26 de septiembre de 2008
25 comentarios
Desde este lunes 23 de Septiembre venimos sufriendo nuevamente una oleada de fuertes ataques DDoS (Distributed Denial Of Service) contra nuestro foro oficial ForoSpyware.com . Cómo abran notado el foro está trabajando mucho más lento de lo normal y teniendo periodos continuados de no disponibilidad (servidor no encontrado).
En este caso los ataques los estamos detectando como preveniente de redes Botnets de Argentina creadas con cientos de PCs zombis, por lo que en ocasiones cuando sobrepasa nuestras otras medidas de protección, nuestros filtros bloquean los rangos de IPs 190.xxx.xx.xx imposibilitando la entrada al foro a todos los usuarios que utilicen este numero de IPs en países como Argentina, Venezuela, Colombia y mi natal Uruguay para que se pueda seguir ofreciendo el servicio al resto de usuarios.
Es importante aclarar que un ataque DDoS no modifican los sitios webs ni obtiene información de estos, su cometido es entorpecer el acceso de los usuarios al servidor.
Que son los ataques DDoS ?
Los ataques DDoS se ejecutan típicamente usando herramientas DDoS que envían muchos paquetes con peticiones a un servidor de Internet (generalmente servidor Web, FTP o de correo), lo cual agota los recursos del servidor, haciendo el sistema inutilizable. Cualquier sistema que esté conectado a Internet y equipado con servicios de red TCP está expuesto a un ataque.
Por ejemplo, imagínese que un hacker crea un programa que llama a un negocio de pizzas. El negocio de pizzas contesta al teléfono, pero aprende que es una llamada falsa. Si el programa repite esta tarea continuamente, evita que clientes legítimos ordenen una pizza porque la línea telefónica está ocupada. Esto es una negación de servicio, y es análogo a un ataque del DDoS.
Pasado a la informática se refiere a cuando una computadora o un programa, dejan de responder al servicio solicitado, bien por un saturamiento en la cantidad de solicitudes (un servidor recibe muchos pedidos simultáneos con paquetes maliciosamente construidos, de modo que no puede satisfacerlos a todos, saturándolo), o se produce algún tipo de sobrecarga o desbordamiento de búfer por un exceso de datos a procesar y el programa deja de responder.
Existen 3 tipos de ataques bajo la definición genérica de DDoS:
- Net Flood: Este ataque simplemente aspira a degradar la conectividad Internet de una red mediante la saturación de sus enlaces de comunicación. Se organizan ataques masivos desde diferentes puntos de la red con las denominadas computadoras zombies.
- Syn Flood: Se basa en la regla de conexión entre 2 máquinas llamada “conexión en tres pasos” precisamente porque requiere la realización de tres pasos iniciales antes de que la conexión se pueda considerar establecida. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado “semi-abierto”. Este ataque satura las conexiones semi-abiertas de una pc.
- Connection Flood: Todo servicio de Internet orientado a conexión tiene un límite máximo en el número de conexiones simultaneas que puede tolerar, cuando este limite es alcanzado no se admitirán nuevas conexiones. Pero en este caso se completa la negociación “en tres pasos” que comentábamos en el ataque Syn Flood. Debido a ello la máquina atacada tiene constancia de la identidad real del atacante.
Desde InfoSpyware estamos trabajando intensamente en conjunto con los administradores de nuestros servidores y la gente del Data Center para poder bloquear estos ataques de forma definitiva sin perjudicar el acceso a los usuarios normales del foro, pero al no se una tarea nada fácil, puede que los problemas se prolonguen unos días más…
Por lo que les sugerimos a nuestros usuarios que estén atentos tanto al Blog como a nuestro Twitter donde estaremos informando.
Surf Safely
18 de septiembre de 2008
63 comentarios
Desde nuestro foro oficial estamos recibiendo varios reportes de usuarios que no pueden acceder correctamente a nuestro este así también como a poder actualizar sus programas Antivirus.
Esto es debido a nuevos malwares que están circulando por la red “VirTool:Win32/Injector.gen!D”, “Trojan.W32/Autorun.LPF” y algunas variantes de los parásitos mas populares que circulan por la red Vundo, Delf, IRCBot y Troj.Agent.
Su técnica en particular consiste en que al infectar el sistema, deshabilitan el editor del registro de Windows (Regedit), el administrador de tareas (Task Manager) y la recuperación del sistema (System Restore).
