miércoles, 28 de mayo de 2008

Malware contra el mundo (menos China)

En estos días, una tendencia común en la distribución del malware es inyectar códigos maliciosos directamente en sitios web, aprovechando vulnerabilidades en algunos de ellos. Luego, cuando el usuario visita uno de sus sitios favoritos, puede llegar a infectarse. La tendencia se viene acentuando desde fines del año pasado.

Ayer, por ejemplo, Dancho Danchev reportaba un nuevo caso donde varios miles de sitios se encontraban infectados por una amenaza que, aprovechando una vulnerabilidad, podía infectar a sus visitantes.

Lo interesante que encontré, al analizar el código inyectado mediante el script reg.js, fue que la misma hacía una diferenciación basada en el idioma del navegador del usuario, como se puede ver a continuación:


if (navigator.systemLanguage=='zh-cn')
{}
else
{
document.writeln("{iframe con página maliciosa}");
}


La primera línea de este script chequea si el lenguaje del sistema es 'zh-cn', y si es así, no hace nada. Solo en los casos en que el lenguaje sea distinto a 'zh-cn', se intentará infectar el equipo del visitante. 'zh-cn' es el código que identifica al lenguaje Chino Simplificado.

Hay dos opciones respecto a esto:
  • Que el autor sea chino, utilice ese lenguaje en su equipo, y para hacer pruebas sin infectarse, desarrollara su amenaza para evitar afectar su equipo (menos probable)
  • Que el autor, sea chino o no, quisiera infectar a cualquier visitante, salvo a los chinos

De China es donde están viniendo la mayor cantidad de amenazas informáticas que aprovechan las técnicas de inyección de malware en páginas web. ¿Será esto una señal de que quieren infectar al resto del mundo menos a sus compatriotas? Esto es una especie de discriminación "racial" aplicada al malware...

"is"

domingo, 25 de mayo de 2008

¿Por dónde ingresa el malware a tu sistema? Email (Anexo IIa)

Hasta ahora ya estuve repasando la información básica sobre los tipos de malware que existen actualmente y varios aspectos relacionados. En esos posts, va quedando claro algunos aspectos de cómo los códigos maliciosos llegan a nosotros, pero la idea es resumir lo mismo por cada vía de entrada posible, comenzando en este caso por el correo electrónico o email.

No cabe duda alguna que el email es parte de nuestras vidas, y como tal, se ha convertido en algo que cualquier persona en Internet, consulta y utiliza a diario. Por ello, es uno de los vectores de entrada de códigos maliciosos más común y duradero. Antes de que el correo electrónico se hiciera masivo, ya existía malware que lo aprovechaba para reproducirse, ya sea en forma manual o automática.

Aquellos primeros códigos maliciosos eran los llamados gusanos, los cuales hoy en día ya no son tan comunes, dado que el proceso de propagar malware a través de correo electrónico se realiza a través de envíos masivos de mensajes, de la misma manera que se hace con el spam. Sin embargo, ambos conceptos se siguen utilizando.

Más allá de eso, la idea es analizar el punto de vista nuestro, el del usuario, y los aspectos relacionados en cómo el malware puede llegar a nosotros mediante mensajes de correo electrónico.

Encabezados de Email

En un mensaje de correo electrónico, los encabezados que el usuario ve, son los campos de destinatarios (Para, CC, CCO), de remitente (De) y el asunto del mensaje.

Lo primero que tenemos que tener en cuenta es que los mismos pueden ser configurados por el remitente como más desee. Por más que el mensaje diga venir de Bill Gates, de la CNN, de un amigo, o de nuestros padres, no necesariamente quiere decir que el mensaje fue escrito por ellos.

La estructura de un mensaje de correo electrónico es tan maleable que permite poder falsear todos esos campos, de forma extremadamente sencilla.

