Archivos para enero, 2008

Un mensaje que simula provenir de Hotmail, y que advierte sobre el cierre de la cuenta por razones de spam, descarga un falso reproductor de Macromedia Flash, el cuál instala un troyano en el equipo de la víctima.

El mensaje, un típico spam con un tema muy utilizado por antiguos hoaxes (el cierre de la cuenta de Hotmail), parece provenir de Microsoft, y muestra el siguiente texto en portugués:

— Comienzo del falso mensaje —

Asunto: Prezado usuário houve problemas em sua conta do hotmail.

Atenção Usuario:

Sua conta será excluida em 2 dias por motivos de spam. Foi constatado em nossos banco de dados que sua conta esta enviando spam em massa para outros usuários da sua lista de contatos Hotmail. Para que sua conta não seja excluída do nosso sistema, clique no link abaixo:

para baixar a ferramenta de segurança do Hotmail:

http: //www. hotmail. com/problems/RP?c=???2970687388433803&hl=pt_BR

Instale a ferramenta de segurança, atualize seus dados e siga as instruções no SAC.

Em caso de duvidas ou preocupações em relação a sua conta, visite as Perguntas freqüentes (FAQs) do Hotmail no endereço:

https: //accountservices. passport. net/help/faq_accounts.html

Seu prazo para regularização é de 24 horas.

Atenciosamente,

Equipe de Tecnologia e Desenvolvimento Hotmail

© 2007 Microsoft TERMOS DE USO Declaração de Privacidade POLÍTICA ANTI-SPAM DA MICROSOFT

suporte @ passport. com

— Final del falso mensaje —

Los enlaces llevan a una dirección diferente a la que muestra el mensaje (siempre que se visualice el mismo en formato HTML):

http: //www. macromediaflashplayer????. ???. net/

Si el usuario accede a dicha página, un mensaje solicitándole la descarga de la última versión de Flash Player le es mostrada:

ULTIMA VERSÃO DO MACROMEDIA FLASH PLAYER NÃO
ENCONTRADO. POR FAVOR, FAÇA O DOWNLOAD E INSTALE.

Cuando ello ocurre, se descarga automáticamente un supuesto reproductor, desde un sitio en Hungría:

http: //www. pannoncom?????. hu/MacromediaFlashPlayer.exe

Al mismo tiempo, una página con el siguiente texto, puede ser visualizada:

Você não possui a última versão Macromedia Flash Player.
Este site requer o uso do software Macromedia®FlashTM .
Você possui uma versão antiga do Macromedia Flash Player
que não pode exibir o conteúdo desta página.

Porque não fazer o download e instalar a última versão?
É rápido e fácil.

Macromedia and Flash are trademarks of Macromedia,Inc.

http://img261.imageshack.us/img261/2079/falsoflashgn8.gif

Si la descarga culmina y el archivo es ejecutado, un falso error es mostrado al usuario:

http://img184.imageshack.us/img184/2586/archcorruptoyi2.gif

En realidad, ya se está ejecutando el troyano descargado, el cuál a su vez descarga y ejecuta dos nuevos componentes desde los siguientes sitios de Internet:

http: //www.pannoncom?????. hu/novo.exe
http: //macromediaflashplayer. krovat??. ??/listrox.exe

Los archivos descargados, son copiados en el directorio de Windows con los siguientes nombres, y luego ejecutados:

c:\windows\xp1.exe
c:\windows\xp2.exe

Ambos son variantes modificadas de la familia de troyanos tipo “Banker”, los cuáles roban información de páginas relacionadas con la banca electrónica en línea de determinadas instituciones financieras, cada vez que el usuario ingresa en las mismas.

Los troyanos pueden capturar la información ingresada por la víctima en esos sitios, y enviarla a un atacante remoto.

Ambos utilizan ciertas técnicas para impedir ser localizados fácilmente.

Los archivos y sitios mencionados, continuaban activos al momento de este reporte.

Esto nos debe recordar una vez más, lo importante que es no abrir adjuntos no solicitados, ni seguir enlaces de mensajes que no hemos pedido, sin importar su procedencia.

Los engaños utilizados para llevar al usuario a ejecutar un malware en su PC, pueden ser infinitos.

FUENTE

http://img406.imageshack.us/img406/3526/bug3dt9.png

Arovax AntiSpyware es una utilidad gratuita para detectar y eliminar la nueva plaga de estos años: spyware.
Dispone de dos tipos de análisis, un análisis en profundidad y otro rápido, siendo este último muy muy muy rápido y eficaz. A día de hoy cuenta con una base de datos que detecta y elimina más de 30 mil tipos de infección.
Ofrece una interfaz muy clara y limpia, fácil de usar y con información de cada elemento encontrado.

