Copio y pego una noticia interesante de Bernardo Quintero (Hispasec):

Era de esperar. Hace unas horas se ha realizado un envío masivo de un mensaje que invita a visualizar un supuesto vídeo en Youtube. El reclamo en esta ocasión es reproducir el célebre incidente entre el Rey de España y el Presidente de Venezuela.

Con el remitente “youtube@you-tube.com.mx” y el asunto “Esto causa sensacion”, nos llega un mensaje de correo en HTML donde anuncia que YouTube Mexico presenta “El ¿Por qué no te callas? Del Rey, toda una revolución… ¡No te pierdas el vídeo!”, incluyendo una imagen del momento del incidente y varios enlaces al supuesto vídeo.

Una captura de pantalla del mensaje puede observarse en:
http://blog.hispasec.com/laboratorio/257

Una vez el usuario pincha en alguno de sus enlaces, en vez del vídeo, comienza la descarga del ejecutable “ultimovideo.exe”. En el momento inicial de la distribución, este malware era detectado por 10 motores antivirus tal y como se puede apreciar en el siguiente informe de
VirusTotal:
http://www.virustotal.com/resultado.html?e755c2e0709e9b90aa7f01043a7bf559

Las detecciones de los antivirus son genéricas o por heurísticas, no se han publicado aun firmas de detección específicas, de ahí que el nombre dado por los antivirus no ofrezca muchas pistas sobre la funcionalidad del troyano.

Un análisis rápido en el laboratorio de Hispasec revela que el troyano va dirigido a capturar las credenciales de acceso de los clientes del servicio BancaNet de la entidad Banamex.

El método que utiliza el troyano no está basado en keyloggers ni en la captura de los datos transmitidos a través del navegador, sino que crea un formulario/aplicación de autenticación con una pequeña ventana que se superpone justo encima del navegador, tapando el formulario legítimo. De esta forma el troyano recoge directamente los datos introducidos por el usuario y se los envía al atacante por e-mail.

Cómo suele ser costumbre, recomendar a los usuarios que no visualicen los mensajes de spam y, mucho menos, visitar los enlaces que incluyen, por muy sugerentes que puedan ser los reclamos.

Prestar siempre atención a los correos “extraños” de remitentes desconocidos.

Brian Krebs publica una serie de interesantes artículos sobre la Russian Business Network (más conocida como la RBN), una compañía que supuestamente proporciona alojamiento e infraestructura web a la creciente industria del malware, convirtiéndose así en una especie de centro de operaciones mundial desde donde se descargan los troyanos y hacia donde viaja la información robada.

La RBN se encuentra en St. Petersburg y proporciona alojamiento web. Su actividad parece estar íntimamente relacionada con la industria del malware, hasta el punto de que muchos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.
(more…)

Están circulando unos correos electrónicos que avisan al usuario de una tarjeta de Gusanito.com enviada por un amigo, éstos correos llevan un virus.

La advertencia sobre como evitar el problema ésta publicada en Gusanito.com y también en el blog Pervasive Smoothering.

Que paséis un feliz domingo. 

[Gracias a Rolando por la señalación]

La gente de Hispasec nos regala un servicio gratuito de análisis de archivos sospechosos con múltiples motores Antivirus, se llama Virus Total.

El servicio permite detectar virus, gusanos, troyanos, y malware en general mediante el uso simultáneo de múltiples motores antivirus.

Desde el sitio de Virus Total se puede subir el archivo que deseamos analizar y también es posible enviar por correo electrónico los archivos sospechosos de tener virus para analizar, otra opción es la descargarse un “Uploader” para tener listo en nuestro equipo, el cual se encargará de enviar el archivo (< 10MB).

Hay que señalar que Virus Total no sustituye de forma alguna a los antivirus instalados en los los equipos de los usuarios, ya que sólo permite el análisis a demanda de archivos individuales, y no ofrece protección permanente al sistema del usuario.

Desde Hispasec nos transmiten ésta noticia sobre seguridad que considero importante:

A través del SANS hemos conocido una curiosa página que simula ser la web oficial de descarga de Shockwave de Adobe Macromedia. La página enlaza con un ejecutable que intenta hacerse pasar por el paquete oficial de Adobe. Sólo dos sistemas antivirus consiguen reconocer la muestra como lo que en realidad es, un adware.

La infección no es automática. La ingeniería social que utilizan es la siguiente. Han comprado un dominio (.net) que apunta a una empresa de hosting gratuito, donde finalmente se aloja la página. Se trata de una web de juegos ambientados en la Edad Media. En esta página, se simulan presentaciones en Flash que no funcionan. Todos los enlaces (supuestamente rotos) apuntan a una página con esta URL (ofuscada):

hxxp://XXXXX.XXXXspace.com/runescape/flasherror.html

Esta página muestra un mensaje:

