Archivos de la categoría ‘Vulnerabilidades’

opera-malware.png

Entre las numerosas novedades que incluirá Opera 9.5, se ha anunciado que esta versión del navegador Web contará con protección contra malware.

Similar al servicio SearchScan de Yahoo! u otras soluciones de seguridad Web que se instalan por separado, Opera se basará en el sistema de Haute Secure para alertarnos de páginas Web que puedan ser potencialmente dañinas para nuestro sistema, ya sea porque se ha detectado que contienen software maligno o se han reportado como fraudulentas y utilizan técnicas Phishing.

Esta protección ya se ha integrado en la última versión beta de Opera 9.5, pero como se trata de una versión inestable es mejor esperar hasta su salida final.

(vía: Genbeta)

Poco después de lanzarse el Service Pack 3 para Windows Xp, muchos usuarios de productos de Symantec, tuvieron problemas con la corrupción del registro. En un primer momento la empresa de seguridad no admitió la culpa, pero poco después cambió los esquemas y recomendó desactivar la protección de sus productos antes de instalar el SP3. Ahora nos presenta una herramienta, que permite reparar y limpiar los registros de sistemas Windows XP con SP3 y los Vista con SP1. La herramienta llamada SymRegFix se puede descargar desde aquí.

Para ayudar a los usuarios con Norton 2008 y Norton Internet Security en la tarea de actualizar los sistemas a Windows XP SP3 o a Vista SP1, Symantec desde sus páginas de soporte, nos da una serie de pautas a seguir para no tener problemas. Podéis consultarlas aquí. Y para todos aquellos usuarios de productos Symantec, y hayan actualizado a SP3 o SP1 y que presenten problemas, la compañía ha puesto a disposición otras pautas, que podéis consultar aquí

Fuente: ComputerWorld
Via: software.adslzone.net

Las promesas de poder descargar un antispyware gratuito está siendo el elemento que utilizan los delincuentes para atraer la atención de los usuarios hacia una página falsa que en realidad, en vez de contener una aplicación de seguridad, lo que hace es descargar directamente un troyano.

Antes que nada, tengamos en cuenta que el antispyware es una herramienta que permite detectar y prevenir la descarga de spywares o códigos maliciosos espías con los que se pretende robar información. En esta oportunidad, según informó la especialista IronPort Systems -una unidad de Cisco-, lo que se está haciendo es apelar a la ingeniería social de manera de atraer la atención de los internautas con la promesa de permitir descargar una de estas aplicaciones totalmente gratuita desde una página.

Como comentamos al principio, son sólo promesas porque la página es falsa: cuando se ingresa a la Web, lo que realmente se descarga es un troyano. Y se descarga en forma automática, así que ni siquiera entren al sitio.

Hay que tener en cuenta que el mensaje invitando a descargar este programa puede llegarle a cualquiera de nosotros ya que se lo envía indiscriminadamente en forma de spam. Y que dentro del cuerpo del mail se encuentra el enlace para ingresar a la página falsa, que es http://antispyware911.com/.

Como vemos, las técnicas de ataques suelen apelar a todos los medios para lograr sus objetivos. En esta oportunidad, las mismas herramientas que combaten a cierto tipo de códigos maliciosos, son las utilizadas como medio para engañar a los usuarios. Por lo que, además de no ingresar a este sitio, hay que tener cuidado de los programas que se descarguen en la PC, y no bajar nada si no estamos seguros de la procedencia.

Tal y como lo habíamos anunciado desde nuestro Laboratorio, Adobe acaba de confirmar que la versión Flash Player 9.0.124.0 no es vulnerable a este exploit por lo que debe procederse a actualizar inmediatamente.

Nos enorgullece haber sido una de las primeras compañias que protegió e informó al usuario de esta amenaza. Actualmente los archivos dañinos siguen siendo identificadas y además el exploit es identificado por ESET NOD32 como SWF/Exploit.CVE-2007-0071 por lo que cualquier amenaza que aparezca en el futuro, explotando esta vulnerabilidad, será bloqueada.

Detección malware Flash

Fuente: blogs.eset-la.com

Tixcet.A es un gusano de reciente detección que se encarga de eliminar archivos y realizar modificaciones en el registro de Windows.

El gusano primeramente se hace pasar por un documento Word, que una vez que es ejecutado por el usuario se instala en el sistema y se encarga eliminar archivos con extensiones .DOC, .MP3, .MOV, .ZIP, .JPG, entre otros, y en su lugar crea una copia de sí mismo con extensión .EXE pero con el nombre original del archivo eliminado, intentando engañar así al usuario mientras se duplica una y otra vez.

Cuando se está infectado por Tixcet.A es se puede detectar fácilmente ya que al lado del reloj de Windows se muestra la palabra “CETiX” y el título de la ventana del explorador de Windows cambia por “CETiX: Don’t Kill Me Please…!”.

Así que como siempre, recomendamos mantener una solución antivirus actualizada para evitar verse afectados por este tipo de amenazas.

Fuente: opensecurity.es

xp-shield_img3.gif

XP-Shield es un Adware que imita la intefaz del Centro de Seguridad de Windows y que intenta engañar al usuario para que compre la licencia de un programa al mostrarle falsas amenazas instaladas en su sistema.

Cuando Adware/XP-Shield se instala en la computadora de la víctima realiza un supuesto análisis en busca de malware, y al terminar le avisa al usuario que debe comprar una licencia de software para poder estar protegido conta las supuestas amenazas encontradas. Además se encarga de crear diversos accesos directos y entradas en el registro de Windows.

