[:P] ¿Será esta la canción del verano 2009?

Navegando un poco por el Internete, me he encontrado con este video-clip que promete ser la canción del verano. En él se tratan conceptos tales como: windows, disco duro, usb, pendrive... Es por esto por lo que lo considero bastante instructivo (xD).

Yo soy el disco duro del amoooooooooorr...

Infección de un sistema a través de una web

Buscando en google: "reclamación de cantidades IRPF" me encuentro con varios resultados; uno de ellos es el que sigue:

Aparentemente se trata de un benigno fichero en formato pdf... Sin embargo, la sorpresa nos la llevamos al acceder a dicha URL, y ver que no se trata de un documento pdf sino de una página web, aunque la barra de direcciones del navegador apunte a dicho fichero.

No obstante, si en lugar de hacer clic en el resultado que nos muestra Google, copiamos y pegamos dicha URL en la barra de direcciones del navegador, sí que se muestra el fichero pdf en cuestión:

Este es el principal motivo por el que nunca se debe hacer clic en los enlaces contenidos en un e-mail procedente de un desconocido; pueden tratarse de una redirección a otro sitio web.

Bien, pues si hacemos clic en la URL que nos proporciona Google, e intentamos cerrar la pestaña del navegador que contiene la susodicha web, obtenemos un cuadro de diálogo en el que se nos informa de que nuestro equipo se encuentra en riesgo de infección:

Si se hace clic en el botón "Cancelar", es decir, se acepta el escaneo, se nos redirige a: http://sercurityverpcs.com/ y la ventana del navegador se transforma de esta guisa, simulando ser una ventana del Explorador de Windows XP:

en la que se lleva a cabo un análisis ficticio del malware presente en nuestro equipo y se nos incita a que descarguemos e instalemos un software milagroso que permitirá su eliminación. Evidentemente, todo se trata de un engaño, puesto que en realidad nos hallamos ante una animación.

En el momento que el usuario instala el susodicho software, este crea una entrada en el registro para permitir su carga al inicio del sistema operativo (se puede comprobar mediante el programa Autoruns, en la pestaña Logon) y bombardea al usuario con un gran número de falsas alertas sobre infecciones en su equipo; hasta incluso llega a reportar ficheros legítimos del sistema operativo como infectados.

Es trivial constatar que se trata de un fichero maligno usando el programa ProcessExplorer, mediante la opción Verify image signatures, del menú Options, puesto que el susodicho proceso no aparece firmado:

Asimismo, cuando intentamos lanzar un ejecutable, el software nos dice que está infectado y que es necesario comprar la versión de pago del mismo para poder desinfectar por completo nuestro equipo. En el formulario, se deben proporcionar datos personales, tales como el número de tarjeta de crédito, dirección... Es en este punto cuando el proceso creado por este malware envía el contenido del formulario a la IP 78.129.166.98, mediante una conexión cifrada segura (se puede comprobar mediante el programa TCPView). Se devuelve entonces un código de error, pero el delincuente ya posee el número de tarjeta de crédito del usuario, con el objeto de vaciarle la cuenta bancaria. El único ejecutable que es posible lanzar es el navegador de Internet; es obvio que así sea ya que actua como intermediario en la transmisión de la información.

Si buscamos dicha IP en la web http://www.malwareurl.com/, comprobaremos que está registrada como sitio web que contiene malware y que tiene distintos nombres de dominio asociados:

Asimismo, podemos observar que está registrada en Estados Unidos:

Puedes descargar el software utilizado para el análisis de los procesos (Autoruns y ProcessExplorer) y para las conexiones de red realizadas (TCPView), desde la web de Sysinternals:

http://www.microsoft.com/sysinternals

Finalmente, una reflexión que dejará a más de uno con la boca abierta. Enviamos el archivo que nos ofrece descargar la web maligna a VirusTotal (http://www.virustotal.com); un servicio online en el que cada archivo se analiza haciendo uso de todos los motores de búsqueda existentes en el mercado. Pues, bien, a fecha 05/07/2009 el porcentaje de detección fue sólo de un 20%, aproximadamente:

Este resultado debe llevar al usuario a reflexionar... Dada la inmensa cantidad de virus, malware, troyanos... existentes hoy en día en la red, es necesario aplicar el sentido común a la hora de navegar y... lo más importante, hacerlo siempre con usuarios limitados, puesto que de este modo, al tener menos permisos, los cambios efectuados por un programa maligno en el equipo se pueden solucionar muy fácilmente. En este caso en concreto, el sistema hubiera sido inmune al 100% (comprobado), aunque también lo hubiera sido si el usuario no hubiera descargado y ejecutado el archivo.