Identificando Malware

¿Que es el malware?, la wikipedia lo define de la siguiente manera:
Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario.

Como podemos ver podríamos decir que el malware es un virus, pero la realidad es que el malware se apoya en virus para poder robar información confidencial de los usuarios, en la mayoria de los casos el malware es propagado por medio de correo electrónico o mensajeros instantáneos mas comúnmente por messenger y el mensaje puede variar, casi siempre utilizando noticias de actualidad como fue hace unos días con la noticia de la muerte de Muamar Gadafi, personalmente recibí algunos correo diciendo que el link que mandaban era el video de su muerte.

Este tipo de malware funciona mandando una liga con el video de una noticia, el haber ganado un premio (dinero, ipad, iphone, viajes, etc), fotos que supuesta mente nos manda un usuario, el mensaje casi siempre viene en ingles o portugues esto no quiere decir que no nos encontremos con malware en castellano, el usuario da clic sobre el enlace y comienza a descargar el programa malicioso, es cuando quedamos infectados por estos programas.

Este tipo de ataques a nuestra privacidad lo podemos identificar poniendo atención en algunos puntos del mensaje.

Correo 1

Correo 2

Como podemos ver en los dos correos las constantes son el Asunto en otro idioma que no es el nuestro aunque el remitente se encuentre en nuestra lista de contactos, y sepamos que no habla ese idioma, siempre el cuerpo del mensaje contiene un link, puede contener texto también pero siempre nos conduce a hacer clic a un enlace que nos redirecciona a hacia el malware.

Descarga de Malware

Como vemos supuesta mente descargamos un video avi, pero en realidad es un ejecutable, que obviamente viene disfrazado con otro icono, ya sea de imagen o video, un factor a tomar en cuenta es la barra de estado, antes de dar clic en el link, posicionamos el mouse sobre el link, y la barra de estado nos muestra la verdadera url del enlace, en este caso la dirección que nosotros vemos es:

http://g1.globo.com/revolta-arabe/noticia/2011/10/agencia-divulga-imagem-e_videoque-seria-de-kadhafi.html-0.26958

Pero al posicionar el mouse sobre el enlace lo que nos devuelve la barra de estado es los siguiente:

http://urgente.educommunication.co.kr/folha/cotidiano/ult95u735971/videos/ult95u735937.php?0.26958

Vemos que el enlace real es hacia esta dirección, que es la que nos redirige al malware, esta es una forma mas de verificar la autenticidad del enlace, aunque no podemos confiar en la barra de estado ya que esta puede ser engañada con JavaScript, una mejor manera de identificar los link seria con firefox, dando clic derecho > copy link location y no es 100% fiable.

Existen recursos en linea que podemos utilizar, como urlvoid, lo que hace es mandar el enlace a distintos servicios para que sea identificada, lamentablemente sus resultados no son muy fiables, como se muestra en la imagen:

Resultado URLVoid

Como vemos en el resultado, podemos ver que el dominio se encuentra en korea, es otro punto a considerar, ya que el asunto esta en portugues es una incongruencia bastante conciderable, lamentablemente solo 5 servicios alertan sobre una incongruencia, 4 de ellas dicen que el enlace nos es fiable o que tiene muy poca reputacion, solo BrowserDefender alerta que el enlace contiene virus:

Alerta Real

Si por alguna razon descargamos algun archivo sospechoso podemos utilizar el servicio de virus total, solo le indicamos que archivo tiene que analizar y lo manda a diferentes motores de virus para su análisis, como se muestra en la siguiente imagen:

Virus Total

Ahora que ya sabemos un poco mas de como funcionan estos tipos de correos, podemos poner mas atención a lo que recibimos y a si reducir las infecciones a nuestros equipos.

Servidor de video vigilancia con Ubuntu y ZoneMinder ( IV )

Este es el penultimo post de la serie donde solamente añadiremos los monitores para poder visualizar las camaras ip D-Link DCS900 y 910, ya que es con el hardware con el que cuento, abrimos el navegador y nos dirigimos a http://localhost/zm/

zoneminder_console

zoneminder_console

La conzola principal de zoneminder esta abierta pero sin monitores añadidos, para hacerlo damos click en “Add New Monitor”, se despliega la siguiente ventana

add_monitor

add_monitor

En la pestaña “General” los valores deben de quedar de la siguiente manera:

Name: Es el nombre que le vamos a dar al monitor por ejemplo yo lo nombre cochera por que en esa area la instale.
Source Type: Elejimos “Remote”
Function: En esta parte elejimos la que mas nos convega, las opciones son variadas, dejo una descripcion breve de cada una:
- None: Monitor desactivado, no genera eventos ni podemos ver stream
- Monitor: Solo nos muestra el stream del dipositivo
- Modect: Graba los eventos cuando existe movimiento
- Record: Grabacion continua sin la necesidad de que exista movimiento
- Mocord: Es una combinacion entre Modect y Record
- Nodect: Se trata de un modo especial diseñado para ser utilizado con disparadores externos. En Nodect no detecta movimiento pero los acontecimientos se registran si disparadores externos lo requieren.
Enable: Siempre esta marcado a si lo dejamos

Las demas opciones la dejamos a si como estan, ahora pasamos a la siguiente pestaña la de “Source”

add_monitor_1

add_monitor_1

add_monitor_2

add_monitor_2

Remote Protocol: Elejimos “http”
Remote Method: Elejimos “Simple”
Remote Host Name: Aquí es donde escribimos la ip de la camara, hay dos formas de añadir camaras D-Link todo depende del dispositivo explico un poco las diferentes formas:
- DCS-900 sin login: Esta camara no pide usuario y contraseña al conectarse con ella a si que solo escribimos la ip quedando de la siguiente manera: 192.168.1.100.
- DCS-900, 910, 920 con login: Estas camaras al querer establecer una sesión con ellas nos pide usuario y contraseña a si que el campo queda de la siguiente manera: tu_usuario:contraseña@192.168.1.101
Remote Host Port: por default es el puerto 80 a menos que el dispositivo este configurado con otro puerto.
Remote Host Path: /video.cgi
Remote Image Colors: 24 bit color
Capture Width (pixels): 320
Capture Height (pixels): 240

En la cuestion de la resolucion de video debes de tenerla configurada dentro de la camara de la misma manera, si en el dispositivo esta otra resolucion que no sea 320X240 no podras ver el video de las camanaras

Las dos opciones restantes quedan como estan al igual que las demas pestañas vamos a dejar los valores en default, si tienen alguna duda los valores de las camaras deben de quedar como las imagenes, ahora podemos ver la conzola de zoneminder con monitores

zoneminder_console_2

zoneminder_console_2

Para ver el video solo damos click sobre el nombre de la camara

zoneminder_ejecutando

zoneminder_ejecutando

Planeo hacer un ultimo post explicando bueno mas bien traduciendo todas las opciones de zoneminder a si como la de activar las opciones de correo y las de ftp, espero no tardarme mucho

Transmageddon convierte tus videos en Linux

Transmageddon es un conversor de vídeo para sistemas unix y GNU/Linux, utiliza las librerías GStreamer y soporta los formatos de vídeo mas populares y muchos mas, brindando soporte a multiples archivos de salida para dispositivos móviles.

Es el conversor de vídeo perfecto para personas que no quieren complicarse la vida por que de manera sencilla puedes convertir tus vídeos favoritos para cualquier formato de dispositivo móvil, para instalarlo solo tecleamos en konsola:

sudo aptitude install transmageddon

Transmageddon