Mario Chilo IT Security Professional

Profesional en Ingeniería de Sistemas. Especialista en Tecnologías de la Información, Seguridad Informática y Data Recovery. Analista de virus informáticos y código malicioso. Experto en Tecnicas de Detección y Eliminación de Software Malicioso.

Photobucket

El Proximo Sábado 09 de Enero se llevará acabo el Día de la Vacunación de Computadoras. En esta ocasion dirigida a los vecinos del Distrito de Surquillo. Esto gracias a la alianza estrategica de la Municipalidad de Surquillo, la empresa de Seguridad Informatica ESECURITY y el Portal www.laboratoriovirus.com

En este día cualquier vecino de Surquillo podra llevar su CPU a las instalaciones de la Casa de la Juventud ubicada en la Av. Republica de Panama 5300. Aqui nuestros expertos revisaran las PCs y eliminaran cualquier software malicioso que se encuentre. Las PCs quedaran libre de virus.

Solo necesita acercarse con su CPU(NO traer monitor) y su documento de identidad(con residencia en Surquillo)

El cupo es limitado a los 300 primeros vecinos, para separar cupo escribir al correo:

vacunacion@munisurquillo.gob.pe . Tambien pueden escribirnos para cualquier consulta a nuestro correo vacunacion@laboratoriovirus.com

Nota: Si alguna institucion gubernamental o instituciones privadas quisieran contar con este tipo de evento, escribir al correo electronico mchilo@laboratoriovirus.com

Los esperamos a todos los Surquillanos.

A todos los lectores de mi Blog les Deseo un FELIZ NAVIDAD. Recuerden que por esta epoca aparecen muchos virus y gusanos que vienen por Correo Electronico, sean precavidos y recuerden que la curiosidad mato al Gato.



Que la pasen bonito en union de la Familia y amigos.





Son mis sinceros Deseos.





MERRY CHRISTMAS.

Esta semana una pagina web local fue infectada por un troyano, la cual potencialmente podria haber infectado a las PCs. Cabe señalar que este malware fue desarrollado aqui en Perú. El hecho fue reportado por varios usuarios el lunes por la mañana, se desconoce desde cuando estuvo infectada la pagina Web. Pero según el portal de http://www.virustotal.com/ la primera muestra de este Malware que recibieron ellos fue el 12/12/2009(Desde el Sabado). El lunes pasado al iniciar los reportes, se analizo la muestra y solo 4 antivirus lo detectaban, y lo mas resaltante de este hecho fue que los antivirus que usualmente son utilizados aqui en Peru no lo detectaban. Asi mismo los 3 antivirus que se encuentran en el Cuadrante de Gartner(TrendMicro, McAfee, Symantec) que son utilizados por la mayoria de empresas corporativas aqui en Perú y en el Mundo, recien detectaron a este Malware luego de 5 o 6 dias. Es realmente aterrador, pensar que empresas antivirus teniendo la muestra en sus laboratorios se demoren tanto en sacar la vacuna(varios dias). Esta Web que hago referencia es visitada por miles de personas en el todo el Perú y no dudo que haya infectado a algunos de ellos. Y me pregunto realmente estamos protegidos?. Que podemos hacer para que esto no vuelva a suceder.

En primer lugar tenemos la prevencion, y es muy importante prevenir que una amenaza de malware afecte a la organizacion. Por una parte sabemos que los malwares de hoy en dia no destruyen informacion vital de las computadoras, pero lo que hacen es robar informacion, y eso podria ser aun peor que borrarla.

Seguimos en el historial de esa variante del troyano Cosmu, El Lunes por la tarde solo 10 antivirus detectaban esta muestra. Y solo 5 de ellos lo detectaban en forma correcta, los otros 5 con su heuristica. Porque enfatizo esto, porque detectar en forma heuristica depende mucho de como esta configurado el antivirus, en algunos casos, esta opción no esta por defecto para no generar falsos positivos. Al ser detectado en forma heuristica, por lo general se le pregunta al usuario que accion tomar, otros antivirus simplemente mandan la muestra a cuarentena. Ya que se trataba de un malware peruano, ese misma noche me contacte con Jose Martinez(Creador del Antivirus The Hacker) para indicarle lo sucedido y puedan capturar una muestra de este troyano. En forma efectiva en cuestion de minutos sacaron una actualizacion que detectaba y elimina al troyano en mencion. La muestra tambien fue enviada a otras empresas antivirus.