En un mensaje relacionado con el malware, normalmente esos encabezados son preparados de manera que llamen nuestra atención (ver Ingeniería Social) para que abramos el email y veamos su contenido. Ese es el primer paso para que vayamos acercándonos a la trampa tendida por el atacante.

Contenido del Mensaje

La forma en que los desarrolladores de malware varían sus técnicas relacionadas con el contenido del email han llevado a que el día de hoy lleva a que esto pueda ser altamente variable, pero siempre relacionado con buscar que ejecutemos / descarguemos un archivo malicioso.

Entre las cosas más comunes, nos encontraremos:

  • El mensaje contiene un texto llamativo (fotos de alguien famoso o de alguna catástrofe, por ejemplo) o alarmantes (nuestra cuenta en algún servicio será dada de baja) que nos insta a abrir un archivo adjunto ejecutable o comprimido.
  • El mensaje contiene texto o imágenes, no contiene archivo adjunto, pero si uno o varios enlaces a sitios de Internet donde está alojado el malware en si mismo (por ejemplo, una tarjeta virtual)
  • El mensaje, al ser abierto, aprovecha una vulnerabilidad en nuestro cliente de correo electrónico, para ejecutar alguna acción en forma automático que concluya en la descarga e instalación de un malware
De cualquiera de las maneras anteriores, lo que termina sucediendo es que caemos en una trampa tendida por el atacante para que el malware termine en nuestro sistema, con o sin nuestra intervención.

Idioma del Mensaje

Como reflejo de Internet, el idioma más usado en los textos de los mensajes relacionados con el malware es el inglés. Pese a esto, se ven movimientos en la comunidad de creadores de malware hacia la geo-localización de mensajes basados en el idioma del destinatario.

Conclusiones

El uso del correo electrónico para distribuir malware o para hacernos llegar cualquier tipo de fraude sigue siendo el principal vector de entrada de este tipo de acciones.

Lo primero y esencial para que no seamos víctimas es prestar atención al mensaje, y si no lo solicitamos, no seguir sus instrucciones. Las compañías no envían mensajes con archivos adjuntos ejecutables, las tarjetas virtuales no deben instalarse en nuestro sistema por lo que no debemos descargar nada asociado a ellos, y nuestros amigos que normalmente nos escriben en nuestro idioma, no lo harán en otro.

El malware de hoy en día esta detrás de nuestra información, no busca afectar el sistema, sino usarlo como parte de su esfuerzo para lograr un rédito económico.

Contar con un antivirus, sumado al sentido común, y actualizar nuestro sistema a diario para evitar vulnerabilidades, son las mejores acciones que podemos tomar para estar protegidos contra el malware.

“is”

sábado, 24 de mayo de 2008

Rynho Zeros Web

El blog de Martín es un buen lugar para mantenerse al día con noticias relacionadas a la seguridad informática. Martín suele publicar allí noticias sobre nuevas amenazas y vulnerabilidades, además de investigaciones propias sobre distintos temas que nos afectan a todos.

Además, ofrece una herramienta para validar claves y chequearlas en base a distintos parámetros que nos dirán si son más o menos seguras de acuerdo a parámetros como la cantidad de caracteres o el uso de aquellos especiales.

Les recomiendo su lectura para mantenerse al día sobre lo que sucede en el ámbito de la seguridad informática en nuestro idioma.

“is”

jueves, 22 de mayo de 2008

¿Qué es un downloader? (Lección 18)

Hasta ahora he hablado de las típicas amenazas informáticas, sin entrar en detalles de las sub-familias de cada una de ellas. Dada la gran cantidad de éstas, no voy a referirme a todas, pero si a las más importantes de la actualidad.

En este caso le toca a lo que se conoce como troyano downloader, el cual es un tipo de código malicioso cuya función es descargar otros malware.

Para optimizar procesos de creación, quienes están detrás de las amenazas informáticas han separado a las mismas en distintos componentes, cada uno de ellos con distintos objetivos. En lugar de tener que desarrollar un único malware que realice todas las funciones, las mismas se han separado.

