Nuevos Malwares
4 de junio de 2012
Visto: 9.341
Desde los pasados meses de abril y mayo, hemos estado recibiendo en nuestro Foro de InfoSpyware varias incidencias de usuarios infectados por un nuevo malware que se manifiesta al momento de querer ingresar a sitios populares como Facebook, YouTube, Google y/o Twitter, impidiendo el acceso a estos y en su lugar mostrando una advertencia con el mensajes en portugués: “Nova atualização disponível” el cual sugiere a la victima descargar y ejecutar un archivo llamado: ChromeSetup.exe.
Tal como comentábamos a través de nuestra cuenta de Twitter oficial de InfoSpyware el día 8 de Mayo, nos encontramos aun analizando este nuevo espécimen el cual cuenta con varias particularidades interesantes para contarles a lo largo de este artículo, como ser: que afecta tanto a Windows, Linux y Mac OSX, secuestra la conexión a internet modificando las DNSs y ningún Antivirus hasta la fecha detecta ni desinfecta, entre otras cosas…
Seguir leyendo »
17 de mayo de 2012
Visto: 51.812
Tal como comentábamos a través de nuestra cuenta de Twitter de @InfoSpyware, (Twitt1, Twitt2, ) durante este mes de Mayo 2012 han aparecido dos nuevas y peligrosas variantes del comúnmente conocido ransomware “Virus de la Policía” con sus variantes: “SGAE y Rannoh locked-“. Si bien guardan ciertas similitudes en su modus operandi con variantes anteriores, estas incorporan también algunas diferencias que están logrando infectar a cientos de nuevas victimas al día que llegan buscando soluciones en nuestro Foro de InfoSpyware.
Ransomware de la SGAE:
Este es el más nuevo ransomware que anda dando vueltas y uno de los que hasta el momento ha logrado infectar a más usuarios. Detectamos los primeros reportes en el Foro de InfoSpyware desde el pasado 14 de Mayo y en menos de 3 días recibimos cerca de 200 nuevos casos reportados, mas otros cientos de usuarios infectados que solo tuvieron que seguir las recomendaciones brindadas para desinfectar sus equipos sin solicitar ayuda extra.
Seguir leyendo »
8 de mayo de 2012
Visto: 8.048
El rootkit ZeroAccess (Sirefef) es una peligrosa amenaza que ha estado circulando desde hace varios años, aunque es durante los últimos meses que se ha comenzado a observar un crecimiento en el número de infecciones provocadas por este ejemplar debido a la evolución de sus nuevas variantes.
De entre los cientos de casos de infecciones que recibimos a diario en nuestro Foro de InfoSpyware, en los últimos 3 meses, ZeroAccess representa prácticamente un 30% de estos, superando a clásicos malwares como Zeus (Doble tilde), TDSS, entre otros… y solo por debajo del Ransomware del “Virus de la Policía”.
Básicamente, ZeroAccess es un sofisticado rootkit en modo kernel, similar en espíritu a la familia de de rootkits TDL. Utiliza técnicas avanzadas para ocultar su presencia, es capaz de funcionar tanto en versiones de Windows 32 y 64-bit desde un solo instalador, contiene la funcionalidad agresiva de defensa propia y actúa como una plataforma de descarga sofisticada para otros tipos de malwares.
Seguir leyendo »
20 de febrero de 2012
Visto: 43.197
DNSChanger, es un peligroso troyano descubierto en el año 2007 y varias veces comentado en @InfoSpyware el cual modifica, en el equipo infectado, la configuración de DNS (Domain Name System –Sistema de Nombres de Dominio-) con el fin de redirigir a sus victimas a páginas maliciosas o sitios ilegales, controlados por ciberdelincuentes que han sido atrapados por el FBI en noviembre del 2011.
Durante estos años (2007/2012), el troyano ha seguido evolucionado y modificándose para evitar su detección y posterior eliminación, incluso utilizando técnicas de rootkit y entre sus nombres “alias” se encuentra llamado como: TDSS, Wareout, Alureon, TidServ, TDL4, DnsChanger.
