Entradas con la etiqueta ‘virus’

Entradas recientes »

¿Kaspersky en SecondLife?, ¿Virus en SecondLife?

Viernes, 22 de Agosto de 2008

Andaba volando por una región llamada “Sistiana”, una de las más pijas de todo SecondLife, y me encuentro este edificio:

Kaspersky Internet Security 7.0

Y me llevo la sorpresa que el terreno donde está situado ese edificio tiene por nombre “Kaspersky Internet Security 7.0″ y efectivamente, dentro tienen una máquina de vender licencias de uso de kaspersky, al precio de unos 4100 L$ la licencia, que son aproximadamente unos 14 dolares. (¿Cuanto vale la licencia original?)

Aunque es raro que si se trata de una empresa del tamaño de Kaspersky en lugar de tener su propia región se limite a un pequeño edificio en apenas 700 metros cuadrados. ¿He dado con un piratilla de software?.

No puedo tener la certeza absoluta, puede que sea algún parner de kaspersky o vendedor homologado, pero si puede ser posible que con el dinero que le entregan, compre una licencia y reenvíe al cliente por email o IM el número de serie.

De todas formas ese tipo de negocios actualmente no tiene futuro en secondlife, es decir, ni Kaspersky conseguiría vender licencias de antivirus dentro de secondlife ni Microsoft licencias de Windows Vista.

Como mucho, la presencia de una empresa de ese tipo se limitaría a algo más de tipo publicitario, y más les vale que su sitio sea interesante y entreguen buenos regalos a los visitantes si no quieren ver como su isla se queda vacía como ya ha pasado a muchas empresas.

No obstante, queda una pregunta en el aire, ¿Existe la posibilidad de que exista en SecondLife algo parecido a los virus informáticos?, hace tiempo hice la misma pregunta respecto a los teléfonos móviles e hice un simil usando un robot similar a los que tiene Bilo y nano en la tira ecolnet.

Imaginaros que todo el mundo tuviera un robot como el de Bilo y nano, y escribo en un papel el siguiente mensaje “Prende fuego a tu casa, haz copias de este papel y entregaselas a todo robot que veas” y le entrego a un robot el papel.

En ese hipotético caso, se daría las siguientes condiciones:

1 .- El robot acepta órdenes de extraños, bien por que no hace comprobaciones de seguridad o bien por un fallo de seguridad.

2 .- El robot tiene capacidad de hacer daño. En este caso provocar un incendio.

3 .- El robot tiene capacidad de comunicación.

En los teléfonos móviles, sobretodo en los smartphones el “robot imaginario” que tiene dentro puede aceptar órdenes de extraños, aunque sea por ingeniería social, por ejemplo en un mensaje de correo que le llegue al usuario y que al abrirlo se le infecte el movil.

Este caso sería como si en el ejemplo anterior, en lugar de darle el papel al robot se lo doy a nano y le digo, toma, dale este papel a tu robot y el muy ingenuo va y se lo entrega sin leerlo antes.

En el caso de secondlife, existía una función que permitía que un objeto enviara un script a otro objeto, y esa función fue explotada por un ataque que ocurrió dentro de secondlife que consistía en miles de anillos que se auto-replicaban invadiendo todo secondlife.

LindenLab reaccionó eliminando esa función, haciendo que sea “deprecated” y sustituyendola por otra función que requiere que el objeto destino tenga un PIN.

Existe otra posibilidad y es la ingeniería social, entregándole a alguien un objeto. Actualmente eso está siendo explotado por los grieffers (cibergamberros) de secondlife. Un día ves un coche con muy buena pinta, y además es copiable y sacas una copia, vas a otro sitio, sacas el coche del inventario y de repente ves que empieza a aparecer miles de cubos voladores con la foto de Goatse que invaden todo y se extienden a todas las regiones abyacentes. A la media hora vez un mensaje diciendo que has sido baneado.

Un ataque más inteligente más en la linea del programador de virus sería algo más retardado que no tenga efecto hasta después de una determinada fecha y que esté dentro de un objeto que todo el mundo quiera tener.