En este caso, los downloaders suelen ser reutilizados para muchas miles de otras amenazas, manteniendo un funcionamiento sencillo, y programados para ser el vector de ingreso al equipo informático de la amenaza real. Vienen a ser quienes abren la puerta para que otros códigos maliciosos ingresen al sistema.

Es por esto que los downloaders suelen estar programados teniendo en cuenta que:

  • Tengan un tamaño pequeño
  • Exploten vulnerabilidades
  • Estén codificados o encriptadas para intentar evitar la detección de antivirus
  • Instalen otras amenazas usando técnicas de rootkits

Una vez cumplida la función de descargar e instalar la amenaza principal, el troyano downloader ya no realiza otra acción. Pueden estar programados en todo tipo de lenguajes, ser archivos ejecutables como scripts para páginas webs, e incluso son comercializados y distribuidores entre el mundillo de los creadores de malware.

“is”

domingo, 18 de mayo de 2008

Noticias relevantes de la semana

En esta semana que no he podido postear demasiado (con luxación de dedo incluida), les dejo algunas noticias relevantes de la semana que pasó:

Que las disfruten!

"is"

Feliz cumpleaños Segu-info!

Ayer, Segu-info, un sitio independiente de noticias y consejos sobre seguridad informática, que se ha convertido en una de las principales comunidades del sector, cumplió 6 años.

Desde aquí, ¡felicitaciones a CFB, SoloE y todos los que lo hacen posible!

"is"

viernes, 16 de mayo de 2008

Otra funcionalidad de Google y seguridad

En el blog de seguridad en línea de Google, anunciaron hoy la disponibilidad de la página de diagnostico de navegación segura (Safe Browsing diagnostic page), que tiene como objetivo brindar información sobre sitios web y si Google los considera sospechosos, si han alojado malware, etc:

Si uno revisa la información del sitio para una página web, encontrará (en inglés), lo siguiente:

  • Si es sospechoso o no
  • Lo sucedido cuando Google visitó el sitio por última vez (si encontró algo malicioso o no)
  • Si el sitio ha servido como intermediario para alojar malware o si lo ha alojado directamente
  • Información sobre cómo pudo haber sucedido esto
¿Cómo se podrá acceder a la información provista por este servicio?
  1. Directamente, completando la siguiente URL con la que queremos evaluar

    http://www.google.com/safebrowsing/diagnostic?site=[URL a EVALUAR]

    Ejemplo

  2. Si el usuario hace click en un resultado de búsqueda catalogado como sospechoso, lo verá en la página intermedia que se le muestra normalmente

    Ejemplo

  3. A través de la página de información adicional en las advertencias de Mozilla Firefox 3.
Esas son las formas existentes hasta ahora, lo cual no descarta que haya otras más adelante. Por ejemplo, en la caja que verán temporalmente en la parte derecha del blog, podrán poner su sitio web y ver qué información brinda este servicio al respecto.

Más allá de este nuevo agregado a la seguridad de Google, aún sigue sin ser resuelto lo ya comentado aquí en multiples oportunidades respecto a los controles de redirecciones en el script iclk de Google... al punto de que el servicio de Safe Browsing no reconoce como si fueran sospechosas las páginas informadas en nuestro post como alojando malware y accedidas a través de redirecciones de Google (pasa por sus propios servidores y ni se enteran que tiene malware... bueno, ya suena demasiado quejoso esto... si alguien quiere que clarifique este tema, avise :-)

"is"

lunes, 12 de mayo de 2008

Google no es el único usado para redirecciones

Para que no se crean que tengo algo particular contra Google, hoy voy a mostrar que no es el único que no controla sus páginas de redirecciones adecuadamente.

Al revisar mi correo el día de hoy, me encontré, para variar, con un nuevo ejemplo de phishing, otro de los tantos que recibo a diario. En este caso, dice venir del Departamento del Tesoro estadounidense, diciendo que han encontrado que tengo dinero a recuperar por mis impuestos.