El Martes por la tarde el troyano fue eliminado de la pagina web, de esta manera impidiendo que otros usuarios queden infectados. El miercoles 15 empresas antivirus ya detectaban al troyano en mencion. Y por fin el Viernes ultimo 21 antivirus ya detectaban a este troyano, entre los que recien detectaron al bicho estaba McAfee, TrendMicro y Symantec. Como dije anteriormente casi 6 dias en detectar y eliminar al bicho.

Y me pregunto, las empresas se encuentran protegidas realmente?. Yo creo que al aumentar en forma exponencial las muestras de malwares que aparecen diariamente estamos en un constante peligro. Y no podemos confiar que un antivirus pueda solucionar nuestros problemas. Es aqui que tenemos que crear politicas de seguridad en nuestras empesas para minizar el riesgo de infección. Y adicionalmente instalar otros softwares que nos permitiran en conjunto con los antivirus prevenir esta clase de amenazas. En estos momentos estoy evaluando varios softwares que supuestamente ayudarian a los antivirus con estos problemas. Esto me tomara algunas semanas, poder realizar una evalucion correcta y objetiva. En un proximo post estare presentando estas evaluaciones.

Recuerden que la manera mas rapida de poder eliminar esta clase de amenazas es en forma manual. Y para esto se necesita tener conocimientos de los procesos en memoria y los registros de Windows, y bastante experiencia con Malwares. Ya que los antivirus no detectan miles de malwares, debemos nosotros tener los conocimientos necesarios para realizar este proceso. Y es por eso que estoy dictando seminarios, talleres en referencia a esto. Ya que muchas personas desconocen que es factible poder luchar contra los malwares sin necesidad de utilizar un antivirus. Espero que las empresas tengan esto en consideracion, y abran los ojos a esta nueva alternativa; y que el area de TI o Soporte Tecnico o Seguridad Informatica de estas empresas sepan que existe una forma que puede determinar si una maquina esta infectada o no, con una mayor exactitud que un Antivirus.

En la mañana del dia de ayer 14 de Diciembre el troyano que hasta el dia de hoy todavia se carga automaticamente desde la Pagina de Los Clasificados de El Comercio, era detectado por solo 4 antivirus. Este troyano fue enviado por primera vez al portal http://www.virustotal.com/ para ser analizado el 12 de Diciembre, y ese mismo dia fue enviado a todas las empresas antivirus en forma automatica. Aqui les muestro la pantalla del analisis de los antivirus en la tarde de hoy, que solamente 10 antivirus lo detectan.

Photobucket

Siendo la 0:35 a.m. ya es detectado por 14 antivirus. Hace unos minutos me comunique con Hacksoft creadores The Hacker Antivirus indicandoles esta nueva variante del troyano Trojan.Cosmu, ya que estamos hablando una pagina web peruana, y miles de lectores que ingresan podrian ser infectados.

Como podemos ver, los antivirus mas "reconocidos" como TrendMicro, McAfee y Symantec no detectan a este troyano, cosa muy preocupante. Como saben cuando una muestra es enviada a http://www.virustotal.com/ , en forma automatica es enviada una muestra del posible malwares a todas las empresas antivirus. Voy a realizar un seguimiento de cuanto se demoran en detectar esta muestra, estare en un proximo post indicando mis resultados.

Un troyano infecto la pagina de Los Clasificados de El Comercio.

http://clasificados.elcomercio.pe/html/cl-home.html

Al ingresar a este pagina web, uno es victima de un troyano llamado "Cosmu", se trataria de una variante del Trojan.Cosmu. En las primeras horas del dia solo era detectado por unos cuantos antivirus a nivel mundial. Tengan mucho cuidado al visitar esta pagina web, les aparecera la siguiente ventana:


Photobucket

Si les aparece la ventana anterior, inmediatamente cierrenla y NO hacer clic en el Boton "Ejecutar".

Cabe señalar que en las pruebas preliminares pude determinar que solo afecta al Internet Explorer, y no al Firefox.

Recuerden actualizar su antivirus.