Your version of Macromedia Flash Player needs to be updated. Click Here que lleva a:

hxxp://XXXXX.XXXXspace.com/runescape/shockwave/download.html

Que simula (con bastante acierto) ser la web oficial de descarga de Adobe (Shockwave Player Download Center). Algunos “errores” que han cometido los atacantes a la hora de copiar la original es que muestra una versión anterior, pero solo una comparación con la web original actual puede hacer que el usuario se percate de esta diferencia.
Curiosamente, a través de JavaScript, han desactivado el uso del botón derecho en Internet Explorer. Finalmente el malware es descargado (si el usuario lo consiente) desde:

hxxp://xx.xxxxay.com/flashv10/Shockwave_Installer_Slim.exe

Una de las características más llamativas de esta muestra es el nivel de detección. A fecha de 22 de junio, sólo dos antivirus lo reconocen, uno de ellos con firma genérica: ClamAV como Trojan.Pakes-248 y Webwasher-Gateway como Trojan.Bifrose.NU. Curiosa (y escasa) combinación de motores que son capaces de detectarlo.

Un primer análisis esquemático del malware, demuestra que simula incluso con bastante buen hacer el proceso de instalación del Shockwave real.
Instala una dll falsa en C:\shockwave y en ese momento, se pone en contacto con adpopup.hopto.org para mostrar insistentemente publicidad no solicitada en el sistema.

Para prevenir el problema, aparte de las advertencias habituales, conviene fijarse bien el la URL de la dirección de descarga de este componente y utilizar servicios como VirusTotal.com. Si bien no ofrece garantías absolutas, puede hacer sospechar sobre el archivo. En este caso además, como dato curioso, advertir que Adobe Macromedia firma digitalmente sus archivos, con lo que se puede comprobar simplemente pulsando con el botón derecho sobre el instalador original, que está firmado y que la firma realmente pertenece a Adobe (lo certifica VeriSign). Esto garantiza su origen y que desde que fue creado, el fichero no ha sido modificado. Si bien no todas las compañías firman sus archivos, es conveniente siempre comprobarlo antes de usarlos en el sistema y aprovechar las garantías que ofrecen las que se toman la molestia de hacerlo.

[Gracias a Sergio de los Santos]

Symantec es la conocida empresa que se dedica a crear software antivirus y te reduce tu computadora a estado vegetal porque usa todos los recursos del equipo para “controlar” lo que estás haciendo y que está pasando en cada segundo de tu actividad, en éstos días ha publicado una alarma sobre un virus llamado Trojan.Peacomm que parece llegar en un archivo anexado a un correo electrónico en formato zip, el virus es del tipo troyano, y una vez instalado en la computadora crea una red P2P para descargas más virus y en éste modo convertir tu equipo en lo que se llama técnicamente un “zombie”, listo para colaborar a los ataques de tipo DOS.

Quizás he dado demasiada información a los que no conocen ciertos niveles de informática, de todas formas, como más vale prevenir que curar, aqui os paso un enlace para descargar gratuitamente la “medicina” para éste último programa “maligno”.

Yo creo personalmente que como desde hace mucho tiempo los que se dedicaban a fabricar virus se han dedicado más al phishing y han dejado la actividad “viral” como prioridad principal de sus desarrollos, Symantec y las demás sociedades que tienen su negocio basado en eliminar virus se encuentran “sin trabajo”, entonces se “inventan” algo para hacerle entender al mundo que están ahi, para protegernos, un poco como Bush Jr. pero menos nocivo.

Descarga el antivirus gratuito.

Feliz fin de semana a todas y a todos

Durante el pasado fin de semana se desarolló una “Tormenta de Gusanos” que al estilo de las grandes guerras podeis ver en el video siguiente, todo a través de un virus de tipo gusano enviado por correo electrónico con el asunto: “230 dead as storm batters Europe“, de la serie “La Noche de los muertos vivientes”, los gringos se lo creen y se infectan todas las computadoras, para mi que es otra movida de Bush para esconder algo

No quiero comentar porque se trata de Symantec y no es gente que me ha agradado nunca ni me va agradar, pero para los disinformados léanse el artículo en ZDnet (en inglés, por supuesto) y ahi está todo bien explicadito hasta con enlaces para que se culturicen, para los más informados y/o desinteresados como un servidor, la cosa ataca al puerto 2967 sólo si es un dominio .edu

El día 18 de diciembre Websense publicaba en su blog lo que podría ser motivo de una noticia de alcance: se había detectado un nuevo gusano que se propagaba a través del popular programa Skype. Si bien llamó la atención de muchos, el troyano (lo que era en realidad) ha resultado una vez más una “falsa alarma” pues sus características son comunes y su propagación extremadamente limitada.

Websense Security Labs dio la voz de alarma, parecía que un nuevo gusano se estaba propagando a través de Skype, infectando a los usuarios del programa de forma exponencial. Al día siguiente rectificó, y calificó al malware de “troyano” que además descargaba nuevos componentes desde una página web con el fin de robar contraseñas.

Finalmente, tras unos días de confusión donde se ha calificado todo el asunto de pura exageración, F-Secure venía a poner un poco de orden aclarando las claves que pueden determinar efectivamente si una amenaza merece ser tenida en cuenta y alertar de forma responsable.