En el mensaje, se me pide que haga click en un enlace, que al revisar, tiene la siguiente forma:

http://www.aol.com/redir.adp?_url=http://www.ines-und-kai.de/[XXXXXX]/login.html

[Algunas partes de la URL fueron removidas para no hacer pública la dirección del phishing]

Si miran la primera parte de la dirección web, verán que la misma es para acceder a un script (redir.adp), que está alojado en la página www.aol.com. Esta página pertenece a America OnLine, uno de los principales proveedores de servicios de Internet de Estados Unidos.

La página en cuestión es utilizada por AOL para varios de sus sitios web, a fin de redireccionar enlaces dentro de sus páginas, a otros sitios, y no tiene nada de malo por si misma, pero parece que no tiene los controles necesarios, dado que permite hacer redirecciones a cualquier sitio que se incluya como parámetro (lo que viene después de “url=”).

Asimismo, este redir.adp puede ser usado no solo para redirigir a páginas de Internet, sino también a descargas de ejecutables, cosa que acabo de comprobar, de la misma manera que el script iclk de Google.

¿Por qué me preocupa tanto el tema de estas redirecciones no controladas? Básicamente, porque ayudan, indirectamente, a que el usuario confíe en el mensaje de phishing recibido, dado que al ver un dominio conocido como enlace (aol.com), tendrán más confianza al hacer click en el mismo, y sin saberlo, terminarán siendo redirigidos a un sitio malicioso.

De esa manera, se les da una herramienta adicional para engañar a quienes están detrás de estas acciones maliciosas, todo debido a que la página aquí mencionada de AOL como la de Google que vengo mencionando hace rato, tienen un pobre diseño de seguridad.

Repito por enésima vez: no importa de quien diga venir algo, sino lo solicitaste, no lo aceptes.

“is”

Gracias!

Este blog ya anda transitando su segundo año de vida y quiero agradecerles a todos lo que lo vienen siguiendo y los que vendrán porque son los que hacen que den ganas de seguir ampliando contenidos.

Ya son mas de 200, promedio, los seguidores del blog vía RSS, y las visitas siguen aumentando, pero no solo eso, sino que también hay otros sitios y blogs que están considerando algo del material aquí publicado como útil y hacen referencia al mismo.

Por ello, quiero agradecerles a ellos personalmente:

  • Jonathan, de MiDecadencia, que linkeo el post sobre 0-day.

  • Marcelo, de InfoSpyware, que hizo referencia al post sobre lo que Google hace contra el malware.

  • SebasP, de Experimento Paschmann, a quien le gusto mucho el tema de la serie de aprendizaje y comento sobre ella.

  • A David y Analia, de Rompecadenas, que siempre incluyen alguna que otra referencia.

  • A SebasB, de Un Mundo Binario, que tambien hizo referencia al comentario sobre lo que Google hace contra el malware.

  • A CFB, de Segu-Info, que tambien ha hecho referencia en varias oportunidades.

  • A Martin, que reprodujo en su blog personal el tema de las redirecciones de Google.

Y a otros tantos que he visto nos siguen y utilizan de fuente, y a quienes espero poder seguir ayudando desde aquí y que ellos también me ayuden a conocer mas sobre los temas que publican regularmente.

Gracias a todos!!

¿Qué es un falso positivo? (Lección 17)

Una reciente noticia sobre MSN y Youtube me dio el pie ideal para explicar el concepto de falsos positivos en los sistemas de seguridad.

La novedad era que durante el fin de semana pasado, el mensajero instantáneo de Microsoft (MSN o Live Messenger, dependiendo la versión), estaba bloqueando el acceso a direcciones de Youtube que fueran compartidas por sus usuarios por considerarlas potencialmente dañinas.

