30 agosto 2010

Ayudando a creadores de malware despistados

Poniéndome al día en un montón de RSS acumulados, encontré una noticia que me abrió los ojos ante cómo funcionan (o no) ciertas mentes humanas.

En Windows, cuando una aplicación ha ejecutado alguna instrucción no autorizada, el sistema operativo reacciona cerrando la aplicación mostrando una ventana con un mensaje que permite notificar a Microsoft sobre qué ha sucedido en dicha aplicación. La idea es ayudar al equipos de desarrolladores de Microsoft para mejorar las capacidades del sistema operativo y de la integración con las aplicaciones (ya las desarrollen ellos mismos también o por parte de terceros), así como sugerir a los usuarios si algún parche corrige la causa del "cuelgue".

Gracias a esto, según Rocky Heckman, arquitecto senior de seguridad de Microsoft, a lo largo del día, reciben un montón de estas notificaciones, con parte del código (un dump de cierta porción de memoria) que generó el error. El tema está en que muchas de estas notificaciones corresponden a acciones por parte de desarrolladores de virus/malware (con prisa, -podríamos añadir-) que en fase de creación de sus nuevas obras de arte, lógicamente hacen pruebas sobre sus propias máquinas. Al no estar depurado el comportamiento del software, lo normal es que se generen "crashes" de aplicación sobre el sistema operativo y al pulsar el botón "Enviar Informe" de la ventana que se abre (sin leer el texto de la misma), se enviará información preciosa de la creatividad del revolucionario troyano beta directamente a Microsoft. ¿Paradójico no? Precisamente el fabricante del sistema operativo de cuyas vulnerabilidades se quieren aprovechar, reciben información de primera mano directamente de parte de su creador.

Y es que estas cosas pasan cuando no "escuchamos" TODO lo que nuestro sistema operativo nos dice… Pero venga va, ¿quién se lee siempre el texto completo de un EULA cuando lo está instalando? Si el mensaje es muy largo o muy "repleto de letras y líneas" directamente buscamos el botón "Aceptar" y que continúe lo antes posible.

Y pensar que el propio Windows proporciona la posibilidad de deshabilitar la solicitud y envío de informe de errores a Microsoft... Cuántos leaks podrían haberse evitado por parte de estos despistados desarrolladores de malware sobrados de creatividad e ilusión si, en Windows 2000/2003 o XP, hubieran ido al menú contextual de "Mi PC" -> "Propiedades" -> "Informe de Errores" y hubieran configurado convenientemente esta opción para evitar la notificación de errores a los de Redmond.


En caso de que nuestros desarrolladores despistados de malware usen Windows Vista o Windows 7, la forma de deshabilitar la notificación de errores es diferente.
Para ello, ejecutaremos "gpedit.msc" en Inicio -> Ejecutar para abrir la "Configuración de Políticas Locales". En "Administración de Plantillas" -> "Componentes de Windows", modificaremos "Deshabilitar Informes de Error de Windows" a "Habilitado"






2 comments :

WiNSoCk dijo...

Espero ahora ver muchos mensajes de agradecimiento, por explicar como evitar el envio de muestras. Luego tendreis que hacer un post, explicando como evitar enviar las muestras a los AV...

En fín, cuanto menos bicho suelto, mejor que mejor...

4n0nym0us dijo...

Jaja buenas Winsock! Ciertamente estos errores suelen deberse al “Data Execution Prevention”, lo que muchos desarrolladores de malware añaden su ejecutable a las excepciones o lo desactivan del boot para evitar desbordamientos en memoria, igualmente por lo que veo es una aplicación en Visual Baisc, sabiendo que la documentación sobre malware en este leguaje es muy extensa, cada vez son más los que se adentran a la modificación de sus propios ejecutables dejándolos un tanto inestables y dando lugar a estos problemas típicos.

Saludos!