Historias
Slashboxes
Comentarios
Búsqueda

¿Malware vía software libre y enlaces patrocinados?

editada por rvr el Jueves, 11 Diciembre de 2008, 15:00h   Printer-friendly   Email story
desde el dept. iliados
Intrusiones Pasta (Gansa) Seguridad
Un pobrecito hablador nos cuenta: «No sé si el título es el más adecuado. Trabajo de técnico en una red con 300 ordenadores (la mayoría con Windows) donde los usuarios pueden instalar lo que quieran. Muchos de ellos deciden instalar software del cual les han hablado bastante bien y cuya página buscan en Google: VLC, OpenOffice, incluso e-Mule. De un tiempo a esta parte me he dado cuenta de que los programas que se instalaban dichos usuarios no eran los auténticos: OpenOffice's que pedían dinero para funcionar, páginas que pedían dinero por descargar el reproductor vlc... Resulta que para los proyectos de software libre más populares para Windows algunas webs maliciosas o de aprovechados han pagado a Google para aparecer como primer resultado en las búsquedas (probad a buscar openoffice, ares, emule, vlc...) Los usuarios de a pie no saben que dichas webs no son las auténticas y acaban pagando por instalar software gratuito, o acaban instalando malware».

«  Programación de GPUs: OpenCL 1.0 | Cuatro estrena en abierto 'Los Cazadores de Mitos'  »

Historias relacionadas

[+] 'Malware' para Firefox se hace pasar por Greasemonkey 30 comentarios
shalafi nos cuenta: «Leído en Slashdot: Firefox sufre un 'malware' que se hace pasar por Greasemonkey. El Trojan.PWS.ChromeInject.A es un malware que recolecta información de contraseñas de bancos instalándose entre las extensiones de Firefox y que se hace pasar por Greasemonkey para evitar ser detectado. Creo que es el primer troyano tan elaborado que esta orientado únicamente a Firefox, ¿será que la cuota de usuarios ya es suficiente?»
¿Malware vía software libre y enlaces patrocinados? | Log in/Crear cuenta | Top | 93 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Bastante curioso

    (Puntos:4, Interesante)
    por pobrecito hablador el Jueves, 11 Diciembre de 2008, 15:20h (#1107371)
    En el caso del Openoffice, observo un enlace patrocinado a http://www.openoffice.pro/ [openoffice.pro] ... lo que no entiendo es como es posible que hayan permitido el registro de dicho dominio. Este gTLD vá destinado a profesionales que deben acreditarse para obtener dicho dominio. Quién de vosotros de apellida OpenOffice?

    A saber que es lo que la gente se está descargando.
    [ Responder ]

    • Re:Bastante curioso

      (Puntos:5, Informativo)
      por joxeanpiti (13551) el Jueves, 11 Diciembre de 2008, 20:17h (#1107471)
      ( http://barrapunto.com/ | Última bitácora: Lunes, 29 Diciembre de 2008, 10:42h )
      Me ha dado por mirarlo y esto es lo que te bajas: Lo que te mete es un banker. Vamos, un malware específico para bancos..

      Si a alguien le interesa el proceso... Es así de simple:

      1.- Descargar el binario .EXE que se supone es de 186 MB y sin embargo ocupa 200 Kb.
      2.- Descomprimir el "instalador" con un puñetero unzip.
      3.- Nos creará varias cositas: Un binario llamado "video.scr" (que es el banker) y un instalador de una barra de esas para el explorer de puñetero spyware.
      4.- El malware video.scr está enpacado con tElock. Este archivo, a su vez, desempaca otro bichito (c:\windows\sts.exe) que está empacado con ASPack.
      5.- Una vez que se descomprime este se encuentra que es un banker. Tan fácil como ver sus strings:

      CODE:004D5E88 aEstimadoClie_2 db 'Estimado cliente, nuestro sitio web se encuentran bajo mantenimie' CODE:004D5E88 ; DATA XREF: CODE:004D47F9o CODE:004D5E88 db 'nto. Para su seguridad, por favor, visite nuestro sitio Web en po' CODE:004D5E88 db 'cas horas.',0 CODE:004D5F15 align 4 CODE:004D5F18 aCArquivosDeP_4 db 'c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://ww/ [ww] CODE:004D5F18 ; DATA XREF: CODE:004D480Bo CODE:004D5F18 db 'w.caixacatalunya.es/caixacat/es/ccpublic/particul ars/default.htm',0
      Lo que no me queda claro (ya me estoy volviendo vago para mirar estas cosas) es si es un banker genérico (veo referencias a Caja Mediterránea y La Caixa) o si las referencias a múltiples bancos son solo para liar (Estoy un poco vago como para mirar el malware al completo ahora mismo).