F-Secure afirmaba que no nos encontrábamos, ni mucho menos, ante un caso de infección masiva. Al contrario de lo que se barajó en un principio, no se trataba de un gusano que aprovechaba una vulnerabilidad en Skype, sino de simples mensajes de chat que pedían al usuario descargar y ejecutar el troyano. Para colmo, se habían confundido en algunos medios dos alertas distintas. Una se conocía desde principios de octubre y otra, de la que hablaba Websense, se trataba de un archivo sp.exe infectado. Aunque en ningún momento se advierte, se presupone que el ejecutable infectaría (aunque de una forma burda y consentida) sólo a usuarios Skype bajo Windows.

Parece que el error de Websense fue adjudicar la característica de “gusano” al malware detectado. Calificarlo como tal implica cierta automatización en la replicación, habitualmente aprovechando una vulnerabilidad del software sobre el que se propaga. El hecho de que finalmente se trate de un “simple” troyano libera en gran parte la responsabilidad de Skype y apunta directamente contra el hipotético usuario descuidado que acepte un archivo desconocido y lo ejecute.

Recuerda en cierta manera este asunto al malware Oomp-A para Mac, detectado en febrero. Ooomp aprovechaba la lista de contactos de iChat para enviarse a sí mismo e intentar contagiar a otros usuarios. Su único mérito era intentar infectar sistemas tan poco atacados hasta ahora como Mac OS X, aunque igualmente dio bastante que hablar sobre la seguridad del sistema operativo.

La única novedad, por tanto, es que el troyano puede llegar por Skype e infectaría a usuarios de Windows, pero para que esto ocurra, el usuario debe prácticamente consentir la ejecución.

Si bien una noticia sobre un virus puede provocar alarma, que se hable de una muestra de malware no siempre significa que se haga porque haya provocado una crisis. Puede llamar la atención por distintas
características: desde el nombre (recordemos el inofensivo kama sutra), el mensaje que lanza, las plataformas que infecta… En este caso, al valerse de un popular programa basado en VoIP para esparcirse, este troyano ha captado la atención de los medios y ahí comienza la confusión. Una característica peculiar no tiene por qué ir unido a una infección masiva. Y es que hoy en día quedan realmente pocas crisis víricas (al menos provocadas por una misma muestra) de las que hablar.

Aunque la alerta ante la amenaza haya sido exagerada, no está de más recordar que ningún software es invulnerable y que una amenaza seria y real de este tipo podría darse en un futuro.

[Artículo de Sergio de los Santos/hispasec]

Es increible la cantidad de porqueria que anda suelta por el mundo de la tecnología por culpa de Microsoft, leanse éste artículo:
Algunos de los reproductores digitales de música iPod de Apple se despacharon el mes pasado con un virus informático, según un aviso publicado en la página web de soporte técnico de Apple.
Apple dijo que desde el 12 de septiembre menos de un 1 por ciento de los iPod video generación 5.5 salieron con el virus RavMonE.exe, que afecta el funcionamiento del sistema operativo Windows de Microsoft.
“Hasta ahora hemos visto menos de 25 informes denunciando este problema. El iPod nano, el iPod shuffle y el Mac OS X no están afectados, y todos los iPod video ahora lanzados están libres del virus”, dijo la compañía en su página web.
RavMonE.exe utiliza dispositivos de almacenamiento externo para distribuirse, pero no daña los datos en los computadores infectadas ni afecta el funcionamiento del reproductor, según precisó la empresa.
Apple también informó que el virus puede detectarse y eliminarse utilizando muchos programas antivirus populares.
Representantes de Apple y Microsoft no estuvieron disponibles para comentar la información.
En su página, la compañía afirma estar “enojada” con Windows por no ser más eficaz en la lucha contra los virus, aunque reconoció que están aún “más enfadados” con ellos mismos por no haber sido capaces de detectarlo a tiempo.

{Copiado y pegado desde El Norte}

Éstos de Microsoft cada vez van peor, le dan un premio al creador de Messenger Plus y luego se lo quitan porque tiene adware, o sea, que no controlan lo que hacen, leed el artículo de Sergio de los Santos porque está bueno:
MVP (Most Valued Professionals) es un reconocimiento anual que ofrece Microsoft a miembros destacados de comunidades que de alguna forma, ayudan a mejorar productos Microsoft. Se basa en las contribuciones realizadas durante el año anterior y se nombran a través de un período de nominación. Tras reconocer que la aplicación por la que se le premiaba se distribuía junto con un programa espía, ha decidido retirarle el premio a Cyril Paciullo, creador de Messenger Plus!

Los MVP no son empleados ni hablan en nombre de Microsoft. Se ha convertido en un selecto galardón que sólo poseen 2600 personas en el mundo. A principios de octubre este premio recayó en Cyril Paciullo, más conocido como Patchou y creador de Messenger Plus!, un programa que añade algunas ventajas y funciones al Messenger tradicional de Microsoft. Sin embargo, y de forma inmediata, el nombramiento resultó fuertemente criticado desde algunos sectores por considerar desafortunado ofrecer tal premio a un programador que ayuda con su software a la difusión de un dañino adware para el sistema.
(more…)