domingo, 21 de octubre de 2012

¿Y tu que harías?

Pensar lo que se nos pasa por la cabeza cuando recibimos  una llamada de una amigo y pregunta una cosa tal que así.

 en fin historias para no dormir....



La CiberGuerra, Ciberespionaje y el CiberTerrorismo

Para dar ha  entender un poco el mundo de los virus, os voy a dejar este documental del Televisión Española, sobre la cibergurra, es interesante, así que os lo dejo por aquí.....




es bueno saber quien esta detrás de todo esto, después de ver el documental echar a volar vuestra imaginación, y preguntaos si estamos preparados para esto.


Java/Jacksbot.A: Malware busca passwords de Minecraft


He rescatado una noticia interesante, para todos aquellos que os pensais que los virus son solo de Microsoft y sus sistemas operativos, no os penseis que con vuestro Mac o Linux estais seguros, se trata de un malware que es multiplataforma y se adapta perfectamente a su entrono, digamos que este malware, en comparativa con los coches, es un todo caminos.

Os dejo la Noticia de Apple Seguridad.

http://www.seguridadapple.com/2012/10/javajacksbota-malware-busca-passwords.html


sábado, 20 de octubre de 2012

TDL4 lo mas sofisticado en Bot

El otro dia llegue de trabajar y como todos los días, me pongo a revisar noticias de seguridad ya que las otras siempre son las mismas "malas", como que no pierdo en tiempo en leerlas, y revisando los Tweets leo algo así
Podeis ver la noticia en el siguiente enlace,
http://www.elladodelmal.com/2012/10/botear-crimeware-as-service-con-una.html

Lo que me hizo pensar  que es esto y hasta donde llegan. Mirar un informe publicado por la empresa Kaspersky Lab.

Como este articulo es demasiado grande para explicarlo en un solo post lo pondré en 2

Primera Parte

Las diferentes versiones del TDL4

Un programa malicioso que al que la empresa Kaspersky lo detecta como TDSS y que pertenece a uno de los virus mas completos que se conocen, este virus usa diferentes artimañas para que los programas de antivirus no lo detecte, ni por las firmas, ni por un control heurístico o bien por un control proactivo, pues bien este virus hace maravillas, aplica conexiones cifradas entre el cliente "el virus" y su centro de control "el atacante", ademas este boot posee un potente rootkit que permite camuflar la presencia de cualquier programa sospechoso en el sistema.

El nombre con el que se dio a conocer fue TDL, este virus se viene perfeccionando desde el 2008, en el 2010 la ultima versión del virus era la TDL-3.
Como todo buen programa se puso a la venta, si si , sigo hablando del virus, al ser tan bueno ¡como no! lo pusieron en venta, así que en diciembre del 2010, el TDL-3, contenía ciertos módulos de otro programa malicioso llamado SHIZ.


Entonces apareció en internet un programa de afiliación que se dedicaba a suplantar los resultados de los sistemas de búsqueda y que pertenecían a los creadores de SHIZ, pero su estructura era la del   TDL-3, con todo esto lo que ha pasado es que vendieron el virus a los delincuentes que han creado  el programa malicioso SHIZ. 

Pero ¿por que?,  la razón es fácil, ya tenían una versión superior la llamada TDL-4, lo mas probable que los cambios de una a otra versión fuesen tan grandes que no le temían   a la versión anterior.

Para que se puedan hacer una idea este botnet contaba con mas de 4,5 millones de ordenadores infectados.


Programa de Afiliados

La nueva versión del virus quedo intacta, pero el método de propagación lo hacen por medio  de afiliados, obviamente pagan por cada infección y para que os podáis hacer una idea pagan entre 20 a 200$ americanos por cada 1000 infecciones, caro depende de la ubicación geográfica, el TDL se difunde entre los recursos pornográficos, sitios piratas, etc, pero no os creáis que todo el monte es orégano,  solo damos una vuelta por internet y vemos infecciones masivas de blogs y no precisamente de pornografía. 

Los cambios en TDL-4 afectaron de alguna manera a casi todos los componentes del programa malicioso y sus actividades en la red. Los desarrolladores del virus expandieron las funcionalidades del programa, modificando el algoritmo de cifrado de la comunicación entre bots tratando de garantizar el acceso a las maquinas infectadas incluso si clausuran los centros de administración de la bonet, al parecer lo que tratan de hacer una un bonet "indestructible".

Indestructible

Uno de los cambios claves de este virus, en comparación con su versión anterior, fue la actualización del algoritmo de cifrado de sus comunicaciones.

Los equipos infectados tienen un fichero de configuración, donde se escriben los parámetros usados por los diferentes módulos para llevar a cabo sus actividades ilegales y de las conexiones con los servidores de administración 



En comparación con la tercera versión, el formato del fichero de configuración ha cambiado poco. La adición clave es el parámetro “bsh”. Este parámetro es el identificador del ejemplar del programa malicioso, asignado por el servidor de administración durante la primera conexión con el bot. También sirve como una de las llaves de cifrado durante las siguientes conexiones con el servidor de administración.





Durante la inicialización del protocolo se crea una tabla de suplantación para la solicitud http inicial del bot. Esta tabla se inicia con dos llaves: el nombre del dominio del servidor de administración de la botnet y el parámetro "bsh". La solicitud inicial se cifra y se convierte al formato base64. Después, en el inicio y final del mensaje obtenido, se agregan cadenas aleatorias escogidas con anterioridad en formato base64. La solicitud completa se envía al servidor mediante el protocolo HTTPS.

El algoritmo propio de cifrado de la comunicación entre los centros de administración de la botnet y la red evita que se pueda analizar el tráfico de red y bloquea los intentos de otros delincuentes de interceptar la administración de la botnet.


Continuara..........

El virus se trae su propio antivirus, se conecta a la red p2p, usa proxy, y mas funcionalidades  que explicare en la segunda partes.