      Bueno, pues eso :) Un saludo
      --
      FreeBatasuna [blogspot.com].
    • Re:Bastante curioso de Faryshta (Puntos:2) Jueves, 11 Diciembre de 2008, 22:51h
      • Actualizo.- de Faryshta (Puntos:2) Jueves, 11 Diciembre de 2008, 22:55h

  • Nada nuevo

    (Puntos:3, Inspirado)
    por spok (2400) el Jueves, 11 Diciembre de 2008, 15:22h (#1107372)
    ( http://barrapunto.com/~spok/bitacora | Última bitácora: Jueves, 07 Septiembre de 2006, 20:43h )
    Hay gente que pide dinero a los emigrantes por proporcionarles formularios que son gratuitos, "gorrillas" que te piden dinero por poder aparcar el coche en plena calle... incluso gente que vende la Giralda de Sevilla y otros que se la compran. El tema no es nuevo. Yo siempre intento ir al original, a la página del autor y que desde ahí me indiquen de dónde descargar.

    Además, el verdadero problema no es que te pidan dinero, eso puedes negarte a hacerlo, lo malo es que te bajes un zoológico entero de troyanos, gusanos y dios sabe qué junto al binario. Luego, con poner el aviso ese de: "atención, se recomienda desactivar el anti-virus para que no interfiera en la instalación de ese programa". Y ya tienes a todos desactivando el antivirus.

    --

    Dicen que me río de todo y me burlo de todo, porque me río de ellos y me burlo de ellos y ellos creen serlo todo

    [ Responder ]
    • Re:Nada nuevo de gothmog (Puntos:2) Jueves, 11 Diciembre de 2008, 16:34h
      • Re:Nada nuevo de perceptronico (Puntos:2) Jueves, 11 Diciembre de 2008, 17:31h
        • Re:Nada nuevo de pobrecito hablador (Puntos:1) Jueves, 11 Diciembre de 2008, 19:20h
        • Re:Nada nuevo de triturator (Puntos:2) Viernes, 12 Diciembre de 2008, 07:23h
      • Re:Nada nuevo de trylobytero (Puntos:2) Jueves, 11 Diciembre de 2008, 18:06h
      • 1 respuesta por debajo de tu umbral de lectura actual.

  • La educación es la clave

    (Puntos:3, Informativo)
    por lufo (7871) el Jueves, 11 Diciembre de 2008, 15:23h (#1107373)
    ( http://barrapunto.com/ )

    No entiendo muy bien si estás pidiendo consejo o si simplemente estás denunciando la situación.

    Si pides consejo, te recomendaría que bloquees en tu proxy el acceso a las ¿10? ¿20? webs maliciosas que más te encuentres. Es un trabajo un poco tedioso, pero bueno, se puede hacer. Si no quieres hacerlo a mano, una buena opción (lo hacemos en mi curro, más de 450 ordenadores, todos con Windows, todos con los usuarios con permisos de administración, todos con usuarios poco informados y poco interesados en lo que a seguridad informática se refiere) es cambiar tus servidores de DNS para usar OpenDNS [opendns.com]. Ofrecen un filtrado bastante paranoico, pero con la posibilidad de meter en lista blanca todo lo que quieras.

    Si simplemente se trata de una denuncia, permíteme comentar que este tipo de cosas funcionan por la poca concienciación y el poco interés que tiene la mayoría de la gente en temas de seguridad de sus propios equipos informáticos.

    Este caso es un ejemplo clarísimo, partiendo del hecho de que el administrador de una red de más de 300 ordenadores (y no te ofendas porque no lo digo con mala intención) hace afirmaciones como

    [...] algunas webs maliciosas o de aprovechados han pagado a Google para aparecer como primer resultado en las búsquedas [...]