Pero aun así, existen o existían posibilidades más sofisticadas. Hasta hace algo menos de un mes, existía un bug muy gordo en secondlife que permitía hacer cosas tales como copiar objetos sin tener permisos de copia incluyendo los scripts y suplantar identidades.

Suplantando identidades de otros usuarios un ciberatacante podría haber inyectado scripts/bombas de tiempo en diversos objetos.

Sin embargo, no podrían propagarse a otros objetos como los auténticos virus, salvo que use la ingeniería social.

Es decir, SecondLife carece de los puntos 1 y 3 para que pueda existir virus informáticos dentro sin embargo un script tiene una enorme capacidad de hacer daño.

Un aspecto muy curioso que hay que tener en cuenta es que el sistema de permisos de SecondLife parece estar calcado o copiado del sistema de permisos de Unix/Linux.

En secondLife existen los Owner(dueños), los grupos y los otros y cada objeto e incluso cada terreno puede tener permisos respecto al owner, al grupo o global. Las mismas limitaciones que dispone Linux para que puedan extenderse los virus también las tiene SecondLife y la única posibilidad que tiene el malware es la propia estupidez ignorancia del usuario.

  • Share/Bookmark

Etiquetas:, , ,
Publicado en Miscelanea | 6 comentarios »

Psicología de los mensajes de correo maligno I

Sábado, 16 de Junio de 2001

#####################################
## HACKINDEX ##
## http://www.hackindex.org ##
#####################################
Titulo: Psicología de los mensajes de correo maligno I
Autor: Lokutus
Tema: Virus y gusanos

La información incluída en este documento es expuesta en base a un interés educativo. HackIndex no se hace responsable del uso de dicha información.

El siguiente documento es propiedad de HackIndex y de su autor, pudiendo ser distribuído de forma totalmente libre y sobre cualquier tipo de soporte siempre y cuando se respete el formato original, se cite a A.H.E. como fuente, se incluya un enlace actualizado al documento o a la web del grupo: http://www.hackindex.org ; y se incluya este disclaimer en su totalidad y sin modificación alguna.

Queda extrictamente prohibida su distribución con fines lucrativos, cuando se altere su contenido sin consentimiento o cuando se incumpla cualquier otra condicion citada anteriormente en el presente disclaimer.
#####################################

ADVERTENCIA: El presente artículo y todos los que continuarán en esta serie con el mismo título, se envían únicamente con fines didácticos y educativos, no siendo mi intención animar a nadie a cometer delitos relacionados con la transmisión de mensajes de correo malignos (*) del tipo”iloveyou” o  “timofónica”.

(*) De ahora en adelante los llamo MCM para abreviar.
1 – INTRODUCCION

En este primer mensaje me centraré en el diseño “psicológico” de un posible MCM y una introducción a lo que serían las carácterísticas de diseño, en la segunda parte, se desarrollarían aquellas partes de codigo que considero interesantes, aunque eso sí, sin acabar nunca de desarrollar el MCM, de tal forma que el código enviado como ejemplo sólo pueda ser utilizado por personas con conocimientos suficientes para comenzarlo desde el principio y evite la transmisión de MCM por parte de “lamers” o gente que quiera usarlo de forma personalizada para realizar venganzas personales.

En la tercera parte, propondré posibles soluciones, algunas de ellas ya existen. El conocimiento es una de esas soluciones, la ignorancia es uno de los principales factores que intervienen en la propagación de MCM y virus en general.

De esta primera parte, considero muy util su divulgación, lectura e incluso debate, pues considero que es mejor adelantarse a lo que puede venir que ser pillado por sorpresa.
2 – LOS MCM HASTA AHORA

Hasta ahora los MCM tenían características similares a la siguiente.

- Utilizaban un engaño basado en la ocultación de extensiones de ficheros, por ejemplo:

Un fichero con el nombre “pepe.txt.exe” se vería como “pepe.txt”

- Algunos de esos MCM, (los ejecutables con extensión exe), usaban un icono como el que usa el editor de Windows para reforzar el engaño.

