El método de infección no difiere mucho de sus variantes anteriores utilizando la ingeniería social aplicada a las redes sociales, solo que en este caso, los falsos vídeos a los que accederemos si seguimos el enlace publicado por alguno de nuestros amigos de Facebook que  ya este infectado, fueron publicados por el mismísimo  ***SantA***

Si caemos en algunos de los tantos cientos de miles de servidores comprometidos para infectarnos con Koobface nos dirá que para poder ver el vídeo necesitamos instalar una supuesta nueva versión de “Adobe Flash Player”, ofreciéndonos un archivo llamado setup.exe (Este archivo es detectado en la actualidad por 7 de los 41 Antivirus de según el análisis de VirusTotal.) Si ejecutamos este archivo infectado el gusano automáticamente entrara a nuestra cuenta de Facebook, MySpace, Twitter, y otras redes sociales para comenzar a  enviar mensajes a todos nuestros amigos.

Analizando más a fondo estos casos navideños nos encontramos que “si, trae regalito de navidad” y es que dentro del archivo infectado por Koobface, también incluye una nueva versión del escurridizo rootkit TDSS 3 (o TDL3). Este Rootkit es parte de una nueva generación de infecciones especialmente diseñadas no solo para incrustarse en los rincones mas profundos del sistema sino también para pasar lo mas desapercibidas posibles ante el escaneo de los Antivirus y programas de seguridad.

Por lo que desde InfoSpyware recomendamos tener mucha precaución durante estas épocas de fiesta, sobre todo en las redes sociales que como ya que seguramente se vean  inundadas de malwares y spammers.

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

Tal parece que la hermosa “Angelina Jolie” es la figura del momento utilizada por los creadores de malwares para la distribución masiva de estos. El uso de supuestos vídeos o fotos de celebridades no es nada nuevo y anteriormente hemos mostrado casos de Britney Spears, Paris Hilton y Nina Coba entre otras….

En este caso se trata de un reciente descubrimiento de la gente de Sunbelt con la particularidad que se reciben los clásicos y falsos vídeos simulando ser de YouTube que podemos encontrar por toda la red, generalmente en los sitios de pornografía, que al pulsar para ver estos nunca se abren y en su lugar nos comunican que tenemos que descargar un supuesto códecs necesario para poder ver este que no es mas que el mismo troyano .

Los vídeos se muestran como la imagen de abajo:

.

Si pulsamos en el vídeo que se muestra en la imagen nos descargara un archivo llamado video.avi.exe el cual es parte del troyano que su vez nos hará descargar falsas soluciones Antivirus como Antivirus XP 2008 y similares familias de Zlob

Como siempre recomendamos, no visitar nunca los enlaces que nos llegan en correos no solicitados y en caso de haber sido infectados por este u otro tipo de malware puede solicitar ayuda gratuita publicando su caso en nuestro Foro de InfoSpyware

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

Hace más de un mes en el ForoSpyware se presentó un caso bien interesante planteado por un usuario y al cual luego se le fueron sumando más y más sobre un malware que había infectado a todos los archivos MP3, WMA y WMV que este tenía en su PC.

Los usuarios nos fueron enviando muestras del mismo y rápidamente pudimos realizar una herramienta que llamamos FS-MP3Fix la cual se encarga de limpiar todos los archivos que el malware haya modificado y la cual seguimos mejorando y actualizando a nuevas muestras de mutaciones de este.

Este artículo es para describirles un poco más como funciona este malware, como poder limpiarlo con FS-MP3Fix y lo más importante, como prevenirlo.

• Nombre: Trojan-Downloader.WMA.GetCodec.d
• Alias: WMA.GetCodec, Trojan.ASF.Hijacker.gen, TROJ_MEDPINCH.A, TSPY_LDPINCH.ASG,
• Tipo: Troyano, Gusano, Backdoor.
• Propagación por: Redes P2P.
• Nivel de infección: Alto.

Método de infección:
El malware se propaga camuflado en archivos de formato ASF (Advanced Systems Format), los cuales se muestran como simples mp3 y al momento de ejecutar estos en nuestro sistema se encargan de infectar todos y cada uno de los archivos MP3 que tengamos en nuestra maquina.

Síntomas de la infección:
Saber si fuimos infectados por Trojan.ASF.Hijacker.gen es fácil ya que si intentamos reproducir algún de estos archivos utilizando “Windows Media Player” (y este no esta parchado) al tiempo 10 de la canción se nos abrirá una pagina de IE para que descarguemos un supuesto códec (Windows_Media_Player_Flash_Codec_Plugin.exe) necesario para escuchar correctamente el mp3 y que en realidad es parte un malware de la familia Vundo.

En caso de que usemos otro reproductor de música como por Ej. Winamp o que tengamos el parche de “Windows Media Player” (http://support.microsoft.com/kb/828026/es) no se nos abrirá la pagina ofreciéndonos el falso códec, pero de todas maneras al tiempo 10 de la canción el archivo se cortara y empezara a escuchar distorsionado.

La siguiente imagen muestra las líneas que inyecta el malware en todos sus archivos MP3

Les recomiendo ver el video de la infección realizado por el compañero “axl456” al final del post.

Método de desinfección:
En el caso que hayamos aceptado y ejecutado el falso códec en nuestro equipo la limpieza se tiene que hacer mas extensa ya que primero tendríamos que limpiar el equipo de el malware Vundo por Ej., para luego desinfectar los archivos MP3, pero en este caso nos vamos a concentrar únicamente en limpiar todos nuestros mp3 con solo ejecutar nuestra herramienta FS-MP3Fix.

