• Registrarse
  • Iniciar sesión


  • Resultados 1 al 10 de 10

    ¿Instalan Symantec y Kaspersky archivos ocultos en los PCs?

    Mark Russinovich, el especialista que descubrió la existencia de "rootkits" en los compactos de Sony-BMG afirma que dos de las empresas de seguridad informática más importante del mundo instalan también ficheros ocultos en el sistema ...

          
    1. #1
      Ex-Colaborador Avatar de NeoByte
      Registrado
      ene 2005
      Ubicación
      España
      Mensajes
      9.120

      ¿Instalan Symantec y Kaspersky archivos ocultos en los PCs?

      Mark Russinovich, el especialista que descubrió la existencia de "rootkits" en los compactos de Sony-BMG afirma que dos de las empresas de seguridad informática más importante del mundo instalan también ficheros ocultos en el sistema

      En concreto, Mark Russinovich (arquitecto jefe de Winternals) dice que los métodos empleados por Norton Systemworks (de Symantec) y Kaspersky Antivirus son idénticos a los maliciosos rootkits, un termino que define a aquellos códigos maliciosos que se instalan ocultamente en los PCs de los usuarios para evitar ser detectados por los antivirus.

      "No existe ninguna justificación para utilizar estas técnicas", denuncia Russinovich. "Si por el contrario, el fabricante esta convencido de la necesidad de instalar un rootkit esta claro que deben volver a rediseñar el producto", dijo.

      Russinovich explica en su sitio que ha discutido este problema con Symantec y que ambos discrepan sobre el uso del "termino rootkit" a la hora de calificar todos los archivos ocultos que pueden encontrarse en un equipo.

      Tanto Kaspersky como Symantec reconocieron que usan distintos métodos para esconder información del sistema operativo, aunque aseguran que el uso de esta técnica no tiene nada que ver con los rootkits ya que este tipo de ficheros fueron creados con fines maliciosos y es injusto que los coloquen en esa misma categoría.

      Para las compañías de seguridad informática la intención del autor a la hora de instalar un ocultar un fichero es lo que cuenta, mientras que para Russinovich la definición debe basarse en las actuaciones que los ficheros en cuestión puedan desarrollar, en el presente o en el futuro.

      Es decir, que si el autor es un creador de virus e instala códigos ocultos potencialmente peligrosos será un rootkit, mientras que si estos ficheros son implantados por una firma para mejorar la seguridad de sus aplicaciones no debería catalogarse de la misma manera, consideran las firmas de seguridad.

      En concreto la carpeta oculta creada por la aplicación de Symantec es utilizada para recuperar archivos e información borrados por error, por lo que según las explicaciones de esta firma de seguridad su presencia no representa ningún peligro para el usuario sino todo lo contrario. Sin embargo, os expertos consideran que al ser esta carpeta invisible para la mayor parte de los programas, incluidas las herramientas antivirus, hace posible que pueda convertirse en un escondite para gusanos y virus.


      Definiciones validas

      Symantec dijo que la polémica levantada por Russinovich obligará a la industria a trabajar conjuntamente para definir correctamente el termino de rootkit tal como ya lo hicieron el pasado año cuando concretaron el uso correcto del termino spyware.

      El uso de la técnica de ocultar archivos en el PC de usuario no es nada nuevo, aunque hasta este momento nadie haya hablado de ello. Symantec lo viene practicando desde mediados de los 90 mientras que Kaspersky lo introdujo en la versión 5.0 de su antivirus.

      David Emm, consultor tecnológico senior de la firma rusa de seguridad, explica que el uso de esta técnica fue decidido para mejorar el performance de la aplicación, descartando la existencia de cualquier agujero de seguridad que pueda ser explotada por un usuario malicioso.

      Kaspersky no tiene planeado, por el momento, eliminar este tipo de archivos de sus herramientas aunque podría tomar esta decisión si la polémica arrecia como sucedió con el caso de Sony BMG.