-  Los más utilizados hasta ahora han sido los “.EXE” y los “.VBS” de tal forma que mucha gente evita como la peste esas extensiones y algunos desarrolladores, están empezando a usar otras extensiones. Como es el caso del LifeStages que utiliza una extensión .SHS

- Normalmente utilizan toda la ingeniería social que pueden, como es el caso del ILOVEYOU.

- Hasta ahora, se trataba de un único fichero, el que se enviaba.

- En algunos, tratan de evitar su desactivación, copiandose a muchos sitios diferentes, y alterar varias entradas del registro.

- En la mayoría de los casos, en el momento en el que llega a la cuenta de correo de un usuario experto, la existencia del MCM es descubierta en el entorno en el que se mueve ese usuario experto, y en algunas ocasiones, por las empresas desarrolladoras de antivirus.

- Excepto en algunos pocos casos, suelen utilizar el interfaz MAPI como mecanismo de envío de mensajes. Lo que hace que no pueda propagarse en aquellas máquinas de usuarios de otros lectores de correo.

- Normalmente, se envían a direcciones de la carpeta de direcciones, y de uno en uno.

3 – COMPORTAMIENTO DE LOS USUARIOS DE EMAIL.

Este apartado, está basado en cuanto a mi experiencia propia, viendo en muchas ocasiones qué tipo de correos se envían y reciben en los centros de trabajo donde disponen de correo electrónico, y de varias listas de correo informales y puede diferir con lo experimentado por otras personas.
- En general, la mayoría de los usuarios saben que no deben abrir cualquier cosa que se les envíe, sobre todo de desconocidos.

- Es corriente, que formen grupos de amistades, y se envíen chistes, fotos, (pornográficas o humorísticas o salvajes), ficheros mpeg o avi con anuncios graciosos.

- Antes he comentado que los MCM solían tener un único fichero adjunto, (que yo sepa), y sin embargo, en los mensajes de correo que se suelen enviar entre amiguetes, es normal que haya 4 ficheros jpeg. o tres ficheros de texto repletos de chistes. o un par de zips, e incluso uno o dos mpeg, (o uno sólo si es muy grande).

- A veces, suelen enviar en mensaje de correo, dentro de otro mensaje de correo, (no recuerdo las cabeceras de los mensajes salvados del OutLook), pero suelen aparecer como un icono.

- Sigue siendo corriente que se sigan enviando ficheros ejecutables EXE, la mayoría de estos ficheros suelen contener animaciones hechas con aplicaciones del tipo Macromedia. (Un ejemplo de lo que digo es la película completa en dibujos animados de la guerra de las galaxias que está en noticias.com).

- Los “emails lúdicos”, generalmente, suelen tener varios destinatarios, y no uno sólo, como suele ser el caso de los MCM.
4 .- CONSIDERACIONES DE INGENIERIA SOCIAL EN LA TRANSMISION DE UN MCM

Para que un MCM tenga éxito:

- Debe ser capaz de engañar al máximo posible al usuario que lo recibe, inspirandole la suficiente confianza para que pinche en el icono.

Por ese motivo, debe llegar de personas con las que normalmente se intercambia correo de tipo lúdico, no de trabajo. Por ejemplo, en el caso del “ILoveYou”, es difícil se engañado si llega de alguien con quien sólo tienes relaciones por correo de trabajo.

- Debe tratar de evitar en la medida de lo posible, el ser descubierto, y para ello, debe ser capaz de dar lo que se espera que dé.

Por ejemplo, en el MCM “timofónica” y en el “LifeStages”, el usuario espera que se abra el notepad con un mensaje de texto plano, y efectivamente es lo que hace.

- Algunos usuarios se dan cuenta enseguida de que han ejecutado un MCM cuando la bandeja de salida se les llena de mensajes. Quizás sería una buena táctica no ser tan agresivo a la hora de enviar mensajes, y enviar pocos y mejor encaminados.