Esto se debió a un error en el sistema de seguridad usado por el mensajero que erróneamente clasificaba a las direcciones que contenían el dominio youtube.com como si fueran un enlace que pudiera, potencialmente, causar daño a la computadora del usuario.

Lo anterior es un ejemplo claro de lo que se denomina falso positivo.

Un falso positivo es cuando cualquier sistema de seguridad interpreta que algo (un programa, un código, una dirección web, etc) es malicioso cuando no lo es. Otro ejemplo es cuando un antivirus detecta a una aplicación inocua como si fuera un malware y bloquea el acceso a la misma.

Los falsos positivos pueden ser causados por cuestiones humanas o automáticas. Las primeras, cuando un miembro del laboratorio de la aplicación de seguridad clasifica algo en forma errónea, mientras la segunda es cuando las reglas en las que se basa el sistema de seguridad no están desarrolladas correctamente y detectan mas de lo que deberían como dañino.

¨is¨

Actualizaciones automáticas, usuario promedio y seguridad



Hay muchas cosas que se le achacan a Microsoft, muchas veces con razón, pero hay una que, a mi parecer, se hace bien, y no todo el resto de los sistemas operativos y plataformas lo tienen implementado: las actualizaciones automáticas.

Tuve acceso estos días a una Asus eeePC, ese gadget tan interesante que es furor en algunos lugares. El mismo viene por defecto con Linux, basado en una distribución llamada Xandros, y con cierta personalización hecha para el dispositivo.

La eeePc viene preparada para que el usuario pueda comenzar a utilizarla ni bien se enciende, ya que trae navegador, cliente de correo, suite ofimática y otras tantas aplicaciones.

El navegador, por ejemplo, es el Mozilla Firefox. Por curiosidad, consulte la versión del navegador (Menú Ayuda, Opción Acerca de) y me encontré con que la que trae la eeePC por defecto es la 2.0.0.11 la cual es ya vieja, dado que fue reemplazada por una nueva allá por Febrero de este año. Es mas, la versión actual de Firefox es la 2.0.0.14, habiendo 3 actualizaciones importantes entre la versión que tiene la eeePC y la actual.

El problema no es ese, porque bastaría con actualizar el navegador, pero la versión de Firefox instalada en la Asus eeePC tiene desactivada la opción para buscar actualizaciones.

Mas allá de lo anterior, el sistema mismo no tiene una forma automática de actualizar software, al menos no accesible por el usuario poco experimentado, que es aquel para quien esta pensado este dispositivo. Entonces, el usuario tiene un sistema inseguro, sin importar sobre que sistema operativo esta trabajando, dado que el poder mantener la plataforma actualizada es primordial en materia de seguridad y si el sistema no cuenta con una forma de hacerlo automáticamente, el usuario promedio, directamente, no lo hará manualmente.

Obviamente, se puede reemplazar el sistema operativo que viene por defecto en la Asus eeePC por otro, entre ellos Windows XP y otras distribuciones de Linux que si tienen la posibilidad de actualizaciones automáticos, pero el usuario promedio no suele tener los conocimientos para hacer eso.

Este tipo de situaciones – sistemas operativos sin opciones de actualización automática – es algo que se da en muchos lados (Blackberry, por ejemplo, no tiene esto, al menos no en la que tengo yo sin conectar al Desktop Software), y aunque la plataforma en cuestión sea en estos días menos vulnerable a otras, eso no implica que podemos dejar de lado la necesidad de mantenerlo al día.

Me resulta llamativo que este aspecto tan básico de la seguridad sea dejado de lado en dispositivos nuevos como la Asus eeePC, sobretodo en uno que está pensado para ser sencillo de usar y orientado al propio usuario promedio.

viernes, 9 de mayo de 2008

¿Qué significan 0-day, zero day o día cero? (Lección 16)

Esta no era la siguiente lección que pensaba publicar, pero al final del post explicaré el por qué lo estoy haciendo :) (*)

El término día cero (que en inglés sería zero day o se designa a veces como 0-day) se puede aplicar al momento en que cualquier cosa se hace disponible. Si algo ya se conoce, no está en su día cero.