    Entiendo que lo haces para reforzar tu tesis, pero se trata de desinformación, en vez de explicar a tus usuarios que no se trata de resultados de búsqueda sino de enlaces patrocinados (y así están señalados), prefieres resolverlo con "no te puedes fiar del Google". Que si somos estrictos y un poco paranoicos, efectivamente no te puedes fiar de Google, pero no es la cuestión principal aquí, sino que la cuestión sería a mi juicio aprender a distinguir información de publicidad.

    Y también el hecho de que el administrador de una red de más de 300 ordenadores se sorprenda (a estas alturas) por este fenómeno y su mejor idea sea denunciarlo en Barrapunto también habla por sí solo del nivel de educación, formación, preocupación e interés por la seguridad informática que tenemos también los profesionales del sector.

    [ Responder ]

  • propuestas a mejorar

    (Puntos:5, Interesante)
    por blackhold (15880) el Jueves, 11 Diciembre de 2008, 15:25h (#1107374)
    ( http://blackhold.blogspot.com/ | Última bitácora: Jueves, 04 Diciembre de 2008, 22:59h )
    Buenas, yo también soy técnica de red (aunque prefiero llamarlo administradora de sistemas), te recomiendo que bajo ningún consejo dejes a los usuarios instalar programas, esta es o debería ser tu tarea.

    El sistema que uso para los usuarios con windows es un usuario del dominio totalmente restringido (a nivel de invitado) con las herramientas que necesitan a su alcance, en el caso que necesiten alguna por alguna tarea especial con un motivo de trabajo, les instalo la herramienta necesaria, en ningún momento les digo que se descarguen el programa y lo instalen!

    Puedes hacerlo manualmente (ir máquina por máquina a instalar cada uno de los programas y sus actualizaciones/nuevas versiones) o usar sistemas automáticos de instalación, como podría ser active directory, .bat (si estás en sistemas windows).

    A toda la gente que me viene pidiendo la reinstalación del sistema operativo, lo primero que les recomiendo es que usen GNU/Linux y lo segundo que cuando naveguen por internet lo hagan con un usuario restringido, que no tenga derechos para instalar programas, dialers, impresoras, acceder al registro, etc. que cuando quieran realmente instalar un programa lo hagan con el usuario administrador.

    Creo que esto que he dicho es una cosa que tendría que tener mas que asumido un administrador de sistemas medianamente serio.
    --


    <------>
    dos cosas mueven el mundo: la curiosidad y el dinero
    [ Responder ]

  • Pequeño error en la noticia

    (Puntos:2)
    por Aerin (37404) el Jueves, 11 Diciembre de 2008, 16:14h (#1107392)
    ( http://frikerioenvena.wordpress.com/ )
    El enlace de la noticia de vlc está equivocado, lleva a la búsqueda de OpenOffice también.
    --
    http://frikerioenvena.wordpress.com/
    [ Responder ]

  • ¿Soluciones del mundo real?

    (Puntos:2, Inspirado)
    por pobrecito hablador el Jueves, 11 Diciembre de 2008, 16:23h (#1107397)
    ... que si los usuarios de Windows se cambian a Linux (o sistemas operativos que distribuyen software en repositorios) no pasaría ...

    ... que si los usuarios de un ordenador estuvieran suficientemente formados no pasaría ...

    ... que si los administradores de sistemas tuvieran tiempo y poder para decidir qué se instala en su red y formar a usuarios no pasaría ...

    ... bla, bla, bla ...

    Todo son soluciones, sí, pero ninguna es real.

    Lo cierto es que el usuario/a medio pica: conozco varias personas que intentaban piratear el emule porque cuando buscaron emule en google el primer resultado pedía dinero por descargarlo.

    Lo que clama al cielo es que los enlaces patrocinados de Google contengan spyware (probad a descargar el emule de los enlaces patrocinados [google.es] con un buen antivirus activado). Bastaria que Google dejara de hacer eso para acabar con el tema. ¿Realmente perdería Google tanto dinero? Quizás también es una solución imaginaria.

    Si por orden judicial la policía asalta webs que contienen enlaces a software pirata, a películas, ... ¿no puede ser denunciable que Google promocione malware en sus enlaces patrocinados?

