Jugando con la publicidad (ad-ware)

Hoy me han traído al talle un ordenador con Windows 7 que al trabajar con él salía mucha publicidad. El cliente me ha comentado que no había bajado nada raro ni sospechaba cual era el problema, pero que había intentado bajar el CCleaner y que desde entonces el PC ya no había funcionado bien. En vez de eliminar de primeras todas las amenazas posibles he decidido "juguetear" un poco con internet para ver el comportamiento de los navegadores:

Figura 1: vamos a jugar un poquito con fuego

Ya que el cliente sospechaba que había algo en la página de CCleaner, vamos a ir a la página oficial a ver que sale:

Figura 2: web oficial de CCleaner

Umm, aparentemente normal. Ni siquiera hay publicidad. Procedamos con la descarga del fichero:

Figura 3: pop-up al clickar sobre el enlace de Piriform

Se nos abre una bonita ventana nueva fuera de nuestro navegador. Podemos ver que es un pop-up que no tiene barra de búsqueda, ni botones de navegación, ni barra de menús, ... La información contenida en él puede resultar hasta interesante para un usuario normal, ya que recordemos que estábamos buscando solucionar algunos problemas de nuestro PC instalando CCleaner, por lo que para el ojo inexperto al que le han recomendado descargar un programa llamado CCleaner que limpia el ordenador, llegar hasta una ventana en la que nos ofrecen una aplicación que se llama "Windows 7 Reparación de PC" no resulta para nada extraño. (Lo curioso es que esté avalada por Norton y McAfee, ummm, sospechoso?)

Cerramos el pop-up y volvemos a la ventana anterior:

Figura 4: versión distinta de la web de CCleaner

Ahora, al segundo intento de clickar sobre el enlace de Piriform, nos redirecciona a esta nueva web, en la que la descarga comienza pero nos han puesto una banner lateral con ofertas. Si repito este paso desde otro pc en el que yo controle que no haya ad-ware, ninguno de estos comportamientos sucede, por lo que claramente se deduce que este navegador ha sido capturado por alguna extensión fraudulenta que modifica los resultados mostrados por pantalla para que la navegación parezca normal pero los sucesos sean distintos y totalmente manipulados al hacer click en los enlaces o en la propia información que se muestra por pantalla. Vemos que la publicidad está totalmente integrada con el resto de información de las webs visitadas.

Jugando un poquito con estos comportamientos, he probado a ver que otros pop-ups o información sale al seguir trabajando con esta web:

Figura 4: la web de McAfee también es enlazada desde los enlaces manipulados

Uisss, que curioso, en una de las pruebas se nos enlaza directamente a la store de McAfee. Casualidad?? Lo dudo. A mi parecer es un intento de vender un producto a partir de un problema "generado" intencionadamente.

Vamos a intentarlo una vez más, a ver si puedo descargar el CCleaner que es lo que quiero. Ahora sale una ventana con el logo del CCleaner y si que parece ser la descarga oficial. Pero?! la dirección  de la descarga es cc.dls-host.com y un subdominio impronunciable. No tiene pintas de ser muy oficial de Piriform que digamos.

Figura 5: intento de copia de la web oficial de Piriform

Cerré esa pestaña del navegador y probé una vez más. Vuelve a salir un programa no deseado. Que yo quiero CCleaner !!! Bueno, ya llegados hasta aquí, descarguemos la aplicación milagrosa tan buena que nos ofrecen con tanta insistencia y que repara en una hora Windows, lo limpia, lo acelera, lo parchea y hasta te crea una granja de pollos en Minecraft si le dejas:

Figura 6: página de descarga a la que llegamos en vez de la oficial de CCleaner

Los comentarios son curiosos. No hay ningún nombre español pero el idioma es perfectísimo. ¿Estará preparado y será esto un montaje? No, abajo podemos ver que los mensajes dejados por los usuarios son totalmente reales y que no han percibido dinero por hacerlos. 