Version : 2.1.153 (FREE)
tamaño : 3,40 Mb
compatible: windows 9X/NT/2K/XP

Descarga: Arovax Antispyware 2.1.153

Si el 2007 fue un año bastante ocupado para las los sistemas informáticos, en cuanto a infecciones, gusanos, troyanos y otro tipo de amenazas, parece que 2008 va a ser por lo menos tan peligroso como su precursor. El 1 de enero se presentó con el primer troyano del año, el TROJ_DLOADER.CP detectado por el antivirus de Trend Micro .

Esta clase de infección tiene como objetivo las versiones de Windows incluyendo 98, ME, NT, 2000, XP e incluso el Windows Server 2003. Y es que este troyano cuenta con un alto potencial de daño a un equipo informático, ya que su objetivo es para destruir sus datos.

Si eres de los que estás pensando en como se infectan los usuarios con este troyano, pues la respuesta es simple, visitando sitios web específicos y que cuentan con este software malicioso. Además TROJ_DLOADER.CP puede ser desplegado a raíz de otro malware instalado en tu sistema.

http://img519.imageshack.us/img519/5504/primertoryano2008ys5.jpg

Este de troyano puede descargarse desde sitios remotos por otro software malintencionado. Puede también descargarse sin saberlo por un usuario al visitar sitios web malintencionados, según aseguró Trend Micro.

La mayoría de los equipos infectados pertenecen a usuarios que visitan páginas webs chinas, por lo que con casi total seguridad, alguna de sus muchas web esté dedicándose a infectar a sus visitantes. Una vez instalado con éxito el troyano se dedica a ejecutar sofware malicioso atraído de varias webs en la computadora. una vez hecho esto se borra todo tras la ejecución.

Sin duda una mala noticia para comenzar el año para muchos usuarios. Como siempre recomendamos tener actualizado al día un buen antivirus.

FUENTE

Zlob y los códec falsos

Publicado: enero 6, 2008 en Anti-virus, Articulos

Sin cansarnos de repetirlo, mantener el software antivirus debidamente actualizado es una de las prioridades más altas si pretendemos conservar nuestra computadora lo más alejada posible de códigos maliciosos.

En la actualidad, casi ningún usuario omite la posibilidad de disponer de una conexión que permita navegar por Internet y, evidentemente, el sólo hecho de disponerla aumenta mucho más los riesgos de ser víctimas potenciales de infección.

Bajo esta escenografía, la explotación de los recursos que ofrece la Web ha ido en aumento en los últimos tiempos al punto tal que una gran cantidad de malware infecta las computadoras con el sólo hecho de ingresar a determinadas páginas Web, como lo demostramos en Ejecución transparente de códigos maliciosos I y II.

Otro ejemplo de ello lo constituyen los Códecs de la familia de troyanos identificados por ESET NOD32 Antivirus bajo el nombre de Win32/TrojanDownloader.Zlob; donde el modo típico de operación se basa en simular la descarga de un supuesto códec que es necesario para visualizar un video embebido en una página Web.

Códec falso

 

Otro detalle a tener en cuenta, también mencionado infinidad de veces, es verificar a qué dirección Web nos lleva determinado enlace. En este caso, la “buena” noticia es que al momento de intentar descargar el archivo, ESET NOD32 Antivirus nos alerta que estamos en presencia de un troyano, precisamente, la variante BND del troyano Zlob, cortando, de esta manera, la potencial posibilidad de infección.

ESET NOD32 Antivirus

 

Sin lugar a dudas, no nos cansaremos de mencionar la importancia que posee interactuar entre buenos hábitos de navegación, educación y contar con herramientas de seguridad como ESET NOD32 Antivirus.

Nuestro Laboratorio ha tenido un día agitado debido a que MySpace está siendo masivamente explotado como recurso y pretexto para infectar usuarios.

El primero y más de los casos se debe a la propagación de malware vía MSN como técnica para propagar un troyano. En este caso se trata de una invitación a descargar un archivo comprimido denominado myspace.zip que contiene el archivo Image-006.JPEG_www.myspace.com detectado como IRCBot por ESET NOD32.

Archivo MySpace en MSN

Pero, el caso más peculiar que nos ocupa es la creación de sitios web falsos y procedentes de China en donde se simula ser el sitio web del de un usuario de MySpace para lograr que otro usuario inocente ingrese al mismo y descargue en forma automática y sin su intervención un troyano downloader que luego descargará otros malware en el equipo ya infectado.

El funcionamiento es el siguiente:

  • A través de la posibilidad de ver los perfiles de ciertos usuarios de MySpace se simula ser uno de estos usuarios.
  • La URL creada por el atacante es similar a las verdaderas de Myspace pero generalmente el dominio apunta a sitios chinos creados para alojar malware.

Perfil falso en MySpace

  • El usuario engañado creyendo que verá el perfil de otro usuario, ingresa (haciendo clic) a la dirección falsa.
  • Este sitio contiene un script ofuscado que se ejecuta en el equipo del usuario y descarga un archivo dañino que se ejecuta automáticamente infectando el sistema. Esta descarga y ejecución automática se logran a través de la explotación de fallos en el navegador o aplicaciones que el usuario no ha parcheado.

