?
No debería, al lado de Stuxnet son puras mariconadas.
Brasil no es solo un país con playas hermosas, mujeres caderonas gracias a una genética fantástica y unos tipos que juegan fantásticamente al fútbol. También es uno de los países de la región con mayor índice de delito electrónico e informático. Si hace unos meses estabamos hablando de aquella invitación VIP (a la que no pudimos asistir) hoy nos desayunamos con un comprobante del banco Bradesco que nos dice en un perfecto portugués:
Por debajo está Certificado de Depósito
Por favor confirme una vez que recibe …
Obviamente si hablamos portugués y tenemos alguna caipiriña encima lo primero que se nos viene a la mente es “alguien de confianza” (persona a la que anteriormente le dimos el OK para que el cliente de correo confíe y nos muestre las imágenes) nos envió un deposíto. La siguiente acción de la mayoría de los usuarios es un siguiente, siguiente, siguiente y la instalación de un .DOC que se transforma en un .SCR
Desde ya y como siempre es recomendable no abrir ningún tipo de archivo adjunto (¡y menos si viene en otro idioma!) y en caso de que sin querer se haya hecho irse a otra PC y cambiar las claves de Correo y homebanking, aunque supongo que de todos modos este virus debe tener como mira a las cuentas brasileras, uno nunca sabe.
Los creadores del famoso Convite VIP al parecer están con todo. Luego de superar con mucha facilidad el SFHCEO (sistema de filtración humano contra estafas online) haciendo que incluso y sin quererlo millones de hispanoparlantes aceptaran invitaciones en portugués de sus amigos que ni siquiera hablan decentemente el español hoy se destapan con la versión móvil de Convite.
Existen varias versiones del Convite móvil pero, y a diferencia de la versión de escritorio, el virus se replica entre los contactos de la tarjeta SIM e invita a los contactos del infectado a una fiesta siempre y cuando descargan un ringtone (el cual se lo cobran a $3 + impuestos)
Después de descargar el ringtone con la metadata .jar que hace diabluras en el móvil el virus nos agradece para que nos quedemos tranquilos y sigamos infectando a nuestros amigos mientras esperamos por una fiesta QUE NUNCA VA A EXISTIR.
Por cierto, el ringtone es lo más.
Hace algunos días estoy viendo una masiva infección de un virus que infecta equipos con la vieja ingeniería social. Básicamente el virus llega en forma de correo con sujeto CONVITE y un texto en portugués, que dice lo siguiente:
Los textos suelen variar, como el caso de arriba que muestra Dotpod, pero en todas se ve el mismo final del correo hay un link que simula ser un adjunto pero es un link a un sitio que intentará que descargues y ejecutes un archivito. Increíblemente y si bien el remitente puede ser alguien conocido que bien saben no habla portugues muchas personas ejecutan de todos modos el archivo incluso con el aviso en rojo de hotmail, y por supuesto, se infectan y este virus (con algo que no había visto hasta ahora) levanta la libreta de direcciones de hotmail y se reparte a todos los contactos en busca de otras víctimas.
¿Cómo quitar el virus convite?
Más que quitar el virus Convite lo primero que hay que intentar es poner en resguardo la cuenta de e-mail cambiando la contraseña desde otro equipo que esté libre de amenazas. Luego lo mejor que pueden hacer es mandar un mail a sus contactos comentandole el problema y diciendole “NO ABRAN NADA DIGA CONVITE.ZIP” explicando además, la situación, porque, créanme, si están infectados den por seguro que sus contactos tendrán un correo enviado por ustedes con ese sujeto. lo pueden hacer. Luego de esto lo mejor es exportar la libreta de contactos, ponerla a salvaguarda (se la pueden mandar ustedes mismos a su cuenta de correo alternativa) y luego eliminarla de su cuenta temporalmente.