Bien, ¿y si el usuario inexperto ha sido engañado todas estas veces y consigue llegar hasta la descarga del fichero no solicitado? ¿habría algún riesgo? Vamos a descargalo y lo analizamos en VirusTotal.com:

Figura 7: descarga de Reimage Repair

Para que no haya ninguna posibilidad de error, nos explican los pasos a seguir: descargar el fichero, ejecutar y si pide Windows confirmación para hacer cambios en el equipo, hay que decir que si. Ummm, no sea que no sepamos instalarnos este virus. Una vez descargado lo analizamos:

Figura 8: web de Virustotal desde un navegador "capturado"

Al entrar en la web de VirusTotal, vemos que el banner de publicidad de la derecha ha cambiado. Antes salía oferta de ropa y de deporte. Ahora que entramos a una web de análisis de virus, claro, nos sacan ofertas de antivirus, pero, ¿en dólares? (otra pista más para sospechar de estos comportamientos).

Figura 9: análisis del fichero en VirusTotal

Al hacer el análisis, solo 1 motor de 55 lo encuentra sospechoso. La descripción que nos ofrece es que es un Program.Unwanted.493. O sea, no es que sea muy malo, pero es un software intrusivo que "no buscamos", que no es deseado por el usuario y "nos lo meten a la fuerza" con todos los intentos de engaño que hemos visto anteriormente. 

Buscando un poquito por la web de VirusTotal, he visto que este fichero (ReimageRepair.exe) fue analizado por primera vez el 2015-06-10 a las 14:08:16 UTC. Hace ya 3 meses de esto, pero solo 1 de 55 motores de búsqueda de virus lo detectan como malicioso. Así tenemos la batalla perdida seguro.

Como siempre, para terminar, os paso unos enlaces a varios vídeos en los que se aborda el tema del malware:

Vídeo 1: Mundo Hacker: BYOD - Malware en iPhone y Android (publicado el 11 de agosto de 2015)

Vídeo 2: Conferencia impartida en RootedCON 2015 por Chema Alonso sobre el uso de Tacyt y Sinfonier para el descubrimiento de apps maliciosas en Android y Google Play (16 de junio de 2015)

Vídeo 3: UPM TASSI 2008 Conferencia 4: Evolución del Malware: Malware 2.0; Antiphising y Antitroyanos. Flujo Malware. Ponente: Sergio de los Santos, Hispasec. (4 de agosto de 2011)

Saludos!

Análisis de una infección [II de II]

Upss. ¿De que me suena esto?. La página de inicio de Mozilla Firefox también ha sido modificada. Además, el propio Kaspersky me avisa de que la página a la que estoy intentando acceder tiene software malicioso. Todavía me queda Internet Explorer, pero no encuentro el icono por el escritorio. Haré un Inicio -> Buscar programas y archivos y así podré acceder:

Figura 13: búsqueda de Internet Explorer no encuentra el navegador

Nada, que no aparece. De Chrome no me fío, Mozilla tampoco e Internet Explorer no existe. Pues voy a Chrome y me descargo Internet Explorer, lo instalo ya podré seguir buscando información. Abro Chrome para buscar y veo esto:

Figura 14: accesos directos dentro de la página de inicio de Chrome

La página de inicio ahora está bien, pero siguen saliendo restos de las web del buscador My Start Search. De todos modos me deja seguir navegando. Busco Internet Explorer Descarga y encuentro el enlace en la web de Microsoft. 

Figura 15: descarga de Internet Explorer 11 y aviso de actualización de Java

Ya casi lo tengo, pero justo ahora me salta una alerta de que no tengo Java actualizado. A ver si se han colado los bichejos por ahí. Chema Alonso recomienda tener todo actualizado. Va a ser eso. Bueno, actualizo Java y luego instalo Internet Explorer. Pero de repente, Chrome me intenta solucionar todos mis problemas de inseguridad. Un mensaje esperanzador me avisa de que Chrome ha detectado problemas y dispone de una herramienta que lo va a arreglar todo.