    ¿Alguna solución real en el mundo real?
    [ Responder ]

  • Firefox MEGAUPLOAD Edition

    (Puntos:2)
    por trinuxfree (7860) el Jueves, 11 Diciembre de 2008, 17:16h (#1107412)
    ( http://solognu.wordpress.com/ | Última bitácora: Martes, 23 Diciembre de 2008, 20:25h )

    Sólo comentar lo que he visto en el log de un servidor web: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.3;MEGAUPLOAD 1.0

    [ Responder ]

  • Tócales los cojones

    (Puntos:1)
    por DonkeyMCP (9879) <miguelmcpNO@SPAMiespana.es> el Jueves, 11 Diciembre de 2008, 18:06h (#1107425)
    ( http://donkeyg5.com/ | Última bitácora: Lunes, 29 Diciembre de 2008, 00:48h )
    Desde cierto punto de vista puede resultar paradójico, pero en este tema con los programas libres no puedes hacer nada. Sin embargo con los programas gratuitos (tipo Avast) sí que se puede hacer algo: enviar un email al creador del programa para avisarles.
    [ Responder ]

  • Yo también tengo ese problema

    (Puntos:1)
    por pacovila (32758) el Jueves, 11 Diciembre de 2008, 18:09h (#1107427)
    Es un problema de mentalización general, de educación en los conceptos del software libre. Pienso que tratándose de programas gratuitos (libres o no), para evitar esto, la persona responsable debe tratar de educar al personal para que tengan en cuenta que cada programa tiene su página oficial del proyecto, que es de donde se lo deben descargar, y no de ningún otro sitio, ni eMule, ni pagar por él, ni mucho menos piratearlo.
    A mis alumnos los tengo ya mareados con ese tema pero no me canso de repetirlo, hasta que al final digan, "sí, ya lo sabemos", que el proyecto está en un sitio, no "por ahí".
    Por otro lado, a pesar de que el P2P se puede usar perfectamente para distribuir cualquier cosa, como software libre, también es cierto que hay mucho enlace falso, ruido en los resultados de búsqueda, virus y basura. Por ejemplo, la Ubuntu se descarga de maravilla por bitTorrent, pero jamás se me ocurriría descargar el torrent de ningún lugar excepto del sitio oficial.
    [ Responder ]

  • Aún habra quien mantenga que

    (Puntos:2)
    por chavi (9251) el Jueves, 11 Diciembre de 2008, 18:42h (#1107436)
    ( http://web.iesrodeira.com | Última bitácora: Lunes, 07 Enero de 2008, 14:53h )
    como se debatía por aquí hace poco los repositorios de Linux son una mierda y un atraso....
    --
    Xavi.
    [ Responder ]

  • para fastidiar un poco a esos sitios

    (Puntos:1, Informativo)
    por pobrecito hablador el Jueves, 11 Diciembre de 2008, 19:26h (#1107454)
    Si, a mi tambien me tiene pasado a nivel personal (yo a nivel laboral no dejo que los usuarios instalen NADA en sus equipos). Le digo a un amigo que se descargue tal programa gratuito y en vez de la web oficial acaba en una web desas que te piden 1 o 2 mensajes a cambio de bajarte el programa... Una buena tecnica para fastidiar en cierta medida a esos sitios, cuando usan AdSense para publicitarse es hacer click en dicha publicidad. De esta forma le estamos quitando algunos centimos de su saldo de AdSense y asi llegaran a menos usuarios 'inexpertos'.
    [ Responder ]

  • Solución: Cambiar interfaz de Google a ingl&#

    (Puntos:2, Interesante)
    por aldeluis (13320) el Jueves, 11 Diciembre de 2008, 20:35h (#1107478)
    Llevo varios años haciendolo porque los resultados que salen cuando buscas en el interfaz de Google en inglés son distintos (y mejores) a los resultados en el GUI español.

    Esto es independiente al idioma de las palabras que uses en la búsqueda. Cuando buscas en el interfaz español salen resultados irrelevantes y esas páginas molestas de las que se habla aquí.