Una vez más tranquilos viene la hora de intentar quitar el virus. Para esto será mejor que dispongan de tiempo y ejecuten en modo a prueba de errores (previa deshabilitación de restaurar sistema).
Si no tienen mucho en el equipo lo mejor sería hacer una copia de respaldo e instalar Windows desde cero nuevamente, así se evita cualquier proceso o posible problema de seguridad que pueda haber quedado. Y si, antes que algún troll medio boludo lo deje en un comentario esta vez le voy a ahorrar el trabajo, si no quieren virus, instalen GNU/Linux.
Por más que se usen varios antivirus y antispywares, una PC puede quedar infectada.
Incluso hay veces (no muchas) que luego de usar C4, Napalm y Dinamita (Combofix, Elistara y Remove IT) los equipos siguen teniendo problemas de estabilidad y por supuesto y más importante, de seguridad, aunque es bastante improbable que alguna vez se tenga la certeza de contar con un Windows seguro luego de cualquier infección. En estos casos que cada día se ven más es cuando estamos ante la presencia de un rootkit, más conocido como ese temido tipo de malware que se autoesconde.
Hace un tiempo se habló de una forma muy básica como funcionan los rootkits y quienes son los que están detrás de ellos, eso que es más teoría que práctica hoy pasa a un segundo plano porque es hora de recomendar Unhackme, el que, es, a mi gusto, el mejor antirootkit que he probado (y he probado muchos, como los de la lista que posteó Spamloco y 486 y algunos más, entre ellos programas chinos y rusos sin traducción… Si, quitar estas cosas a veces se vuelve todo un desafío).
Unhackme no es un software gratuito, aunque permite su uso sin limitaciones por 30 días, lo suficiente para que cualquier técnico medianamente rápido pueda sacar un rootkit. Como pueden ver la imagen la interfaz es muy sencilla e intuitiva. Yo solamente lo uso para verificar los procesos de inicio (Check me now > Test Windows boot proccess) donde luego de reiniciar nos muestra muchos servicios y ejecutables que se cargan en Windows y que en general desconocíamos.
Una vez que le damos el poder de reiniciar el equipo solo se carga la ventana de Unhackme listandonos uno por uno los procesos y dándonos opciones de borrarlos o de marcarlos como falso positivo. Lo que hace muy bien este software es consultar una base de datos donde nos muestra un porcentaje de usuarios que borraron el archivo y lo tildaron como malware, incluso en muchos casos nos dice porqué y parte de qué malware es. Por si todo lo anterior fuese poco la última versión de este genial antirootkit se comunica con Virustotal y le envía los MD5 de los archivos que considera potenicialmente peligrosos. Todo él solito, y luego nos avisa si está todo bien… o está todo mal.
La degeneriería social (ingeniería social llevada al extremo casi degenerado) llegó a limites insospechados, tanto que ahora en lugar de aprovecharse de los usuarios de cualquier manera y a cualquier precio. Y lo peor es que muchos caen.
Ahora por ejemplo en los pendrives, o cualquier disco o memoria USB, se pueden ver virus que ponen los directorios originales como ocultos y crean archivos ejecutables del mismo nombre y hasta con el ícono de una carpeta, como bien dice 486 en su informe sobre virus en Pendrives:
El fucking virus había ocultado las carpetas reales, y había creado sendos ejecutables con el mismo nombre e icono! También había un ejecutable suelto y un autorun, para no dejar vector de ataque sin usar. El usuario entraba al aparato, y solo podía ver los ejecutables, por supuesto, sin las extensiones… lo cual es un excelente modo de hacer que cualquiera haga doble click sobre tu virus.
Nos tapa el agua muchachos… Por favor, recomienden SCav a todos sus conocidos.
Por N3RI. 
Voy a presentarte el mejor antivirus del mundo y voy a explicarte cómo usarlo.
Este antivirus, llamado SCav, no es un producto nuevo, de hecho existe desde antes de cualquier otro antivirus, pero es muy poco conocido, y tiene pocos usuarios. Al ser gratuito y un poco difícil para el usuario novato, no tuvo la misma repercusión de otros productos.
