Análisis de malware

Win32/Gataka: troyano bancario analizado en profundidad

El siguiente post es una traducción y adaptación de la publicación Win32/Gataka banking Trojan – Detailed analysis escrita por nuestro investigador y colega de ESET, Jean-Ian Boutin. Asimismo, la amenaza analizada aquí es detectada por los productos de ESET como Win32/Gataka.B. Gataka es un troyano bancario diseñado para robar información y alterar todo el tráfico

Malware anti‑sandbox, reflexión sobre presentación en Black Hat 2012

Hace dos semanas tuvimos la gran oportunidad de participar de la BlackHat y la Defcon, dos de los eventos de seguridad informática mas grandes del mundo, escuchando una gran variedad de ponentes de primera línea. Entre ellas presencié una charla el segundo día de la BlackHat llamada “Flowers for Automated Malware Analysis” dictada por Chengyu Song

Comentarios engañosos en YouTube

Una de las características más importantes de las redes sociales es la posibilidad que tienen los usuarios de expresar sus opiniones acerca de lo que otros publican. Particularmente en YouTube, un usuario registrado puede hacer cualquier tipo de comentario acerca de un video o algún tema que considere relacionado. Analizando los comentarios que realizan los

Flame, Duqu y Stuxnet: análisis en profundidad del código de mssecmgr.ocx

El siguiente post es una traducción y adaptación de la publicación Flame, Duqu and Stuxnet: in-depth code analysis of mssecmgr.ocx escrita por nuestros colegas investigadores de ESET, Aleksandr Matrosov y Eugene Rodionov. El gusano Flame (detectado por ESET como Win32/Flamer) es uno de los ataques dirigidos que mayor interés ha despertado durante este año. A

Capturando contraseñas en sitios web

Los keyloggers han existido durante mucho tiempo. La finalidad de este tipo de malware es la captura de las teclas presionadas por el usuario que se encuentra infectado y así recabar información crítica, como puede ser credenciales de acceso a diferentes servicios, entre otros. Durante este artículo veremos cómo han evolucionado y de qué forma

Los días después de DNSChanger

Tiempo atrás surgió una amenaza conocida bajo el nombre de DNSChanger la cuál es detectada por ESET NOD32 Antivirus como Win32/DNSChanger. Este malware tiene como finalidad redirigir a los usuarios infectados a sitios maliciosos.  Las redirecciones se llevan a cabo mediante la modificación de las direcciones IP de los DNS del sistema infectado. El pasado

ZeroAccess: Crónicas de inyección de código

El siguiente post es una traducción y adaptación de la publicación ZeroAccess:code injection chronicles  escrita por nuestro investigador y colega de ESET , Aleksandr Matrosov. Para el fin de otoño del 2012, la familia de rootkit Win32/Sirefef y Win64/Sirefef (también conocida como ZeroAccess) fue actualizada. Comenzamos con el seguimiento de la primera muestra actualizada en el comienzo

Análisis técnico de ACADMedre.A

Mucho se ha estado hablando en los últimos días sobre el gusano utilizado para espionaje industrial ACAD/Medre.A, el siguiente articulo detallara el accionar que tiene dicho gusano para cumplir con su cometido. ACAD/Medre.A es un gusano escrito en AutoLISP, una variante del lenguaje LISP usado en AutoCAD. A grandes rasgos, el código malicioso realiza las

Win32/Dorkbot: investigando un sistema infectado

Cuando hablamos acerca de códigos maliciosos hemos visto que son capaces de usar una gran cantidad de técnicas para evitar su detección en el sistema. Sin embargo, a través de un análisis minucioso de un sistema infectado es posible detectar de que manera se vulnera la privacidad del usuario y el atacante obtiene su información.

Android/NoComA: falsas actualizaciones e instalación de malware

Durante los últimos días se ha hablado acerca de Android/NoComA, una nueva amenaza para la plataforma móvil de Google que es utilizada para instalar falsas actualizaciones de Android. Este código malicioso se propaga a través de páginas web que han sido vulneradas, en dónde se inyectó código malicioso para afectar a los usuarios de Android, presenta ciertas

Análisis de la botnet Festi: reina del spam

El siguiente post es una traducción de la publicación King of Spam: Festi botnet analysis publicado en el blog de ESET Norteamérica. Nuestros colegas de ESET, Eugene Rodionov y Aleksandr Matrosov, realizaron un análisis completo (en inglés) sobre un malware conocido como Win32/Festi. Tal como puede apreciarse en el mencionado análisis, Festi es una botnet que está en

Troyano utiliza Tor para anonimizar su actividad maliciosa

En los laboratorios de ESET se ha descubierto un troyano tipo backdoor que utiliza Tor como forma de anonimizar su comportamiento malicioso en Internet. De este modo, cualquier tráfico generado por el malware que intente ser analizado y capturado por autoridades o investigadores, resultará complicado de interpretar por el mal uso que hace este código

¿Cómo interactúa un botmaster con una computadora zombi?

El siguiente post es una traducción adaptada al español de la publicación “OS X Lamadai: Flashback isn’t the only Mac malware threat” escrita para ESET Norteamérica por Alexis Dorais-Joncas. El análisis técnico y la creación del entorno de prueba fue realizado por Marc-Étienne M. Léveillé. Desde la aparición de OSX/Flashback, la primera botnet relativamente masiva

Troyanos que utilizan proxies permanecen vigentes

Esta semana recibimos en el Laboratorio de ESET Latinoamérica una muestra de un troyano que es detectado por ESET NOD32 Antivirus como BAT/Agent.NLF Troyano, el cual se propaga a través de un correo electrónico que mediante un supuesto video del novio de una de las integrantes de Big Brother Brasil 2012, intenta persuadir a los

BAT/Autorun.DN: recordando viejos tiempos

Con el pasar del tiempo la historia de los códigos malicioso ha ido experimentando drásticos cambios en varios aspectos como el tecnológico y motivacional. El primero es algo obvio, las amenazas suelen ser diseñadas para las computadoras y sistemas operativos de la época al igual que lo que sucede con programas legítimos. Es muy poco

Rogue utiliza Shakespeare para "ofuscar" datos

El viernes de la semana pasada estuvimos hablando sobre una muestra de un código malicioso que se hacía pasar por una solución de seguridad gratuita que para cobrarle al usuario por su uso. Analizando el archivo más en detalle se puede observar que el ejecutable se encuentra en un paquete autoextraíble. Al descomprimirlo, curiosamente, el