Pages

Ads 468x60px

lunes, 3 de diciembre de 2012

No aprendeis :(


Esta claro que nadie hace caso de las advertencias. No se si es que soy mal comunicador, que la gente hace caso omiso de todo o un poco de ambas.

El caso es que ayer (lo publique en twitter) una amiga me reenvió un correo que le había llegado de una compañera de trabajo y que le parecía sospechoso.
Y tan sospechoso...

Al llegar a casa, arranque mi sobremesa, me identifique debidamente, encendí Vbox, cargue una de las maquina de pruebas que tengo (win7) y me descargué sandboxie.

Sandboxie, es una de tantas aplicaciones que existen (sandbox o caja de arena) para que pruebes los programas. Aísla los procesos, para que puedas usar los programas "sospechosos" con cierta tranquilidad ya que "no se va a infectar la maquina" porque está en un espacio aislado.

En el mercado hay varios de estos programas, pero me decidí a usar Sandboxie porque ya lo había usado con anterioridad, me funcionó bien y además está en cristiano, lo cual es de agradecer.

Bueno, volviendo a lo importante. El caso es que estaba bastante cansado (me había levantado a las 5:15 para ir a las charlas de navaja negra en Albacete) y no me apetecía andar trasteando demasiado. Así que, abrí un navegador dentro de la sandbox, abrí el correo y pinche en el enlace sospechoso.




Ya de primeras, el asunto es de lo mas gracioso: Saludos! mi felicidad!, pero ya si leéis el cuerpo del mensaje es de coña. Me recuerda al post que escribí haciendo alusión a Chema Alonso en su charla sobre Inseguridad de las vías telemáticas

Total, que como ya he dicho, no tenia ganas de ponerme a investigar demasiado, simplemente cerré el navegador y al ver los procesos dentro de la ventana del sandboxie, uno me llamo la atención.


dllhost.exe


El proceso dllhost.exe es de windows y se encarga de controlar las aplicaciones basadas en DLLs, pero además, según reportan en la propia web de Microsoft, es un gusano que afecta al proceso dllhost.exe y Svchost.exe. Es el gusano Nachi.A.1.

Entre sus virtudes (es similar al famoso Blaster) hace un desbordamiento de búfer en la interfaz RPC que podría permitir la ejecución de código malintencionado. El virus es de 2003, pero como mucha gente no actualiza su software, quizá hasta os lié alguna xD.

Lo que esta claro, es que no debemos abrir este tipo de correos, a pesar de ser de alguien conocido, y si lo abrimos, jamas dar a ninguno de los links que nos ponen, por muy sugerente que sean, aunque digan que has ganado un iphone 5 o un chalet en Torrevieja. Ya somos mayorcitos y deberíamos saber que nadie regala duros a 4 pesetas (y menos un piso en Torrevieja xD)

Así que por favor, insisto, no abráis correos con un asunto "raro", no os dejéis engañar con falsos regalos y no os creáis que whatsapp va a ser de pago -espera, si WA ya es de pago-.

A colación de esto, justo esta mañana me entra un correo de una amiga que llevaba sin escribirme mas de 1 año, os podéis imaginar...

En este ni siquiera habían escrito nada, solo había un enlace.





A lo que le contesto brevemente, que revise sus contraseñas.
La verdad que me quedé con ganas de darle mas caña y decirle y explicarle varias cosas, pero preferí dejarlo así.

Vuelvo a repetir lo que ya se sabe, contraseñas mas fuertes, no tener la misma contraseña para todo, y lo mas importante, cuidado donde nos metemos.

A ver si esta vez me hacéis mas caso y evitamos estas cosas.

Os dejo la info de Microsoft sobre el tema (y en castellano xD).

http://support.microsoft.com/kb/826234/es
http://support.microsoft.com/kb/823980/es

Saludos!

8 comentarios:

  1. Gracias, te consultaré sobre cuckoo sandbox si tengo algún problema. Para gusanos ->sandbox ¿algún otro tipo de malware que se trate con estos entornos?