      Por el contrario Symantec ya ha deshabilitado el acceso a estos ficheros ocultos en su reciente actualización de SystemWorks en una nueva actualización de la herramienta que puede ser descargada mediante el servicio LiveUpdate.

      Preocupación

      Russinovich reconoce que los ficheros ocultos instalados por las dos compañías de seguridad informática no representan apenas peligro para el sistema, todo lo contrario a lo que sucedió con el "rootkit" instalado por Sony-BMG que modificaba incluso la actuación de algunas aplicaciones.

      Sin embargo, considera que es necesario eliminar este tipo de prácticas. "Nadie desea desconocer lo que tiene instalado en su PC", argumenta, a la vez que argumenta que no es nada bueno que sea imposible de hacer un inventario del software instalado en el disco o simplemente del espacio libre.

      Los fabricantes están adoptando prácticas maliciosas, añade el experto, y esto no es nada bueno ni para los usuarios ni para los profesionales TI.

      Fuente: Noticiasdot

      Mas info:
      http://www.eweek.com/article2/0,1895,1910077,00.asp


      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Colaborador Avatar de PatomaS
      Registrado
      ene 2005
      Ubicación
      Holanda
      Mensajes
      5.922

      Alegria Re: comprobar noticia

      Hola

      Bueno, no tenía ni idea, pero al parecer es cierto.

      De todas formas, esto requiere una buena documentación, aun no he leido las noticias que pones, pero symantec hizo un comunicado oficial público y Mark Russinovich también dice algo en su página, así que habría que leer un poquitllo.

      Yo ahora voy a comer, que ya es hora, pero luego lo leo...

      Buena noticia, por cierto.



      Felicidad

      Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


      * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
      * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Colaborador Avatar de PatomaS
      Registrado
      ene 2005
      Ubicación
      Holanda
      Mensajes
      5.922

      Alegria Re: comprobar noticia

      Hola

      Bueno, la curiosidad me ganó y terminé de leer el comunicado de symantec, el cual pueden ver aquí.

      Veamos.

      Desde que norton sacó su producto norton unerase, se crea una carpeta llamada "nprotect" dentro de la papelera, esta carpeta es la que sirve para dar una "Segunda oportunidad" al borrar archivos que quremos recuperar, también se almacenan allí las cosas que el antivirus elimina, ya que a fin de cuentas, son archivos.

      Bueno, la cuestión es que esta carpeta no es solo no visible de forma normal, si no que está oculta a los dos procedimientos estandar del sistema para localizar archivos. Dischos procedimientos son los que usan todos, o la mayoría, de los programas al buscar archivos.

      Pues bien, sabiendo esto, alguien podría meter allí un código malicioso y desde la protección de saberse invisible, atacar al sistema.

      Esto podemos llamarlo el primer rootkit, o al menos una vieja trinchera para ellos ya que el norton unerase existe hace unos cuantos años.

      Nuevamente Mark Russinovich no es que haya hecho algo genial, pero si lo hizo antes que otros, y es darse cuenta de este hecho y hacerlo público.

      Hay que mencionar que aunque symantec y Mark Russinovich tiene ciertas discusiones pendientes sobre el tema, la empresa la atribuye el crédito de haberlo "descubierto".

      También hay que decir, que según symantec, aun no han tenido noticia de ningún código que haga usao de esa carpeta.

      Me quedaría con la noticia en español, ya que la que está en inglés es un poco sensacionalista...

      También sería justo poner la dirección del comunicado de symantec.

      Felicidad

      Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


      * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
      * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Desde el cielo 1978 - 2006 Avatar de Enrique33
      Registrado
      ene 2005
      Ubicación
      Perú
      Mensajes
      1.139

      Re: comprobar noticia

      Hola

      Lei con paciencia

      Lei varias veces

      Me parece que el título es exagerado.

      En realidad no instalan archivos "ocultos"

      Lo que hacen es "esconder" a los "buscadores normales" los archivos que el usuario borró.

      Si el usuario después descubre que "borró" un archivo equivocado, podrá recuperarlo con relativa facilidad, por que el norton simplemente "lo escondió". El sistema simplemente pondría ese espacio a libre disposición para que se guarde otra cosa y por lo tanto (de dobreescribirse) seria irrecuperable.

      Pasado determinado tiempo, o determinada cantidad de espacio en el DD, el Norton va vaciando definitivamente ese archivo "escondido".

      Entonces, a mi me parece que el título no es exacto: No instala archivos ocultos.

      En los procedimientos de mantenimiento de rutina, uno da la orden de "vaciar la papelera de reciclaje" y de "vaciar la papelera de reciclaje del Norton".

      Bajo esas circunstancias, si existiera "escondido" un bicho, pues simplemente desaparecería.

      La pregunta es:
      1) es posible, o es probable construir un bicho que se meta en la papelera del norton para que se active de acuerdo a una rutina de tiempo por ejemplo??

      2) Cuando uno hace una escaneada en profundidad, los antivirus "examinan" esa papelera??

      3) Recuerdo que cuando uno corre algunos antivirus, a veces indican que no pueden entrar a determinado sitio, o que no puede verificar por que está encriptado.

      4) Sería interesante hacer la verificación, y tener la tranquilidad que cuando uno corre el antivirus, el antivirus examina TODO.

      5) Por cierto, el C Cleaner, o el Disk Cleaner, o limpiar disco del win , ¿limpian / desaparecen lo que está en esa papelera del norton?? y de las papeleras de los otros antivirus??

      6) Cuando un antivirus encuentra un virus, ¿lo borran o lo ponen en cuarentena?

      7) Vale la pena correr el riesgo de poner virus detectados (convictos y confesos) en cuarentena??


      Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


      * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
      * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Colaborador Avatar de PatomaS
      Registrado
      ene 2005
      Ubicación
      Holanda
      Mensajes
      5.922

      Alegria Re: comprobar noticia

      Hola

      Respondiendo algunas preguntas...

      1) es posible, o es probable construir un bicho que se meta en la papelera del norton para que se active de acuerdo a una rutina de tiempo por ejemplo??

      Si, es posible hace que un virus se aloje allí y haga lo que sea que se quiera que haga, ya sea activado en un momento dado, en cada reinicio o en cualquier momento, solo depende de como se programe.

      2) Cuando uno hace una escaneada en profundidad, los antivirus "examinan" esa papelera??

      No, no lo examinan ya que los antivirus utilizan las apis de windows para buscar archivos y esta carpeta está fuera del alcance de estas librerías y procedimientos.

      5) Por cierto, el C Cleaner, o el Disk Cleaner, o limpiar disco del win , ¿limpian / desaparecen lo que está en esa papelera del norton?? y de las papeleras de los otros antivirus??

      No, ningún programa que haga uso de las librerías del sistema puede acceder a ella.

      6) Cuando un antivirus encuentra un virus, ¿lo borran o lo ponen en cuarentena?
      Eso depende del antivirus y de como lo hayas configurado, habitualmente la primera opción es borrarlo y la segunda es la cuerentena si la primera opción falla.

      7) Vale la pena correr el riesgo de poner virus detectados (convictos y confesos) en cuarentena??

      Si, porque puede que lo infectado sea algo importante para tí y antes de resignarte a perderlo, esperas que la empresa del antivirus desarrolle una herramienta que elimine el virus o código malicioso sin dañar el archivo.

      Agrego a las cosas anteriores, el mismo norton dice que no chequea las cosas en la curentena, por eso, cuando se actualizan las definiciones, hay que hacer un análisis manual de la cuarentena.