- En lugar de usar la libreta de direcciones, podría mirar los mensajes que están en la carpeta de mensajes enviados.

- Podría incluso contestar a los mensajes que están en la bandeja de entrada.

- El MCM podría llegar acompañado de varios ficheros, y al reenviarse, hacerlo con esos ficheros.

- Combinaciones interesantes podrían ser:

Enviar dos ficheros de texto con chistes, y el tercero un vbs.txt que genera el tercer fichero de texto.
Enviar tres o cuatro jpeg, y entre medias un gif.vbs.

(en algunos clientes los jpeg se visualizan sin siquiera abrirlos, sería sospechoso que un jpeg se viese y otro no, por eso lo cambiaría a otra extensión, por ejemplo gif o incluso html.
Y ahora bien, la ingeniería social está en:

“Me llega un mensaje que es una contestación a otro que he enviado y con varias fotos, no hay alarma, a pinchar tranquilamente”
5 – CONSIDERACIONES DE DISEÑO.

Si fuese lo suficientemente perverso como para crear un MCM entero, lo haría de esta manera:

- Lenguaje de programación: JavaScript, tiene las mismas capacidades que el VBS, pues al estar soportado por WSH, dispone de las mismas capacidades que el VBS, (Acceso al registro de Windows, utilización de Active X, manejo de ficheros, etc).

- Búsqueda y uso de  SMTP  para envío de mensajes de correo electrónico, usando para ello el OCX de manejo de sockets. En el caso de que no funcione ninguno de los SMTP de la lista, (malditos spammers), o no se encuentre el OCX adecuado usará el ya conocido interfaz MAPI.

- El MCM tendrá la forma .gif.js, al ser ejecutado, generará un gif de pequeño tamaño.

- Investigación del formato en el que guardan los mensajes de NetScape y busqueda en la estructura de ficheros, para recuperar direcciones.

- retardo de 24 horas en el envio de mensajes.

- Envío de SMS, usando un camino alternativo al usado por el MCM “timofónica”, utilizando un CGI o accediendo a una web, (Sólo si se encuentra el OCX de TCP/IP).

- PAYLOAD:  Llevar la cuenta de ejecuciones, cuando lleve 10, crear un fichero HTML en el disco duro y llamar al navegador por defecto para que lo abra, el HTML tiene un bucle sin fin que abre ventanas.
En el artículo siguiente sólo trataré los módulos:

Envío de un mail por MAPI usando JavaScript.
Envío de un mensaje por SMTP usando JavaScript.
Detección de que una cuenta de correo existe, usando SMTP, este último punto no es necesario,
pero lo veo interesante, incluso para ser utilizado como una utilidad separada.

Y quizás en otro mensaje aparte que no tiene nada que ver con este, y si nadie se me adelanta, ;-) , envío de SMS sin usar el servicio Mail2SMS de movistar.

  • Share/Bookmark

Etiquetas:, , , , , , , , , , ,
Publicado en Articulos, Cursos, Virus y gusanos | 1 comentario »

Apreti pass

Sábado, 16 de Junio de 2001

#####################################
## HACKINDEX ##
## http://www.hackindex.org ##
#####################################
Titulo: Apreti pass
Autor: Lokutus
Tema: Virus y gusanos

La información incluída en este documento es expuesta en base a un interés educativo. HackIndex no se hace responsable del uso de dicha información.

El siguiente documento es propiedad de HackIndex y de su autor, pudiendo ser distribuído de forma totalmente libre y sobre cualquier tipo de soporte siempre y cuando se respete el formato original, se cite a A.H.E. como fuente, se incluya un enlace actualizado al documento o a la web del grupo: http://www.hackindex.org ; y se incluya este disclaimer en su totalidad y sin modificación alguna.

Queda extrictamente prohibida su distribución con fines lucrativos, cuando se altere su contenido sin consentimiento o cuando se incumpla cualquier otra condicion citada anteriormente en el presente disclaimer.
#####################################

Hola, me han enviado por email uno de esos troyanos que pululan por la red, en este caso el Pretty Park, aunque la versión antigua, y como siempre que me envían un virus o un troyano me pongo la mar de contento, ya tengo una victima más para asimilar, :) )), he podido completar el script de detección y eliminación del Pretty Park que pongo en el grupo de binarios, junto con algunas cosas más.