    ResponderEliminar
    Respuestas
    1. No se sí te e entendido bien.
      No es que los sandbox sean para analizar ningún malware en sí, es que yo estaba perro y no quería investigar mucho.

      Se supone que los sandbox son entornos seguros en lo que probar estas cosas sin temor a infectarte (ojo con eso). Para analizar cualquier malware, debería ser en un entorno controlado (mínimo máquina virtual aislada de la red principal) y desde ahí trabajar con las herramientas comunes, Pej: sysinternals. Además de usar todo lo necesario, unpackers, wireshark y un largo etc dependiendo de lo que quieras hacer/saber.

      Espero haberme explicado con claridad, cualquier cosa, tienes mi TW, correo o por aquí ;-)

      Eliminar
    2. Me comí la H en el "te he entendido" sorry, es por escribir desde el ay!phone

      Eliminar
  2. A mi me encantaba sacar mi máquina virtual, quitarle la red y ejecutarlo...

    Una vez ejecutado....buscarlo y limpiarlo...la verdad que se me daba bien!!

    A ver si encuentro a mi querido ntos.exe, muy molón él! y me infecto un rato XD

    Como ves, als sandbox no son para mí, soy mas dura XD

    Pero los demás sí, eh? si queréis probar otras aplicaciones, leeros los post de este blog para aprender!!

    Un saludo y buen post!

    ResponderEliminar
    Respuestas
    1. Jsjsjs pero no todos tenemos tu pericia querida!! :P
      Además tu curraste para una firma antivirus no? Eso hace mucho.

      A ver si te estiras y escribes algo sobre malware para este mi blog jajaja.

      Gracias por pasarte ;-)

      Eliminar
  3. Tranquilo: te volverán a preguntar sobre el tema (y a decirte que una amiga le ha dicho que ha ganado 3 ifones haciendo clic no sé dónde) ;-)

    ResponderEliminar
  4. Si he visto publicado este post en twitter, después de 7 meses, es porque efectivamente, no aprendemos.

    Te puedo decir las razones:

    1. Desconocimiento: creo el mayor % de personas son incautas, incrédulas, y lo que es peor, no se paran a analizar y a leer, y lo digo por casos bien cercanos que imaginas, por lo que aunque te parezca increíble, esta entrada o las 2 de Phising de Angelucho, son absolutamente NECESARIAS.

    2. Supongo que de 1º de psicología: la gente siempre piensa que las "desgracias" les van a ocurrir a otr@s.

    3. Vaguería, pereza, dejadez, apatía. Ése es mi caso. Sé que tengo que hacer ciertos temas de seguridad, y hasta que me arranco, me cuesta, pero no porque no lo sepa, es como una barrera mental. Ahora tal vez me cuesta más porque otras personas de la casa dependen de que les explique los 4 pasos de los blogs, como te conté por email, o el wifi lo tengo que llevar yo, etc, pero básicamente es la perrería que tú comentas a la inversa: a ti no te apetecía profundizar demasiado ni dar explicaciones y al usuario no le apetece ponerse serio, ni aunque redunde en su propio beneficio. Es un contrasentido, pero así somos los seres humanos, pura contradicción.

    ¿Más razones? Otro día te comento, pero te doy las GRACIAS por luchar X1RedMasSegura. No nos cansemos, algún día el mensaje calará y conseguiremos cargarnos la ignorancia, el perreo y el sentimiento de que le pasará a los demás.
    ¡¡¡ÁNIMOOOOO!!!
    Saludos.

    ResponderEliminar
    Respuestas
    1. Te prometo que siempre que leo tus comentarios no me dejan indiferente. Transmites mucho con tus palabras querida amiga, y eso, en mi caso, hace que quiera seguir adelante.

      No puedo estar más de acuerdo con el punto 2. Incluso mi padre que es abogado, tiene ese "deje" de: bah, eso son bobadas eso es sólo en las películas...


      Gracias por ser ya una parte importante de este pequeño blog ;-)

      Eliminar

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates