Identificando Malware

¿Que es el malware?, la wikipedia lo define de la siguiente manera:
Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario.

Como podemos ver podríamos decir que el malware es un virus, pero la realidad es que el malware se apoya en virus para poder robar información confidencial de los usuarios, en la mayoria de los casos el malware es propagado por medio de correo electrónico o mensajeros instantáneos mas comúnmente por messenger y el mensaje puede variar, casi siempre utilizando noticias de actualidad como fue hace unos días con la noticia de la muerte de Muamar Gadafi, personalmente recibí algunos correo diciendo que el link que mandaban era el video de su muerte.

Este tipo de malware funciona mandando una liga con el video de una noticia, el haber ganado un premio (dinero, ipad, iphone, viajes, etc), fotos que supuesta mente nos manda un usuario, el mensaje casi siempre viene en ingles o portugues esto no quiere decir que no nos encontremos con malware en castellano, el usuario da clic sobre el enlace y comienza a descargar el programa malicioso, es cuando quedamos infectados por estos programas.

Este tipo de ataques a nuestra privacidad lo podemos identificar poniendo atención en algunos puntos del mensaje.

Correo 1

Correo 2

Como podemos ver en los dos correos las constantes son el Asunto en otro idioma que no es el nuestro aunque el remitente se encuentre en nuestra lista de contactos, y sepamos que no habla ese idioma, siempre el cuerpo del mensaje contiene un link, puede contener texto también pero siempre nos conduce a hacer clic a un enlace que nos redirecciona a hacia el malware.

Descarga de Malware

Como vemos supuesta mente descargamos un video avi, pero en realidad es un ejecutable, que obviamente viene disfrazado con otro icono, ya sea de imagen o video, un factor a tomar en cuenta es la barra de estado, antes de dar clic en el link, posicionamos el mouse sobre el link, y la barra de estado nos muestra la verdadera url del enlace, en este caso la dirección que nosotros vemos es:


http://g1.globo.com/revolta-arabe/noticia/2011/10/agencia-divulga-imagem-e_videoque-seria-de-kadhafi.html-0.26958

Pero al posicionar el mouse sobre el enlace lo que nos devuelve la barra de estado es los siguiente:


http://urgente.educommunication.co.kr/folha/cotidiano/ult95u735971/videos/ult95u735937.php?0.26958

Vemos que el enlace real es hacia esta dirección, que es la que nos redirige al malware, esta es una forma mas de verificar la autenticidad del enlace, aunque no podemos confiar en la barra de estado ya que esta puede ser engañada con JavaScript, una mejor manera de identificar los link seria con firefox, dando clic derecho > copy link location y no es 100% fiable.

Existen recursos en linea que podemos utilizar, como urlvoid, lo que hace es mandar el enlace a distintos servicios para que sea identificada, lamentablemente sus resultados no son muy fiables, como se muestra en la imagen:

Resultado URLVoid

Como vemos en el resultado, podemos ver que el dominio se encuentra en korea, es otro punto a considerar, ya que el asunto esta en portugues es una incongruencia bastante conciderable, lamentablemente solo 5 servicios alertan sobre una incongruencia, 4 de ellas dicen que el enlace nos es fiable o que tiene muy poca reputacion, solo BrowserDefender alerta que el enlace contiene virus:

Alerta Real

Si por alguna razon descargamos algun archivo sospechoso podemos utilizar el servicio de virus total, solo le indicamos que archivo tiene que analizar y lo manda a diferentes motores de virus para su análisis, como se muestra en la siguiente imagen:

Virus Total

Ahora que ya sabemos un poco mas de como funcionan estos tipos de correos, podemos poner mas atención a lo que recibimos y a si reducir las infecciones a nuestros equipos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s