Como esta aplicación existen muchas más con el mismo funcionamiento, sin embargo XP-Shield imita la interfaz del centro de seguridad para intentar pasar desapercibido. Para evitar ser afectado por este tipo de software es importante contar con una solucion antivirus actualizada.

(vía: Panda Security)

Una vez más, en los foros de Microsoft se pueden leer quejas de usuarios a los que, tras la actualización de sus sistemas con el último Service Pack de Windows XP, se les han corrompido numerosísimas entradas del registro del sistema operativo. Las claves “fastidiadas” corresponden a las de productos de Symantec (NIS2008 – Norton Internet Security 2008- y Norton 360).

En una primera aproximación todo hacía pensar que la incompatibilidad y la corrupción de claves era atribuíble a Symantec, de echo, así se pronunciaban desde Microsoft. Sin embargo, las diferente pruebas realizadas en sus laboratorios dicen lo contrario y les ha sido imposible reproducir los errores, por lo que son éstos los que atribuyen el problema de Microsoft.

Por lo tanto, tenemos la pelota de tejado en tejado sin que haya solución para, al parecer, un grupo reducido de usuarios, según comenta Symantec.

Todo ello, como ya ocurriese con la incompatibilidad de equipos AMD que comentábamos la semana pasada, ocurre al otro lado del “charco” sin que aquí haya constancia de tal irregularidad.

Fuente: ComputerWorld VIA: software.adslzone.net

googletalkfake.jpg

En SpywareGuide han dado alerta sobre la circulación de una aplicación que aparanta la interfaz de Google Talk y que está diseñada para robar los datos usuario y contraseña de cuentas de Gmail.

Esta aplicación falsa, como podemos ver en la imagen de esta anotación, es muy fácil de identificar respecto a la original de Google debido a lo mal hecha que está, la ventana luce más al estilo de las ventanas convencionales de Windows, las esquinas no tienen bordes redondeados, y no cuenta con las opciones que permiten recuperar la contraseña y crear una cuenta nueva.

Aunque esta aplicación falsa registra los datos del usuario en caso de que los ingrese, no se conecta a Internet para enviarlos al atacante, si no que crea un documento .txt con los datos de la víctima y lo guarda en C:/ (o la letra correspondiente al disco duro local) con el nombre de archivo “googletalk.txt“.

El atacante necesita de acceso al sistema para recuperar los datos guardados, y que en este caso podrían ser computadoras de lugares públicos en donde existan muchos usuarios como escuelas, bibliotecas, cibercafés, etc.

Para evitar verse afectados por esta aplicación es importante prestar atención a los detalles que diferencia a este falso Google Talk del auténtico.

Fuente: http://www.opensecurity.es

Un nuevo ataque de phishing, cuyo principal objetivo es la entidad bancaria Banamex, ha sido detectado por nuestro Laboratorio en los últimos días.

El malware que intenta llevar a cabo esta modalidad de fraude es detectado por ESET NOD32 bajo el nombre de Win32/Qhost.AKN. Al ser ejecutado modifica el archivo hosts de los sistemas MS Windows agregando las siguientes direcciones web:

127.0.0.1 http://www.banamex.com
127.0.0.1 http://www.banamex.com
127.0.0.1 banamex.com
127.0.0.1 http://www.banamex.com.mx
127.0.0.1 banamex.com.mx


Esta técnica es denominada Pharming local y es muy utilizada por la mayoría de los troyanos bancarios actuales. Por otro lado, Qhost.AKN no modifica el archivo hosts en el momento de ser ejecutado, sino que lo hace luego de reiniciar la PC; para lo cual, también agrega una clave en el registro del sistema que le permite mantener su proceso activo.

Clave agregada por el malware

Si bien los ataques de phishing ya no suponen una novedad, quizás resulta interesante en este caso particular, el hecho de que el troyano crea una carpeta llamada win en la carpeta system32 alojando en la misma las páginas falsas.

Carpeta creada por el malware

A continuación podemos observar la página falsa y la página real respectivamente.

Phishing

Los ataques de phishing reportados en Latinoamérica aumentan cada vez más en la eficacia de sus técnicas, por tal motivo es muy importante que como usuarios conozcamos las diferentes vetas del phishing y adoptemos las medidas de seguridad básicas que nos permitan detectar a tiempo estas amenazas.

Del mismo modo es necesario denunciar los casos de phishing desde las opciones incorporadas en los navegadores de Internet (browser), o a través de sitios como www.antiphishing.org.

Fuente: blogs.eset-la.com

En el día de la fecha hemos comenzado a recibir por spam postales que dicen provenir del servicio Gusanito. Estas tarjetas son falsas y en realidad apuntan a un archivo ejecutable llamado gusanito.exe que ESET NOD32 detecta con amenazas múltiples.

El correo recibido masivamente luce como el siguiente:

Correo falso de Gusanito

Por supuesto aconsejamos eliminar este tipo de mensajes directamente y nunca hacer clic en el enlace provisto.

Lo curioso de este caso es que el equipo (indicado por su dirección IP) utilizado para descargar el archivo dañino, evidentemente hace tiempo que está siendo utilizado como servidor de archivos ya que si intentamos ingresar a la IP directamente, se muestra una página vacía con titulo Bancomer, el nombre de un conocido banco.

Sitio

En conclusión, este equipo ubicado en Dallas, EE.UU. ha sido utilizado previamente como hosting de phishing y ahora para alojar archivos dañinos. Esto explica lo importante que se vuelve proteger todos nuestros recursos informáticos para evitar daños mayores a otros.

Fuente: blogs.eset-la.com