Figura 16: herramienta de eliminación de software "beta" de Chrome

Y ¿que hago?. Me pide descargar algo que yo no he solicitado. Esto mismo me suena de la semana pasada y mira ahora como está mi Windows. Pero, si me lo dice Google será bueno. Además, eso de "Herramienta de eliminación de software" me suena de algo, no se, algo de alguna actualización de Windows Update que sale cada dos por tres. Que pesados los de Windows con su actualización todos los meses ahí !!! Pero esta descarga que me recomienda Chrome será mejor por que Chrome es Google y además pone "beta". Si el alfabeto empieza por alfa esto será mejor por que es beta, es como la versión 2.0 de algo.

Figura 17: descargando la aplicación

Vale, ya lo he descargado y ahora lo ejecuto a ver que pasa. Tarda un poquito en hacer un análisis y me dice que ha encontrado una amenaza, pero que la va a eliminar. Vaya, no me dice nada más. ¿Y si la amenaza está dentro de una foto de mi último viaje o dentro de ese fichero excel que llevo toda la tarde preparando? Habrá que fiarse ...

Figura 18: amenazas encontradas

Figura 19: proceso de eliminación del software sospechoso

En la Figura 18 veo que se va a enviar información de mi ordenador a Google. Voy a ver que información se manda haciendo click en el vínculo:

Figura 20: información opcional de mandar a Google

Aparentemente no hay ningún dato personal, pero no lo puedo asegurar. Nos fiaremos del software. De todos modos, si es para que sea mejor la aplicación pues será bueno que lo hagamos. Esperemos que estos datos sean los que se dice. Antes de hacerlo voy a buscar un poco de información sobre esta herramienta a ver de donde viene. En el último paso de la eliminación, hay un link a un fichero de texto inmenso, pero el comienzo del propio fichero es este:

Figura 21: información sobre el envío de información a Google

David M. Gay's floating point routineshttp://www.netlib.org/fp/
/**************************************************************** * * The author of this software is David M. Gay. * * Copyright (c) 1991, 2000, 2001 by Lucent Technologies. * * Permission to use, copy, modify, and distribute this software for any * purpose without fee is hereby granted, provided that this entire notice * is included in all copies of any software which is or includes a copy * or modification of this software and in all copies of the supporting * documentation for such software. * * THIS SOFTWARE IS BEING PROVIDED "AS IS", WITHOUT ANY EXPRESS OR IMPLIED * WARRANTY.  IN PARTICULAR, NEITHER THE AUTHOR NOR LUCENT MAKES ANY * REPRESENTATION OR WARRANTY OF ANY KIND CONCERNING THE MERCHANTABILITY * OF THIS SOFTWARE OR ITS FITNESS FOR ANY PARTICULAR PURPOSE. * ***************************************************************/

¿Será de la empresa desarrolladora? Ni idea, yo no lo se. Ahh, espera que un poco más abajo pone esto:

dynamic annotationshttp://code.google.com/p/data-race-test/wiki/DynamicAnnotations
/* Copyright (c) 2008-2009, Google Inc. * All rights reserved.

Y un poquito más abajo esto:

Paul Hsieh's SuperFastHashhttp://www.azillionmonkeys.com/qed/hash.html
Paul Hsieh OLD BSD license
Copyright (c) 2010, Paul HsiehAll rights reserved.

Y así un sinfín de nombres o empresas. ¿Van a llegar mis datos a todos ellos? Un poco raro todo esto. 

Ya llevo un rato con todas estas tareas. Quiero acabar y continuar con mi trabajo/ocio, no seguir instalando y revisando cosas. Actualizaré Java que era lo que me avisaba antes:

Figura 22: actualización de Java

Listo, a instalar Java. La instalación sale automáticamente al hacer click sobre la notificación emergente que sale abajo a la derecha, sobre el reloj de Windows. El proceso es sencillo y el asistente solo necesita que le hagamos el típico Next -> next -> instalar -> Yes -> si -> si -> que siiii. Todos sería perfecto si no supiera que se va a instalar la versión 7.75 cuando la última disponible es la 8.40 Al final de todo tampoco estaré actualizado. Además al hacer Next -> next -> instalar -> Yes -> si -> si -> que siiii no me he fijado en una ventana intermedia en la que me va a instalar un buscador extra, el ASK:

Figura 23: ventanas de la instalación que debería haber leído

Ya lo he instalado, pero en lugar de un emotivo ¡¡¡ PERFECT !!! final me sale un aviso de que Java no está actualizado. A repetir el proceso:

Figura 24: mensaje desmotivador tras actualizar Java

Ahora si, ya lo tengo actualizado. Actualizaré también Windows mediante Windows Update. Chema recomienda Windows original y tenerlo actualizado. ¿Por que no habré seguido los pasos del tío este del gorro? si al final todo de lo que advierte va a ser verdad !!! Y yo que pensaba que desprestigiaba todo lo que no fuese de Microsoft y que nos vendía la moto y va a resultar que todo es software y puede tener problemas. Si es que todo lo hacen con espagueti code!!!

Figura 25: página principal de Windows Update

Vaya, cuatro actualizaciones que estaban aquí pendientes desde el 13 de enero de este año. Claro, los martes de estos de actualizaciones de Microsoft. ¿Pero a quien se le ocurre sacar actualizaciones en martes y 13? ¿Esos días no era recomendable no encender el ordenador? ¿O eran los viernes 13? Bueno, que son 2 meses y 10 días que he tenido un bug detectado en el ordenador. Voy a ver de que se tratan que igual no son muy importantes los fallos que corrigen estas actualizaciones: 

Figura 26: descripción de fallo de seguridad 3019215

Figura 27: descripción de fallo de seguridad 3022777

Pues si que parecen importantes. Dos de ellas son, una para evitar la elevación de privilegios y otra para evitar la omisión de la característica de seguridad.

Tras todo este trabajo, reinicio, vuelvo a ejecutar Windows Update hasta que ya no salga ninguna actualización pendiente, actualizo los navegadores, vuelvo a analizar con el antivirus y veo que ya no sale nada, ... En fín, parece que ya está. Pero la informática tiene una sorpresa más para mi. Dejo el ordenador encendido un rato y me marcho a realizar otras tareas. Al cabo de media hora regreso y en la pantalla del portátil tengo un regalito en el área de notificación:

Figura 28: regalito final con publicidad

UN POPUP DE ADS !!!! ¡¿ Pero no estaba ya todo limpio ?! 

He intentado recrear esta situación desde la perspectiva de un usuario doméstico al que se le van presentando problemas e intenta ir aplicando soluciones, pero ni las soluciones son fáciles ni muchas veces ofrecen el resultado esperado. Por parte de los desarrolladores pienso que es complicado encontrar el método que sirva para usuarios domésticos, usuarios técnicos y usuarios avanzados, pero al ponerme en la piel del usuario final, veo que la guerra la están ganando los distribuidores de malware. Tendiendo el sistema operativo actualizado, un antivirus original instalado, y todo todo y todo actualizado a la última versión, estás bastante protegido, pero en cuanto se mete cualquier cosa, hay un efecto dominó que va minando el sistema y al final acaba por tomar el control.

Repito las recomendaciones a seguir de forma muy general:

• Sistema operativo original, actualizado y no discontinuado
• Programa antivirus original actualizado 
• Todas la aplicaciones de terceros actualizadas
• Sospechar de todo lo que nos diga internet

Os pongo de nuevo un vídeo de Chema en el que nos explica aspectos muy interesantes sobre los creadores de malware, su finalidad, como funcionan los zero days, para sirven las actualizaciones, etc.

Vídeo 1: Conferencia: "Thinking about Security" de Chema Alonso presentada el 20 de Diciembre de 2012 dentro del Ciclo de Conferencias de la Escuela Superior de Informática de la Universidad de Castilla-La Mancha

Saludos!