    El cambio se hace a través de "Preferencias" -> "Idioma de la interfaz"
    [ Responder ]

  • el pan nuestro de cada dia

    (Puntos:1)
    por sergionidis (42924) el Jueves, 11 Diciembre de 2008, 22:25h (#1107517)
    ( http://www.madeinshell.net/ )
    Restringe a esos usuarios y educalos , es lo que hay !! No se de que será esa red , pero se instalan emule ? por Dios! Si tu eres el admin , pasate por mi oficina , al paro -)
    --
    La vida es un relampago entre dos eternidades
    [ Responder ]

  • Es legal

    (Puntos:2)
    por anv (15549) el Viernes, 12 Diciembre de 2008, 08:10h (#1107570)
    ( http://barrapunto.com/ )
    Es totalmente legal cobrar por proveer la descarga de un software libre. Sin embargo, dado que es obviamente un engaño intencionado, no me parece para nada ético que lo hagan. Pero bueno, desde cuándo eso importa a la hora de hacer negocios?

    Pero bueno, dado que en el artículo se nos recomienda buscar "openoffice" en Google, podemos aprovechar para mostrar neustro descontento haciendo click en el enlace patrocinado. Un "efecto barrapunto" sobre un enlace patrocinado puede provocar un gasto impresionante en la cuenta de google. Si todos damos click al elnace en pocos minutos podemos hacer que alcance su límite de presupuesto y deje de aparecer. Así que, muchachos, si están de acuerdo en que esto es un engaño que no le hace ningún bien al software libre, manifiéstenlo haciendo click en el enlace.
    [ Responder ]

  • El mayor problema.... como siempre la ignorancia..

    (Puntos:1)
    por oscuro2000 (29792) el Viernes, 12 Diciembre de 2008, 08:12h (#1107571)
    siempre en mis trece, si a gente con conocimientos amplios de informatica, redes, internet... se la dan con queso, a la gente que no tiene los mínimos conocimiento para dársela, no hace falta ni el queso. ENSEÑALES INFORMATICA, REDES e INTERNET. Para conducir te exigen un teórico y un práctico, para internet solo dinero, imaginar que cualquiera pudiera conducir sin preparación... pués eso es Internet. Que no sea nada lo del ojo.
    [ Responder ]

  • Es muy cierto

    (Puntos:1)
    por CyNic (9548) el Sábado, 13 Diciembre de 2008, 13:27h (#1107934)
    Ya hace un tiempo que me di cuenta de este problema, al descargar el openoffice y pedirme que mande un sms para poder seguir con la instalacion. Luego me ha pasado con mas software, me parece increible la cara que tiene esta gente, se estan enriqueciendo a costa de los usuarios poco experimentados. Recomendar a la gente poco experimentada el uso de catalogadores de software reconocidos como softonic.com, asi se aseguran de descargarlo de las webs oficiales y evitan confusiones.
    [ Responder ]

  • Re:El timo de la corbata

    (Puntos:1)
    por sonlakor (19383) el Jueves, 11 Diciembre de 2008, 15:58h (#1107385)
    ( Última bitácora: Martes, 21 Agosto de 2007, 08:24h )
    Curioso, porque yo entiendo justo lo contrario. Asocio las páginas sobrias y elegantes con personas vestidas de traje y lo flash, colorines y demás al típico pintamonas al que no le compraría ni un chupa-chus.
    --
    sonlakor

  • Re:que nivel, maribel

    (Puntos:2)
    por chavi (9251) el Jueves, 11 Diciembre de 2008, 18:38h (#1107434)
    ( http://web.iesrodeira.com | Última bitácora: Lunes, 07 Enero de 2008, 14:53h )
    ¿Y aún tienes trabajo?
    Con esa red, trabajo seguro que no es lo que le falta.

    --
    Xavi.

  • Re:Veamos

    (Puntos:1)
    por urganda (28998) el Viernes, 12 Diciembre de 2008, 18:13h (#1107774)
    ( http://josemoya.blogspot.com/ )
    Depende de la licencia utilizada y de la tarifa cargada. La licencia gpl no dice nada al respecto, otras hablan de una cantidad razonable. Personalmente, recuerdo un caso en que mi vecino me vino con un disquete del Berkeley MSWLogo por el que el profesor de su sobrino (estudiaba informática en la UPM) le había cobrado bastante más de las 100 pesetas (unos 60 centieuros) que costaba el disquete. La licencia berkeley (creo que era como la actual licencia BSD) decía que era gratuito y que sólo se podía cobrar "un precio razonable", pero... hasta dónde era razonable? Máxime cuando el sobrino pensaba que su profesor les había "pirateado" el software (práctica por aquel entonces habitual en universidades).
  • 7 respuestas por debajo de tu umbral de lectura actual.