En cuanto a seguridad informática, se habla de vulnerabilidades 0-day, cuando se hace referencia a todos aquellas que previamente no son conocidas (siquiera por el fabricante del software, en teoría) y para las cuales no existe un parche, actualización o solucione que permita cerrar el agujero de seguridad.

De vez en cuando se encuentran exploits que aprovechan estas vulnerabilidades 0-day, lo cual las hace técnicamente más peligrosas, dado que no existe una solución para evitarlos.

Si hablamos de malware, aquel de día cero es específicamente cualquier nuevo malware para el cual aún no existen firmas específicas que sean capaces de detectarlo, y los cuales solamente pueden llegar a ser detectados a través de otros tipos de técnicas no reactivas.

En ambos casos, el concepto es simple: el día cero es aquel en el que la amenaza informática es conocida y a partir del momento en el que se puede actuar para detenerla. Si la amenaza no era conocida, ya que era de día cero, no puede haber una solución específica contra la misma.

“is”

(*) En un evento en el que me tocó estar como panelista, escuché de uno de los conferencistas, si se le puede llamar así, la frase “las firmas de antivirus son la mejor y única solución contra el malware 0-day”, diciendo que cualquier metodo, directamente, "no sirve". Esto es una falacia total dado que entre que dicho malware aparece (momento 0) hasta que la firma sea creada y liberada pasa un tiempo X durante el cual existe una ventana de vulnerabilidad a la que todos nosotros podemos ser susceptibles.

Si hay algo importante en la seguridad informática es evitar el alarmismo y la falacia para vender productos, sino intentar educar lo mejor posible a las personas para que comprendan el alcance el problema y así puedan elegir la solución que más les conviene. Si la comunidad de expertos en el tema no explica las cosas correctamente, o si no es tan “experto” cómo dice serlo, vamos a tener más problemas en lugar de trabajar en evitarlos. “Por lo menos así, lo veo yo”, parafraseando a G. Nimo.

El caso del Firefox vietnamita con malware de "fabrica"

Anda dando vueltas por toda Internet la noticia de que un complemento del navegador Mozilla Firefox (el que yo uso) que contenía un malware desde hace meses. Por ejemplo, aquí va la noticia publicada en Kriptopolis:

http://www.kriptopolis.org/malware-en-servidores-mozilla

El complemento infectado era el que permitía tener Firefox en idioma vietnamita, estaba disponible en los servidores de Mozilla, y fue descargado por una cantidad no informada de usuarios en ese lapso, la cual recibió un malware junto a lo que realmente buscaba.

El alcance de este problema fue bajo, dado que se trató de un complemento que no está entre los más utilizados, pero vuelve a poner en el tapete problemas relacionados con algunos modelos del open-source (que comenté en un caso en Squirrelmail) y de los controles en la liberación de software, que comenté también en otros posts anteriores (aquí y aquí).

El software de código abierto tiene aspectos muy interesantes que me encantan, pero como cualquier otra cosa en la vida, no es 100 % seguro. En su desarrollo participan programadores repartidos por distintas partes del mundo, que desarrollan en distintas plataformas, las cuales vaya uno a saber qué seguridad tienen o si siquiera la tienen.

Este caso se puede haber dado tanto en forma malintencionada como porque el programador que desarrolló o actualizó el complemento no tenía un sistema seguro. Lo preocupante es que el malware en el complemento de Firefox debería haber sido detectado por quienes auditan el código o al menos debería haber sido detectado por los procesos de seguridad de los servidores de Mozilla, de donde todos nosotros, usuarios de ese navegador, lo descargamos (¿o acaso no tienen antivirus en el servidor para asegura que lo que descargamos no está infectado?).