El DNS es un protocolo utilizado en internet para asignar direcciones IP (Ejemplo: 207.46.130.108) a un nombre descriptivo (Ejemplo: www.microsoft.com). Un servidor DNS resuelve (en un modo de explicación simple) que para cada IP, le corresponde un “nombre”, que es la dirección con la que solemos manejarnos para entrar a un sitio.
Seguir leyendo »
5 de octubre de 2011
Visto: 58.087
Ransomware se le denomina a un tipo en particular de virus informático (malware secuestrador) el cual mediante distintas técnicas es capaz de bloquear archivos, carpetas o incluso el acceso al propio sistema, obligando así a la víctima a tener que abonar determinada suma de dinero para poder recuperar el control del PC.
En los últimos meses, hemos estado recibiendo cientos de casos reportados en nuestros foros de ayuda, sobre un Trojan.Ransom conocido como el “Virus de la Policía”. Este utiliza una campaña de marketing bastante agresiva que básicamente consiste en bloquear todo el sistema Windows y mostrar una pantalla inamovible con un supuesto mensaje de la policía, la cual obliga a la victima al pago una multa para poder restaurarle el acceso a su computador y no borrarle sus archivos.
Seguir leyendo »
29 de noviembre de 2010
Visto: 3.567
FLVTube Player es una aplicación gratuita para buscar y descargar vídeos desde YouTube. Aparentemente es una aplicación inofensiva, solo que esta para financiarse recurre al bajo mundo del adware, donde por medio de afiliados a este, nos instala incluso sin nuestro consentimiento, una cantidad de otros programas basura y que a su vez realiza varios cambios en nuestra página de inicio de internet, de error en las búsquedas, de búsquedas, redirecciones a sus sitios webs afiliados, etc, etc… con lo cual termina dañando el correcto funcionamiento del PC
Son muchos ya los usuarios que nos están reportando en el Foro de InfoSpyware, diferentes problemas en sus equipos después de haber instalado “FLVTube Player”, e incluso algunos reportan que este no fue instalado directamente por ellos sino que se instaló con otro programa, a lo que creamos este post para alertar que si tienen este programa o lo pensaban instalar, que no lo hagan o lo desinstalen.
Seguir leyendo »
16 de septiembre de 2010
Visto: 5.005
Whistler Bootkit es una amenaza que circula por la red de este nuevo estilo de código malicioso Rootkit/Bootkit, del cual hemos estado recibiendo varios casos en el foro en las ultimas semanas, con síntomas que parecieran más bien de una película de terror cuando el equipo comienza a reproducir música solo o de golpe se nos baja el volumen, que de una infección por un malwares.
Si bien tanto los Rootkits como los Bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte del ocultamiento acciones más complejas.
Whistler Bootkit es también conocido como “Black Internet” y ataca a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y Windows 7 (32 y 64bits), sumando funciones más complejas como la capacidad de infectar el “Master Boot Record”. Una vez que el equipo es infectado por esté, queda a total disposición de su atacante pudiéndolo convertirse en parte de una Botnet, entre otras cosas…
Seguir leyendo »
1 de diciembre de 2009
Visto: 3.637
La utilización de días festivos o acontecimientos importantes a nivel mundial son otro de los métodos aprovechados por los creadores de malwares para propagar sus infecciones de manera masiva. Esto no es una técnica nueva ya que desde siempre se ha explotado, pero que hoy en día con el auge de las redes sociales (Facebook, Twitter, etc) estos métodos de infección resultan mucho mas efectivos para conseguir nuevas victimas como ya lo esta haciendo el gusano Koobface aprovechando el clima navideño.
El método de infección no difiere mucho de sus variantes anteriores utilizando la ingeniería social aplicada a las redes sociales, solo que en este caso, los falsos vídeos a los que accederemos si seguimos el enlace publicado por alguno de nuestros amigos de Facebook que ya este infectado, fueron publicados por el mismísimo ***SantA***
Seguir leyendo »
22 de agosto de 2008
Visto: 1.576
Tal parece que la hermosa “Angelina Jolie” es la figura del momento utilizada por los creadores de malwares para la distribución masiva de estos. El uso de supuestos vídeos o fotos de celebridades no es nada nuevo y anteriormente hemos mostrado casos de Britney Spears, Paris Hilton y Nina Coba entre otras….