      Felicidad

    6. #6
      Ex-Colaborador Avatar de Acron_0248
      Registrado
      jul 2005
      Ubicación
      127.0.0.1
      Mensajes
      9.734

      Re: comprobar noticia

      Buenas....

      Como bien se ha comentado hasta ahora, la noticia por parte de los creadores de la misma podría ser algo sensacionalista


      Quieren ver este tema como un caso similar al problema que hubo con el rootkit de Sony, cosa que no puede ser así dado que los virus que se aprovecharon de las capacidades de este rootkit de sony era utilizando una codificación completamente distinta, el archivo que necesitara aprovecharse del rootkit de son simplemente renombraba el nombre del archivo a $nombre.* donde "nombre" sería lo que se la haya puesto a dicho archivo, y "*" la extensión


      El caso de NProtec no es igual, ahora bien, el uso de técnicas similares a la que usaría un rootkit no es del todo problemática si tomamos en cuenta que puede usarse para proteger información propia de la protección antivírica, aunque claro, siempre existirá la posibilidad de que dicha "solución" pueda ser afectada por un virus a través de un bug dle programa


      Respondiendo a Enrique33 tomando en cuenta las respuestas de PatomaS:
      1) es posible, o es probable construir un bicho que se meta en la papelera del norton para que se active de acuerdo a una rutina de tiempo por ejemplo??
      Si es posible si hay una falla en el mecanismo de protección del norton que cree una vulnerabilidad aprovechable por parte del virus


      2) Cuando uno hace una escaneada en profundidad, los antivirus "examinan" esa papelera??
      Lo que dice PatomaS es cierto sobre la utilización de las API's de windows, pero el reconocer un archivo infectado en dicha carpeta no es del todo imposible

      Dejo un ejemplo de una infección encontrada en dicha carpeta con el mwav:

      Estoy desesperado :( se crean temporales _ge****.tmp (Formateo)



      Salu2
      Linux User #399288 != 1337 || Ub3|2

      Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


      * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Colaborador Avatar de PatomaS
      Registrado
      ene 2005
      Ubicación
      Holanda
      Mensajes
      5.922

      Alegria Re: comprobar noticia

      Buenas buenas

      Pues interesante trabajo de documentación acron...

      SOlo hay un fallo en ese mensaje y como sueles ecir, estoy inspirado ¿por qué fué encontrado ese archivo en es carpeta en el mensaje que mencionas?

      La respuesta mañana a esta misma batihora y en este mismo baticanal...

      Si no la encuentras antes.

      Felicidad

    8. #8
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: comprobar noticia

      Bueno yo también estoy un poco fuera de las noticias de informática últimamente.

      Una cosa y muy real es que por lo general (y como paso con el caso de Sony) y en muchos otros cientos de casos similares, una vez encontrado alguna vulnerabilidad o algún lugar oculto como estos en programas populares, ya hay gente trabajando en algún exploit para poder explotar esto entrando sus malwares o ocultándolos ahi.

      No tuve tiempo para traducirlo, pero si les interesa aca están los pasos a seguir para limpiar la carpeta de "NProtect" de Symantec.

      1. On the desktop, right-click the Norton Protected Recycle Bin icon.
      2. Click Properties.
      3. On the Norton Protection tab, UNcheck Enable Protection.
      4. Click OK.
      5. Restart the computer - after reboot empty the Recycle Bin
      6. On the desktop, right-click the Recycle Bin icon.
      7. Click Properties.
      8. On the Norton Protection tab, check Enable Protection.
      9. Click OK.
      10. Restart your computer
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: comprobar noticia

      Ahora Kasperky da la cara a su problema:

      Kasperky Lab declara que la tecnología iStreams utilizada en los antivirus de Kaspersky no puede ser explotada por un usuario malévolo y que es incorrecto considerarla como “rootkit”.