Luego para evitar que el usuario pueda investigar acerca de los síntomas que nota en su equipo y que se actualice su programa Antivirus, el troyano, modifica el fichero HOSTS de su equipo haciendo que todas las direcciones apunten a "localhost" con el consecuente bloqueo a cualquier sitio web puesto tras este.
- En el caso del bloqueo de nuestro foro en el archivo HOSTS lo veríamos así:
127.0.0.1 www.forospyware.com
En el pasado otros malwares han utilizado esta técnica de bloqueo hacia nuestro foro como lo fue el virus W32/Cazaar!p2p reportado por McAffe en el año 2005, pero ahora es un poco mas grave ya que se trata de malwares de mayor difusión como Vundo, Delf, IRCBot y Troj.Agent.
Por lo que a nuestro usuarios que presenten problemas a la hora de entrar al foro los pasos básicos a seguir serian los siguientes:
Seguir leyendo »
17 de septiembre de 2008
4 comentarios
Antivirus Lab 2009 Detalles Técnicos:
Nombre Completo: Antivirus Lab 2009
Peligrosidad: Alta.
Tipo: Rogue Anti-Spyware
Origen: Desconocido.
Sito web: hxxp://Viruslabs2009. com
Clones: VirusResponse Lab 2009
Método de propagación: Zlob y Vundo.
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Antivirus Lab 2009 (AntivirusLab2009) es un nuevo miembro de la familia de los “Falsos Anti-Virus” (Rogue) detectado hace dos días y que el día de hoy ya nació su hermano gemelo llamado “VirusResponse Lab 2009”.
“VirusResponse Lab 2009” es exactamente el mismo programa falso que “Antivirus Lab 2009” donde solo se le cambia el nombre y el sitio web de descarga, pero manteniendo a los mismos ciberdelincuentes detrás.
Este se suma no solo a la larga lista de Falsos programas de seguridad los cuales venimos manteniendo en un listado actualizado desde el foro, sino que también se suma a la larga lista de Clones como por ej:
- “Antivirus Security” es un clon de “Antivirus XP”
- “Micro Antivirus 2009” es un clon de “MS Antivirus”
- ”Protector XP 2009” es un clon de “XP Antivirus 2008”
- “Smart Antivirus 2009” es un clon de “AntiSpyware 2008”
- “Antispyware XP PRO” es un clon de “Antispyware 2008 XP”
- “Windows Antivirus” es un clon de “Windows AntiVirus 2008”
Seguir leyendo »
9 de septiembre de 2008
4 comentarios
Mucho se esta hablando estos días de Google Chrome y aunque muchos también digan que no quieren hablar mas de este, no podemos negar que es la noticia del momento.
Hay tantos medios hablando de lo mismo que muchas veces se convierte en lo que algunos conocemos como “el teléfono descompuesto” que es cuando se omite o se cambia algo de la información original y así esta sigue circulando con información errónea o incompleta.
Un poco la idea de este post es completar lo que se esta diciendo por ahí y tratar de explicar algunos puntos de la manera mas sencilla y clara posible.
Que se dice ???
Que Google Chrome tiene un Rootkit
En un comunicado reciente de “CSIS Security Groups” (empresa Danesa de seguridad informática) informan que entre sus pruebas encontraron que Chrome “incorpora funcionalidad de tipo espía” al hacer uso de una ‘API hooking´ al estilo “Caja de arena” (Sandbox) la cual comentan que recuerda la funcionalidad de rootkit, PERO NO PARA UN MAL USO.
Esto ultimo lo recalco ya que parece que la noticia se esta haciendo eco en varios sitios y se esta omitiendo ese pequeño pero muy importante detalle ya que no es lo mismo decir que Google Chrome tiene un Rootkit que Chrome usa técnicas parecidas, similares o que recuerdan al estilo de un Rootkit.
Esta función para que se entienda es cómo una caja de seguridad dónde se ejecuta cada una de las pestañas que vamos abriendo en Chrome la cual se muestra cómo un proceso independiente entre si, para de esta manera brindar mayor seguridad general haciendo más difícil explotar las vulnerabilidades a través del navegador.
———–
Que Google Chrome tiene un Spyware ??
Omnibox es un nuevo sistema incorporado en la barra de direcciones de Google Chrome el cual sugiere sitios Web a medida que se teclea la URL. Estos caracteres que tecleas son enviados a Google aun sin que pulses la tecla Enter. Según Cnet, la empresa además afirma que guardará un 2 % de ellos junto a la IP correspondiente. Esto significa que el simple hecho de comenzar a teclear una dirección sospechosa dejará su huella “incriminatoria” en los servidores de Google, aunque ni siquiera hayas llegado a cargar esa página.