El proceso de asimilación, lo he realizado en un ordenador aparte, un viejo 486, ejecutando intencionadamente el icono de “apreti pas” como yo lo llamo.

En la primera prueba con el script, al intentar introducir en el registro HKLM\SOFTWARE\Classes\exefile\shell\open\command el valor “”%1 “%*” me confundí en el script y me cargué el registro, :( . Aunque el sistema seguía funcionando, no podía pararlo, y cuando ejecutaba un programa, no veía sus parámetros, por ejemplo, si hacía un “xcopy fichero1 fichero2″, no me lo copiaba.

Le pasé el RegClean.exe que está en http://www.microsoft.com y me quitó un montón de porquerías del registro, y eso que el sistema operativo estaba recien reinstalado, pero no me resolvió el problema.

Al final me dí cuenta que al escribir el valor “”%1 “%*”, lo puse al reves, y lo que tenía en el registro era “”%1 “*%”.

O sea, el %1 es el primer parámetro, el nombre del fichero y %* son todos los demás parámetros, si escribiese en el registro “”%1 “%2″, no habría posibilidad de pasar más de un parámetro a los programas, cogería el primero y los demás los descartaría. Simplemente no podía pasar parámetros a los programas por que Windows no sabía que hacer con “*%” que ignoraba. Probablemente, la parada del sistema se haga llamando a algún *.exe con un parámetro, y al no tener ese parámetro el ejecutable de parada no funcionaba.

Una vez funcionando el script limpiador, hice algunas pruebas más, por un lado lo he desensamblado para intentar extraer la rutina de ocultación en la tabla de procesos, no lo he conseguido todavía, cuando lo consiga veré si puedo meterla en el GranRAd como código inline, (nunca lo he hecho con Visual C++).

Por otro lado, tengo unos programitas interesantes que conseguí de http://www.sysinternals.com/

 regmon95.zip Tracea todos los accesos al registro de windows.
 openlist.zip Mantiene una lista de ficheros bloqueados.
 filemon.zip Tracea todos los accesos a disco.

Al ejecutar Pretty Park, me quedé asombrado de la cantidad de consultas que hace, el fichero *.log que he guardado lo tengo en el grupo es.misc.binarios, pero resumiendo hace lo siguiente:

Extrae datos acerca de la versión de Windows. Extrae datos del panel de control. Intenta averiguar si tenemos puertos de comunicaciones, COM1, COM2, y de impresora, LPT1 Averigua que protocolos tenemos instalados, si tenemos una DLL de autodialing, Extrae varios parámetros de comunicaciones, si tenemos proxi instalado o si nos conectamos a un proxi. Averigua si estamos capacitados para hacer pings, ¡¡Otia!!, ¿el pretty park hace pings?

Cuando FILES32.vxd entra en ejecución, hace exactamente los mismos accesos y consultas que el fichero Pretty Park.exe, de echo son los dos del mismo tamaño, de echo son el mismo fichero, pero cambiado de nombre.

Ejecutando nuevamente Pretty Park.exe con el programa filemon.exe activado, observamos como hace accesos de lectura a PrettyPark.exe y de escritura a FILES32.VXD, o sea, un proceso de copia.

En el fichero filemonlog.LOG, los accesos de “???” son del sistema operativo. Y por último, puede hayar la causa de por qué Pretty park no mostró en mi máquina los sintomas de su ejecución, la activación del salvapantallas de tuberías.

568 23:37:26 Files32 Attributes C:\WINDOWS\SSPIPES.SCR NOTFOUND GetAttributes

 Lokutus, asimilando la red.

  • Share/Bookmark

Etiquetas:, , , , , , ,
Publicado en Articulos, Virus y gusanos | No hay comentarios »

Entradas recientes »