En este caso se trata de un reciente descubrimiento de la gente de Sunbelt con la particularidad que se reciben los clásicos y falsos vídeos simulando ser de YouTube que podemos encontrar por toda la red, generalmente en los sitios de pornografía, que al pulsar para ver estos nunca se abren y en su lugar nos comunican que tenemos que descargar un supuesto códecs necesario para poder ver este que no es mas que el mismo troyano .
Los vídeos se muestran como la imagen de abajo:
.
Si pulsamos en el vídeo que se muestra en la imagen nos descargara un archivo llamado video.avi.exe el cual es parte del troyano que su vez nos hará descargar falsas soluciones Antivirus como Antivirus XP 2008 y similares familias de Zlob
Seguir leyendo »
20 de julio de 2008
Visto: 7.431
Hace más de un mes en el ForoSpyware se presentó un caso bien interesante planteado por un usuario y al cual luego se le fueron sumando más y más sobre un malware que había infectado a todos los archivos MP3, WMA y WMV que este tenía en su PC.
Los usuarios nos fueron enviando muestras del mismo y rápidamente pudimos realizar una herramienta que llamamos FS-MP3Fix la cual se encarga de limpiar todos los archivos que el malware haya modificado y la cual seguimos mejorando y actualizando a nuevas muestras de mutaciones de este.
Este artículo es para describirles un poco más como funciona este malware, como poder limpiarlo con FS-MP3Fix y lo más importante, como prevenirlo.
Método de infección:
El malware se propaga camuflado en archivos de formato ASF (Advanced Systems Format), los cuales se muestran como simples mp3 y al momento de ejecutar estos en nuestro sistema se encargan de infectar todos y cada uno de los archivos MP3 que tengamos en nuestra maquina.
Síntomas de la infección:
Saber si fuimos infectados por Trojan.ASF.Hijacker.gen es fácil ya que si intentamos reproducir algún de estos archivos utilizando “Windows Media Player” (y este no esta parchado) al tiempo 10 de la canción se nos abrirá una pagina de IE para que descarguemos un supuesto códec (Windows_Media_Player_Flash_Codec_Plugin.exe) necesario para escuchar correctamente el mp3 y que en realidad es parte un malware de la familia Vundo.
En caso de que usemos otro reproductor de música como por Ej. Winamp o que tengamos el parche de “Windows Media Player” (http://support.microsoft.com/kb/828026/es) no se nos abrirá la pagina ofreciéndonos el falso códec, pero de todas maneras al tiempo 10 de la canción el archivo se cortara y empezara a escuchar distorsionado.
La siguiente imagen muestra las líneas que inyecta el malware en todos sus archivos MP3
Les recomiendo ver el video de la infección realizado por el compañero “axl456” al final del post.
Método de desinfección:
En el caso que hayamos aceptado y ejecutado el falso códec en nuestro equipo la limpieza se tiene que hacer mas extensa ya que primero tendríamos que limpiar el equipo de el malware Vundo por Ej., para luego desinfectar los archivos MP3, pero en este caso nos vamos a concentrar únicamente en limpiar todos nuestros mp3 con solo ejecutar nuestra herramienta FS-MP3Fix.
Para que este funcione es muy importante que realices los pasos correctamente:
1.- Descargar la utilidad FS-MP3Fix.zip
2.- Descomprimirla en tu escritorio para que se genere la carpeta FS-MP3Fix
3.- Mover a dentro de la carpeta FS-MP3Fix todos los archivos infectados por el malware
4.- Hacer doble clic en el archivo FS-MP3Fix.exe
Esta utilidad lo que va a hacer es generar una copia limpia de malwares de cada uno de los archivos MP3 que pongas en la carpeta agregándole al final del titulo la siguiente sigla _FS, por lo que luego se pueden borrar manualmente los archivos mp3 infectados.
Método de Prevención: Seguir leyendo »