SCav, al contrario de lo que se piensa, es muy sencillo de usar, tanto que ni siquiera hace falta instalarlo, ya viene en todos los sistemas, preinstalado. No hace falta tampoco descargarlo de internet, ni configurarlo, está listo para usarse. Es tan automático que ni siquiera tiene interfaz visual, ni ventanitas, ni siquiera un ícono en la barra de tareas. Nada. Además, ocupa muy poca memoria.
¿Y cómo funciona este fantástico antivirus del que nos hablás, N3RI? ¡Contanos más!
Muy sencillo. SCav se activa cada vez que estamos en la computadora y vamos a hacer algo“peligroso” que pueda infectarnos. Sí, leyeron bien, es tan avanzado este programa que no funciona durante, ni después, sino ANTES de que un virus intente atacar nuestro sistema. Y funciona automáticamente, evitando la infección o la pérdida de datos valiosos.
Les doy algunos ejemplos de la eficiente forma de funcionar de SCav:
Si de repente se abre una ventana del messenger y tu compañero de oficina Alberto, con el que no hablás casi nunca te dice “eu vocé tein que mirá estas fotos.zip de garota muito bonita” o“here they arr, the photos.rar you asked me. My girlfriend and I javing sex on the international chess anual competition”… SCav activa una pequeña alarma y bloquea el mouse para que no podamos descargar el archivo y abrirlo e infectarnos. SCav sabe, heurísticamente, que los que participan en competencias de ajedrez no tienen novia, y que Alberto no sabe hablar portugués.
Si volvemos del cyber y metemos un pendrive en el USB, SCav te protege porque previamente instaló un pequeño programita en el pendrive (el que tanto te recomendó tu amigo informático) que lo mantiene seguro, además desactivó automáticamente el autoarranque de windows.
SCav obedece ciegamente las órdenes y los consejos de tu amigo informático. SCav libera toda la parte de memoria que guarda recuerdos de novelas mexicanas o la letra de temas de regaeton… en tu cerebro y la usa para almacenar información importante sobre seguridad informática, o sea, todo eso que tu amigo informático te repitió mil veces cada vez que le preguntás algo.
SCav configura el explorer para que muestre todos los archivos ocultos y las extensiones de todos los archivos, sean conocidos o no, SCav te enseña lo que son y para qué sirven cada una de esas enigmáticas 3 letras que van después del punto.
Si SCav detecta un archivo con doble extensión como mis_tetas.jpg.exe o baile_erotico.mpg.com agranda la primera extensión a times new roman 42, lo pone en rojo y hace sonar un .wav con el ruidito que hacía el sentido arácnido en el dibujo animado “Spiderman y sus amigos”.
SCav directamente elimina los mails sospechosos sin abrirlos y te muestra una imagen aleatoria de un atardecer y un cachorrito, para quitarte de la cabeza la tonta curiosidad de saber qué tenía ese adjunto misterioso.
SCav es tan completo, que cuando intentes poner tu mail y contraseña de hotmail en cualquier página distinta de hotmail, bloqueará tu teclado, te mandará una descarga eléctrica a través del mouse y te redirigirá a google.com impidiendo así que entregues tus datos privados a desconocidos. SCav hará que no te importe ni un comino quién te tiene admitido o no.
Creo que si no existieran virus trabajaría de mozo.
Y no, no hablo del trabajo de mozo en forma despectiva, al contrario, trabajé de mozo durante algunos años detrás de una barra y me gustó mucho, es un trabajo muy ameno y divertido, se tienen pocos problemas, a lo sumo algún trago con poco ron o mucho hielo y tener que soportar al borrachín de turno. La gente cuando sale de noche lo hace para pasarla bien y por lo general tienen la mejor onda, eso hace que estar detrás de la barra no sea algo demasiado estresante. Es más, me gustaría algún día volver a hacerlo, en un local propio, claro.