Omnibox efectivamente trabaja así enviando esos datos a Google, pero por un lado esto también esta incorporado en la misma pagina principal de Google cómo en las barras de búsquedas de este, cómo en la barra que incorpora Firefox, en fin, que es una función que Google viene usando desde hace tiempo pero para un beneficio del usuario pudiéndole ofrecer los resultados mas exactos a su consulta.
En otras palabras Google no nos estas espiando, y pueden ver mas en detalle exactamente en este enlace que es lo que Chrome envía a Google y con que motivo.
También esta función se puede desactivar de varias maneras:
- Desactivar desde la configuración de Chrome las auto sugerencias de Onmnibox .
- Usar otro navegador por predeterminado que no sea Google (poco práctico).
- Navegar siempre en modo incógnito.
Reitero que esta es la misma función que tenemos en la pagina principal de Google y las barras de herramientas de este que funciona y muy bien desde hace mucho tiempo y hasta ahora nadie se había quejado, por lo que no veo el porque? tantos medios se ensañaron con que lo tenga incorporado en Chrome.
———–
Que Tiene varias vulnerabilidades y Bugs.
Esto obviamente que es verdad y seguramente con el pasar de los días se vayan detectando más y a si mismo cómo vimos hace unos días se corrijan los errores que se van reportando con actualizaciones. Esto no es ninguna novedad en ningún software y mucho menos en una versión BETA (de pruebas) y es normal que presente defectos, para eso Google lo ha lanzado al ruedo de la Internet, pues por muchas pruebas que se hagan en un laboratorio ó que lo prueben cientos ó miles de betatesters nunca va ser igual donde millones de usuarios lo probaran y criticaran sus virtudes y sus defectos así cómo lo ve cada cual..
En este Grupo de Google Chromium-bugs van a poder encontrar un listado y así mismo reportar cualquier problema que detecten y si bien en el listado van a encontrar muchos, no todos son realmente problemas del navegador y hasta ahora de los 3 más importantes, 2 de estos ya fueron corregidos en su ultima actualización 0.2.149.29 y una de las más importantes que todavía no fue corregida fue la que comentábamos hace unos días en el blog sobre “Carpet Bomb” la cual podemos reparar nosotros mismos momentáneamente con solo marcar la opción de “Pedir ubicación antes de la descarga” y con esto nos evitamos que se nos pueda descargar cualquier archivos sin nuestro consentimiento.
Seguir leyendo »
6 de septiembre de 2008
17 comentarios
Smart Antivirus 2009 Detalles Técnicos:
Nombre: SmartAntivirus2009 (Smart Antivirus 2009)
Peligrosidad: Alta.
Tipo: Rogue Anti-Spyware
Origen: Desconocido.
Sito web: hxxp://Smartantivirus2009. com
Clones: Antivirus 2009 – Antivirus 2008,
Método de propagación: Zlob y Vundo.
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Smart Antivirus 2009 es un nuevo miembro de la familia de los “Falsos Anti-Virus” (Rogue) detectado hace unos días atrás circulando por la red y que ya nos están reportando los primeros casos. Es el nuevo gemelo de Antivirus 2009 y primo hermano de Antivirus 2008 y la serie de Antivirus XP…
Por lo visto los ciberdelincuentes están ya implementando el año 2009 para las versiones de todos sus productos al igual que lo hacen las compañías reales de Antivirus, por lo que seguramente en lo que queda de este año sigamos viendo los mismos nombres pero con nuevas versiones como en estos casos.
Smart Antivirus 2009 comportamiento:
- Smart Antivirus 2009 puede ralentizar su PC.
- Smart Antivirus 2009 produce falsos positivos.
- Smart Antivirus 2009 puede dañar el funcionamiento general de su PC.
- Smart Antivirus 2009 secuestra su pagina de inicio de IE, para recomendarle comprar la versión de pago.
- Smart Antivirus 2009 produce continuos mensajes pop-ups y avisos en la zona del reloj con falsos positivos.