**************************************************************************************

- Análisis de una infección [I de II]

- Análisis de una infección [II de II]

**************************************************************************************

Análisis de una infección [I de II]

Hoy nos han traído a nuestro taller un ordenador portátil que funciona muy lento y salen muchas ventanas de publicidad. He decidido intentar hacer una puesta a punto sin usar "la intuición informática", sin ayuda del sexto sentido, las musas ni el Tao de la programación. Intentando limpiar y optimizar el sistema con las herramientas que pueden estar en mano de cualquier usuario dejando a un lado las técnicas que la experiencia me han llevado a depurar, como eliminación de carpetas concretas, "retoques" manuales del registro y otras cochinadas. El proceso ha sido el siguiente:

Como parece que tengo virus, compro un antivirus, lo instalo y analizo el sistema. Una vez hecho esto veo que Kaspersky ha detectado 23 amenazas y las ha eliminado. Vamos a abrir el informe del antivirus para ver cual era la infección:

Figura 1: amenaza detectada: troyano dentro de un exe con el nombre de la
serie de TV Homeland - Tercera temporada que se descargó hace unos días 

Figura 2: troyano escondido dentro de un enlace a Internet Explorer

Figura 3: troyano escondido dentro de un enlace a Mozilla Firefox

Figura 4: adWare escondido dentro de una aplicación para bloque de publicidad en Youtube

Figura 5: adWare con el complemento RoboSaver, que muestra ofertas, cupones, ...

El propio antivirus me pide reiniciar para terminar de eliminar las amenazas. Vamos a ello. Una vez de vuelta en el escritorio, veo que hay un acceso directo sin icono. Voy a ver a donde apunta:

Figura 6: icono sospechoso en el escritorio

Figura 7: detalles del icono

En el get del destino hay esta información: 

C:\Users\usuario\AppData\Local\Temp\Launcher__6063_i1479283952.exe /ver 1.1.5.26 /u http://www.amoninst.com/index.php /ver 1.1.5.26 /ci 6063 /appimageurl http://s3.amazonaws.com/refresher-bundles/amonetize/icon.png /appname Setup /appsetupurl . /ti1 28785

Veo que es una llamada al ejecutable Launcher__6063_i1479283952.exe que está en la carpeta C:\Users\usuario\AppData\Local\Temp\ y le pasa de argumento el sitio web http://www.amoninst.com/index.php y otros que identifican al icono de la web entre otros.

Huy que turbioooooo!!! . No me fío de hacer doble click, así que para seguir investigando voy a abrir en el navegador la URL para ver a donde me mandaba (http://www.amoninst.com/index.php):

Figura 8: Chrome troyanizado

Nada más abrir Chrome ya detecto que la página de inicio ha sido cambiada por otra. Yo tenía el buscador google y ahora sale el buscador "start my search". En fin, pego la URL en la barra de direcciones y me sale la siguiente ventana en Chrome:

Figura 9: alerta en Chrome

Lo que sospechaba, la URL de la web no es para nada fiable. Me alegro de no haber hecho doble click en el icono. Ahora que me he dado cuenta de que la página de inicio ha sido modificada en Chrome voy a restaurar las opciones por defecto para volver a dejarlo como estaba. Voy a configuración y veo que las extensiones también han sido modificadas, así como los motores de búsqueda de Chrome:

Figura 10: motores de búsqueda de Chrome modificados

Figura 11: extensiones de Chrome modificadas

Pongo todo esto un poco en orden, pero ahora no me fío de Chrome, ya que ha sido tan troyanizado y modificado que puede que no todas las amenazas se hayan corregido. Voy a buscar algo de información en Mozilla Firefox que es un poco más seguro para esto de los virus:

Figura 12: Mozilla Firefox troyanizado

Continúa...

**************************************************************************************

- Análisis de una infección [I de II]

- Análisis de una infección [II de II]

**************************************************************************************

Infección de Ransomware CryptoLocker

Hoy nos ha traído un cliente un PC infectado supuestamente con virus. Los síntomas eran que el sistema le funcionaba muy lento y al intentar abrir cualquier imagen, documento word o excel, le salía un mensaje de error en el que las aplicaciones decían que no se podía trabajar con el documento, o que el contenido era ilegible.