A no ser leña del árbol caído (aunque esto no es una caída, es un caso particular) ya que esto le puede pasar a cualquiera.... (*)

"is"

(*) La falta de seguridad es algo que le puede pasar a cualquiera... Todavía me preocupa lo que sucede con las redirecciones en Google no controladas... Hoy volví a revisar, y sigue existiendo el problema que reportamos, y que permite usar Google para redireccionar a sitios con malware. Si esto pasara en el buscador de Microsoft, ya estaría en todas las primeras planas de Internet...

martes, 6 de mayo de 2008

Vídeo de demostración de funcionamiento de redireccionamiento de Google y archivos ejecutables infectados

Tras hablar con alguna gente me dí cuenta que no siempre queda claro cómo es que llegan los malware a nosotros y cómo es que podemos quedar infectados.

Aprovechando este tema reciente que publiqué ayer sobre las redirecciones de Google, armé un vídeo de demostración de esto, tanto para que quede claro cómo funciona en este caso, así como para mostrar lo que normalmente le pasa a un usuario cuando se infecta.




Espero les sea útil. Más detalles sobre el tema pueden encontrarse en el post anterior.

"is"

domingo, 4 de mayo de 2008

Google, Yahoo!, spam, redirecciones y malware

A alguien le va a caer mal, pero lo tengo que decir igual: no prestaron atención y ahora los usuarios pagan las consecuencias.

Hace 36 días reporté a Google un problema con falta de chequeos en las redirecciones de uno de sus scripts (iclk), y me confirmaron la recepción de esto, así como se me informó que iban a trabajar en resolver el problema.

Al día de hoy, sigue sin ser resuelto, y no solo eso, sino que hoy me encontré en mi casilla de email, un correo que aprovecha dicha redirección para distribuir malware.

El mensaje recibido tiene las siguientes cabeceras:

De: Yahoo multimedia (multimedia@yahooargentina.com)
Asunto: Tenes novedades de tu amigo

Y el contenido simula ser una tarjeta enviada por un amigo, como la siguiente:

Al hacer click en los enlaces de dicha postal, seremos llevados a la descarga de un archivo yahoo.exe que está alojado en ciertas páginas alrededor de Internet.

Los enlaces en cuestión aprovechan un script alojado en las páginas de Google, usado para redirecciones de clicks, que no chequea la página de destino. Este tema es el que publiqué en este blog hace tiempo, reporté personalmente a Google, y aún no ha sido resuelto.

El archivo malicioso, que según VirusTotal, es un troyano bancario, está alojado en sitios de Internet cuya seguridad parece haber sido vulnerada, dado que son sitios reales de empresas/servicios que seguramente están alojando malware sin saberlo.

Los enlaces, en este caso, son (se han modificado para que no puedan afectar a quienes visiten este blog):

http://www.google.com/pagead/iclk?[XXXXXX]&adurl=http://www.librosdesegundamano.com/[XXXXXX]/yahoo.exe

http://www.google.com/pagead/iclk? [XXXXXX]&adurl=http://www.dinastia.g12.br/[XXXXXX]/yahoo.exe

http://www.google.com/pagead/iclk?[XXXXXX]&adurl=http://www.lana-grossa.de/[XXXXXX]/yahoo.exe

Quien creó el mensaje en cuestión, aprovecha la imagen de Yahoo! para ganar la confianza del destinatario (ingeniería social), y la de Google tanto para eso como para, por ejemplo, saltear posibles filtros que pueda haber a nivel de servidores que prevengan ciertas URLs, pero permitan el acceso a Google.

Espero que ahora Google si resuelva este error de diseño en su sitio a fin de que deje de ser utilizado para cosas como estas. Cada vez más spammers, phishers y creadores de malware están aprovechándolo para redirecciones.

Entretanto, este es otro caso que demuestra que no debemos confiar en todo lo que recibimos por correo, menos aquello que no solicitamos, diga venir de quien sea, un amigo o una empresa archi-conocida...

“is”