- Smart Antivirus 2009 es relativamente fácil de eliminar y si necesita ayuda personalizada y gratuita la puede solicitar abriendo un nuevo tema en el ForoSpyware.com
Otras capturas de pantalla después del salto:
Seguir leyendo »
3 de septiembre de 2008
0 comentarios
El pasado jueves 28 de Agosto la gente de Maestros del web (reconocido sitio con más de 11 años online) publicó una entrevista, que le realizaron a este humilde servidor (o sea, a mí) o como le llaman ellos una “Semblanza”, por lo que este post es a modo de agradecimiento para “Stephanie Falla” y a todo el equipo de MDW.
Para mí es todo un orgullo que se me haya tenido en cuenta para estas Semblanzas que realiza MDW donde también se encuentran otras muy interesantes como la de Ismael Briasco de Psicofxp, Juan Francisco Diez de CHW y Nicolás Orellana de Webprendedor entre otras y por sobre todo, soy uno de los tantos que a formado sus primeras armas en el mundillo del desarrollo Web en MDW y de dónde sigo aprendiendo cada día.
Los que quieran conocer un poco más de mi persona como de mis proyectos pueden ver esta y dejar sus saludos o comentarios directamente ahí. ;)
Ver la semblanza de: Marcelo Rivero de Info Spyware
3 de septiembre de 2008
0 comentarios
Hace solo unas horas en un post anterior les contaba del lanzamiento de la primera beta de Google Chrome el nuevo navegador de Google. Ahora leyendo en el blog de Znet me entero de que ya se le detectó su primer vulnerabilidad en sus primeras 24 hrs de vida, debido a la utilización de una versión vieja de motor Webkit que utiliza Google Chrome.
El investigador “Aviv Raff” descubrió que podía explotar el una vulnerabilidad en Chrome por medio de “Carpet Bomb”, un problema que tenían las versiones anteriores del navegador de Apple Safari en combinación con un error en Java dejando a los usuarios de Windows expuestos a ataques de hackers maliciosos.
Aviv Raff ha creado una demo de prueba de concepto inofensiva en la que se demuestra como los usuarios de Chrome pueden ser engañados para descargar y ejecutar archivos JAR (Java) sin ninguna advertencia del navegador, aprovechándose del un fallo en el Webkit y Java.
La siguiente imagen muestra un supuesto Chrome infectado:
..
..
Este exploit requiere de la intervención del usuario para lograr su cometido y que el malware pueda infectar nuestro sistema, pero esto es bastante fácil de lograr con un poco de ingeniería social por lo que bastarían solo dos clics en una página maliciosa para infectarnos.
Por ahora no hay ningún reporte oficial de la gente de Google, pero tratándose de un problema que ya fue corregido anteriormente en Safari y al estar en una versión BETA de este no creo que tarden mucho en solucionarlo, solo que el Sr Raff les ha cagado embarrado su día de lanzamiento triunfal y seguramente a esta ahora están sonando todos los teléfonos de los desarrolladores de Chrome……
Actualización: Miércoles 3 de Septiembre.
Aparte de la vulnerabilidad descubierta arriba, ahora también me entero mediante el blog de Martín Aberastegue de el Primer Error en Google Chrome.
Seguir leyendo »
2 de septiembre de 2008
0 comentarios
Seguramente ya estés encontrando este nombre en toda la red de redes ya que a partir del día de hoy Google acaba de liberar su nuevo navegador web llamado Google Chrome el cual pueden descargar y probar aquí (compatible con Windows XP y Vista. Próximamente se espera su versión para Linux y Mac.)
Su lanzamiento ya se venía anunciado desde hace algún tiempo, pero ha sorprendido a toda la blogsfera el hecho de que hace unos días Google renovaba su apoyo financiero a la fundación Mozilla para la continuidad de su navegador Firefox.
Sólo he estado jugando con él durante unos minutos y mi primera impresión fue bastante buena (claro que ésta puede cambiar en los próximos días) pero por ahora me gusta lo que veo. También es bueno recalcar que se trata de una versión en fase BETA, o sea de pruebas.
Lo encontré con un diseño claro, simple y sencillo muy al estilo Google, es bastante rápido para abrir y cargar las paginas y las muestra todas de forma correcta. En cuanto al consumo de memoria este maneja cada pestaña como un proceso independiente (similar a como lo hace el Internet Explorer 8 Beta)
Pueden encontrar varios reviews de “Google Chrome” publicados en la red como los centralizados en SpamLoco, o simplemente descargar y probar este por ustedes mismos y si quieren dejarnos sus opiniones, comentarios y “mini-reviews” en el foro o aquí mismo.
Enlace de descarga: Google Chrome
Surf Safely