      La tecnología iStreams se integró en la gama de productos Kaspersky Antivirus 5.x hace casi dos años para mejorar el rendimiento del escaneado. Sencillamente, los antivirus de Kaspersky utilizan NFTS Alternate Data Streams para obtener información sobre los archivos del sistema del usuario, así, si un archivo permanece inalterado de un escaneado a otro, los productos de Kaspersky Lab saben y reconocen que el archivo permanece intacto y que no es necesario repetir la búsqueda de virus.

      NTFS Alternate Data Streams no son visibles. Se requieren herramientas especiales para verlos. El hecho de que no sean visibles no significa que sean perjudiciales.

      Kaspersky Lab considera que esta tecnología no puede utilizarse por las siguientes razones:

      - Si un antivirus de Kaspersky está activo, los streams se ocultan y ningún proceso, ni siquiera procesos del sistema, pueden acceder a ellos.

      - Si el producto está inactivo, los streams podrán verse sólo con las herramientas correspondientes.

      Fuente: DiarioTI

    10. #10
      Ex-Colaborador Avatar de Acron_0248
      Registrado
      jul 2005
      Ubicación
      127.0.0.1
      Mensajes
      9.734

      Re: ¿Instalan Symantec y Kaspersky archivos ocultos en los PCs?

      Bueno, yo por acá contestando lo que dice PatomaS del porque dicha carpeta es encontrada o vista por el mwav


      La teoría es la siguiente, se supone que dicha carpeta no tiene protección propia, la misma, está protegida por el programa propiamente, es decir, mientras el programa (Norton) esté corriendo, la carpeta no debería ser visible, pero acá hay una duda que nos ha surgido hablando sobre este problema:

      Si revisan bien el mensaje, en la primera página de post del tema, se ve que el usuario deja un log de hijackthis, en dicho log se ve una entrada 023 referente al Norton Internet Security, sin embargo, absolutamente mas nada muestra alguna referencia del norton, esto quiere decir que el norton estaba desactivado o simplemente mal instalado

      Si estuviera mal instalado, lo más seguro es que la protección del Nprotec no funcionara adecuadamente, pero y si simplemente estuviera desactivado el norton?


      Más adelante se puede leer en el tema, que el usuario en cuestión ha colocado los reportes del mwav en los cuales se vé la carpeta, más adelante se le indicia que debe desactivar las herramientas del Norton para hacer limpieza de la carpeta y todo eso


      Mucho más adelante, luego de haber colocado los reportes del mwav que apuntan a dicha carpeta, es que dice el usuario que ha desinstalado todo lo del norton, que ya no le quedaba nada


      Todo esto nos hace inferir que el usuario tenía un servicio del norton trabajando mientras apareció el reporte del mwav, ahora vamos a la parte interesante de todo esto


      Como sabemos, un servicio trabaja de forma independiente (en la mayoría de los casos) para distintas partes de una aplicación, es decir, si un antivirus tuviera tres servicios ejecutándose, cada uno podría encargarse de levantar cosas distintas del programa, pero se entiende que a pesar de esto y para satisfacer dependencias, hay un servicios que no conviene desactivar, incluso si desactiváramos determinados procesos del programa, pueden quedar servicios ejecutandose del mismo


      A que nos lleva esto? pregunta, dicho servicio sería capaz de proteger la carpeta Nprotect aún cuando el antivirus esté desactivado? si esto es así, entonces, el mwav fue capaz de pasar la seguridad del norton para leer dicha carpeta, pero si el servicio solo no protege en realidad a esta carpeta? es una teoría probable?


      La respuesta es "No sabemos", es por esto que sería algo bueno a probar dado que no necesariamente está mal dicho que el mwav pudo pasar la seguridad del norton, pero tampoco estaría mal dicho que al tener el antivirus desactivado, con un servicio en memoria, la carpeta deja de estar protegida


      Es algo que puede comprobar haciendo las pruebas correspondientes con el norton, mwav y algunos bichos




      Salu2
      Linux User #399288 != 1337 || Ub3|2

      Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


      * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.