Quizás me fuí demasiado de tema, quizás no, pero a lo que quiero apuntar es todo el mercado laboral indirecto que genera Windows es inmenso, desde programadores, administradores IT hasta técnicos, casi todos en parte viven de Windows, ahora es la parte dodne algunos están pensando en comentar que si otro Sistema Operativo fuese el mas usado se viviría de él, y acá es donde yo digo que de los virus, del mercado de los virus somos muchos los que trabajamos, algunos indirectamente y en parte, y otros directamente como todo la cadena del mercado de antivirus solo se dá gracias a Windows.
Cuando era chico a veces me preguntaba ¿Como pueden ser tan malos los virus para que las oficinas no abran algunos días por miedo a perder toda la información? Luego crecí y me fuí convirtiendo en adulto luchando contra virus malvados, dañinos, cizañeros, incluso a algunos de ellos los recuerdo con cierto cariño. Hoy me encuentro escribiendo esto al lado de dos gabinetes cuyos Windows están infectados por variantes del Virut, un virus tan malo que cuando infecta un Windows, el unico camino posible es formatear.
El virus roberto fué bastante bocasucia, además de ser uno de los pocos virus argentinos.
Virut es maldito, es un demonio cuyo único objetivo es el odio de la población mundial a todo antivirus existente. Estos días de convivencia con “la pesadilla” me hizo retrotraer en el tiempo y volver mentalmente a épocas donde tenía menos Kilos y mas sueños, épocas donde también virus tan o más malos que Virut tuvieron su esplendor, y entre los más malos se destacaron:
Chernobyl: El virus CIH más que malo fué un reverendo hijo de puta. Además de intentar romper la tabla de particiones (algo normal de un virus que quiera considerarse malo) el Chernobyl (alias NUKE) reflasheaba la memoria EPROM de las BIOS volviendo inutilizable no solo el Sistema Operativo, sinó el Motherboard entero. Por aquellos momentos tener varios modelos de BIOS era sinónimo de salvar las papas a la gente y hacer dinero. Gracias a este virus aprendí a hacer Hotflashs de BIOS dañadas para volverlas a la vida.
Muchos programadores de malware son genios en informática.
Genios del mal, que se mantienen en penumbras debido a que lo que hacen no es algo que esté muy bien visto que digamos, pero genios al fin y al cabo. Día a día uno ve cómo se las ingenian para burlar cada sistema de seguridad que los mejores antivirus intentan ponerles por delante, y una vez infectado el sistema, su malware se disemina como una metástasis de un cáncer fulminante, que entre otras cosas, también:
- Imposibilitan el inicio en modo a prueba de fallos (se reinicia cuando se intenta de ese modo y solo inicia en modo normal), algo fundamental para eliminar malware moderno y que se está observando mucho ultimamente, generalmente con aquellos malwares que funcionan como rootkits.
- Se diseminan vía memorias y discos USB (el famoso virus del autorun y sus variantes).
- Deshabilitan el administrador de tareas, el acceso al editor de registro (regedit), la configuración del sistema (msconfig), el editor de políticas (gpedit.msc), el comando ejecutar, restaurar sistema, el antivirus de turno, el firewall de Windows y cualquier todo otro intento de segurización del sistema.
- Cambian las políticias de grupo a su gusto, agregan sitios de confianza a la lista de Internet Explorer, modifican el archivo de hosts para que no sea sencillo ingresar a sitios de antivirus y seguridad, incluso he visto algunos tan inteligentes que detectan cuando uno explora alguna carpeta con programas de seguridad, fixes o antimalwares e inmediatamente lo borran (en caso de que sea un pendrive) ogeneran una BSOD cuando la ponemos en modo solo lectura (¿a través de un buffer overflow?)
(Exploit de la vulnerabilidad MS08-067)