    Script

En este caso los troyanos descargados son detectados por la heurística avanzada de ESET NOD32, logrando la protección del usuario desde incluso antes que este vector de ataque sea conocido por nuestro laboratorio.

Heuristica de ESET NOD32

Como puede verse la falta de prevención por parte del usuario tiene diferentes facetas como:

  1. No verificar una dirección web puede hacer que ingrese a un sitio falso.
  2. No actualizar las aplicaciones puede ser que se descarguen archivos dañinos automáticamente a su sistema sin su intervención.
  3. No utilizar un antivirus con capacidades proactivas puede hacer que se infecte.

Cristian

buss.jpg Si hace unos días McAfee hacía sus predicción de las próximas amenazas de seguridad que se vienen más fuertes para el próximo año, ahora el turno de la empresa de seguridad Websense quien ha comentado recientemente las amenazas de seguridad que cree se vendrán para este 2008.

Según Websense, los próximas Juegos Olímpicos impulsaran la actividad de los Hackers, crecerá el Spam de malware en los blogs/herramientas de búsqueda/foros, se incrementarán los ataques contra las redes sociales y ademá se aprovechará la popularidad de las Macs así como del novedoso iPhone para realizar ataques.

De la misma manera, la compañía predice que las prácticas fraudulentas contra los protocolos de voz sobre ip (VoIP) aumentará y se mejorarán las ténicas ya conocidas.

(vía: Infobae)

hp_laptop.gif Según se ha reportado recientemente, algunos modelos de laptop de HP podrían facilitar a un usuario malintencionado tomar el control total de Windows.

El problema está en una vulnerabilidad de un control ActiveX de nombre “HPInfoDLL.dll” que es parte de HP Info Center, una aplicación preinstalada en algunos modelos de portátiles HP. Esto puede ser explotado por un atacante para la ejecución de código remoto, acceso a la modificación del registro del sistema y la ejecución remota de comandos shell.

La persona que descubrió esta vulnerabilidad ha publicado una página en donde podemos verificar si nuestro modelo de HP es propenso a este problema de seguridad. Esto ya ha sido reportado en Milw0rm.com y Bugtraq, y además se incluye una lista de los modelos vulnerables.

vía | Zero-day flaw haunts HP laptop models

Hace unos días Microsoft publicó entre sus boletines de seguridad una actualización para Internet Explorer 5, 6 y 7 que resolvía múltiples problemas de seguridad. Desafortundamente, con la llegada de esta actualización algunos usuarios han estado reportando problemas con Internet Explorer, y es que el navegador deja de responder luego de ser iniciado después de esta actualización.

De momento parece que esto no aplica para todos los usuarios y no se han dado a conocer los detalles exactos sobre por qué se ha estado presentando este problema. Microsoft ya está enterado de esto y parece que una vez que lo tengan resuelto publicarán una nueva actualización que resuelve estos problemas.

La versión de 6 de Internet Explorer es la única en la que se ha confirmado este problema.

(vía: Hispasec)

Una de las mayores molestias en todas las versiones de Windows es el tema de los reinicios. En la mayoría de las actualizaciones del sistema, Windows necesita ser reiniciado para que los cambios surtan efecto. En caso de no reiniciarse, cada tantos minutos un molesto mensaje que nos avisa que tenemos que reiniciar Windows nos saltará a la pantalla.

Afortundamente, en Windows Vista parece que esto está por terminarse o bien reducirse de manera considerable, y es que el próximo Service Pack 1 para este sistema operativo agregará una nueva opción de nombre “Hotpatching“, la cual nos permitirá actualizar Windows sin necesidad de reiniciar.

Esta opción parece que no vendrá activada por defecto, habrá que activarla manualmente para que entonces sí Windows pueda actualizar componentes del sistema aún cuando éstos se estén utilizando en un proceso. Sin duda una interesante novedad que evitará tantas molestias.

(vía: TechTear)

picb.jpg Actualmente los niños ya se sientan en la computadora sin ningún problema y empiezan a navegar por Internet por las páginas que más le interesa, sin embargo siempre está el problema que sin la seguridad adecuada estarán propensos a la posibilidad de ver contenido no apto para ellos.

Así que si te preocupa lo que los más chicos de la casa pueda ver mientras utilizan Internet, Pickblock es una interesante aplicación para bloquear el acceso a contenido pornográfico. Pues aunque tiene la opción para gestionar un filtro manual, Pickblock detecta automáticamente el contenido para adultos ya sea en texto, imágenes o vídeo y lo bloquea antes de que se pueda visualizar en el navegador.

Pickblock
funciona sobre Windows y es gratuito.

Descarga |
Pickblock 2.0