Al hacer las primeras inspecciones, hemos descubierto que en cada una de las carpetas del usuario, se habían creado unos ficheros nuevos con los siguientes nombres:

• HELP_DECRYPT.TXT
• HELP_DECRYPT.PNG
• HELP_DECRYPT.HTML
• HELP_DECRYPT

Figura 1: contenido de cada una de las carpetas existentes en el sistema

El contenido de estos ficheros era este:

Figura 2: mensaje del fichero HELP_DECRYPT.PNG

Con un primer análisis del antivirus (en nuestro caso el Kaspersky Antivirus 2015), nos ha detectado una infección por Ransomware CryptoLocker, un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013. Tras este análisis el antivirus ha conseguido limpiar completamente los ficheros del sistema y las claves del registro, pero los ficheros que ha cifrado ha sido imposible hacer que volvieses a sus estado original y por lo tanto poder volver a trabajar con ellos, con la consecuente pérdida de información y la correspondiente mala leche que se ha generado. 

Buscando por internet hemos visto una creciente propagación de este malware en comentarios por todos los foros desde finales e 2014. pero con más virulencia desde el 8 de febrero de 2015. 

Si sigues los pasos que el propio malware te propone, te indica unas URLs a las que acceder y tras el pago de $500 mediante BitCoin o Paypal, se supone que te mandan el programita que te descifra tus propios ficheros, pero date prisa !! ya que si no en cualquier momento ellos pueden borrar la clave de cifrado de tus ficheros que han guardado y ya los perderás permanentemente. O sea, que ahora mismo voy a pagar !!!. Me has infectado el PC, me has hecho perder años de trabajo al estropearme los ficheros y pretendes que te mande $500? por que no para agradecerte el favor si me los devuelves te mando $1000?

Hemos probado varias herramientas de diversas empresas para descifrar documentos cifrados con troyanos, pero hasta este momento solo nos ha hecho perder 1 día de trabajo, ya que ninguna ha conseguido corregir el problema. 

Llegados a este punto en el que ya no se puede hacer nada por los datos, vamos a analizar que ha podido pasar para que este troyanito tan majete se haya podido pasear por nuestro sistema como Pedro por su casa. 

¿Qué sistema operativo tiene el cliente? 

• Microsoft Windows XP Profesional Versión 2008 Service Pack 3 activado por WindowsWolf.com.ar

Eing?? que es esto?

Figura 3: versión del sistema operativo

Por supuesto, para que los chicos de Microsoft no le manden la Estrella de la Muerte tenía Windows Update desactivado y restaurar sistema también desactivado. Bueno, no desactivado, sino "capado" de serie en esta distribución. Solo había un usuario Administrador con el que se trabaja para todo, versión de Java 6.29, flash player 9, Adobe Reader 7.0, Internet Explorer 8.0 y Avast desactualizado desde marzo de 2014. Las copias de seguridad si que las tenía, ya que ayer, cuando vio que el pc iba un poco lento, pensó en lo peor e hizo una copia de seguridad en el pen de las copias de seguridad eliminando el anterior backup para reemplazarlo por una espléndida y SUPERCIFRADA versión de todos los ficheros.

Y la pregunta ha sido: ¿cómo se me ha metido un virus si yo no busco nada raro e internet?. Pues no se que te diga, igual ha sido por curiosidad, por que el troyano iba pululando por ahí por la red, te ha visto desde 1000 Km y ha pensado: ¡no puede ser cierto! ¡esto tengo que verlo!

En fin, resumiendo:

• usa sistemas operativos originales
• mantén tu sistema actualizado
• instala un antivirus y mantelo actualizado
• actualiza software de terceros
• actualiza tu navegador 
• no "capes" las medidas de seguridad nativas del sistema (aunque parezcan a priori incómodas)
• haz copias de seguridad periódicamente y a ser posible en varios medios distintos (pen, discos duros externos, en el cloud, en otros PCs de tu red)

Os dejo unos vídeos del gran Chema Alonso explicando más o menos un poquito esto:

Vídeo 1: Chema Alonso en el Blog Think Big: ¿Sirven de algo los antivirus?

Vídeo 2: Chema Alonso - Infectarse navegando por Internet

Vídeo 3: Chema Alonso - Actualizar Software de Terceros

Saludos !