Para que este funcione es muy importante que realices los pasos correctamente:

1.- Descargar la utilidad FS-MP3Fix.zip
2.- Descomprimirla en tu escritorio para que se genere la carpeta FS-MP3Fix
3.- Mover a dentro de la carpeta FS-MP3Fix todos los archivos infectados por el malware
4.- Hacer doble clic en el archivo FS-MP3Fix.exe

Esta utilidad lo que va a hacer es generar una copia limpia de malwares de cada uno de los archivos MP3 que pongas en la carpeta agregándole al final del titulo la siguiente sigla _FS, por lo que luego se pueden borrar manualmente los archivos mp3 infectados.

Método de Prevención:

Al momento de escribir este artículo cada vez son más los Antivirus que pueden prevenir esta infección, pero a su vez como en todo malware siguen saliendo mutaciones, por lo que los usuarios de Windows tienen que estar muy atentos y ser cuidadosos con todo lo que descarguen de las redes P2P y mantenerse informados leyendo el Blog de InfoSpyware.

Video de como se muestra la infección y como limpiarla con FS-MP3Fix

Esperamos que nuestra herramienta les se de ayuda en caso de estar infectados por este malware y si necesitan ayuda personalizada, ya sabes que pueden abrir un nuevo tema directamente en el foro.

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

Virus Alert! / Zlob es una nueva variante de la famosa familia Zlob del cual se están reportando varios casos a diario en el foro y dada la cantidad de modificaciones que este realiza en el sistema de la víctima, es que publicamos una guía dedicada a su eliminación y una utilidad de ayuda llamada FS-AVFix

Esta variante es muy fácil de reconocer ya que el malware se encarga de insertar la frase de “Virus Alert!” en la barra de herramientas al lado del reloj:

También nos cambia el escritorio de Windows y nos abre pop-us publicitarios de falsas soluciones Antispyware como Antivirus 2008 PRO, SpyGuarder, entre otros.

Las opciones de Windows que modifica “Virus Alert!” son:

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

A principios del mes de Junio informábamos sobre el descubrimiento de una nueva metodología en el uso de la ingeniería social para infectar a los usuarios mediante el uso de mensajes en MSN Live Messenger (MSN-Worm nuevas variantes de Malwares transmitidos por Messenger.) que incluso se han venido reportando nuevas direcciones en el foro.

Hoy hemos encontrado otra nueva variante que por el momento se distribuye como “newphoto011.jpeg-www.myspace.com” , y que seguramente vaya a seguir apareciendo otros nombres próximamente.

Esta vez, se oculta un nuevo proceso que se carga “msnp2pmgr.exe” al cual sus autores denominan “MSN P2P Manager” el cual se conecta de nuevo a xili.zerolost.org, en una serie dirección de ip’s: 64.34.203.207, 66.135.32.35, 195.137.213.67, 195.149.74.40, 195.149.74.67, 64.34.161.89, 64.34.202.227.

Como particularidad en este nuevo malware “MSN P2P Manager” encontramos que aparte de infectar el sistema de la víctima y enviarse a todos los contactos de esta, modifica el archivo HOST impidiendo el acceso a determinados sitios de seguridad y actualizaciones de los Antivirus desde el equipo infectado.

Nuestra herramienta MSNCleaner es capaz de detectar y limpiar estas variantes por medio de heurística y estamos preparando una nueva versión para evitar que nuestros sitios sean bloqueados por este.

MSNCleaner Elimina malwares que utilizan programas de mensajería instantánea, como Msn Messenger, Windows Live Messenger, entre otros.

- DESCARGÁ MSNCleaner y seguí los pasos de desinfección-

Artículos relacionados:

• Virus que se distribuye por MSN asalta a españoles y latinoamericanos

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

En este caso se trata de dos troyanos llamados: OSX.Trojan.PokerStealer y AppleScript.THT los cuales mediante la utilización de técnicas de ingeniería social intenta persuadir a sus víctimas a que ejecuten estos en sus equipos para resultar infectados.

AppleScript.THT: Se distribuye como un compilador de AppleScript, llamado ASthtv05 (60 KB de tamaño), o como una solicitud paquete llamado AStht_v06 (3,1 MB de tamaño). Se añade al proceso de login y puede efectuar una serie de funciones, incluido el logging de la pulsación de las teclas. También puede tomar imágenes a través de la cámara iSight o activar la opción de compartir archivos, según informa SecureMac.

OSX.Trojan.PokerStealer: Se distribuye por la red en canales de iChat y P2P disfrazado de programa para Mac OS X llamado “PokerGame”. Cuando es ejecutado, se activa ssh en el Mac en que está corriendo, entonces envía el nombre de usuario y contraseña hash, junto con la dirección IP del Mac, a un servidor. Se pide una contraseña de administrador después de mostrar un cuadro de diálogo diciendo: “Un archivo de preferencias corruptos se ha detectado y debe ser reparada.” Introducción de la contraseña del administrador permite el programa para cumplir su función. Después de obtener acceso ssh a un Mac, cualquier usuario malicioso pueden intentar tomar el control de ellos, borrar archivos, dañar el sistema operativo, o mucho más.

En ambos casos estos se aprovechan de un fallo dentro de Apple Remote Desktop Agent que existía tanto en Mac OS X 10.4 como en 10.5.

SecureMac advierte que el troyano se está distribuyendo a través de sitios frecuentados por usuarios maliciosos y enviado a través de iChat y Limewire.

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

Una nueva variante del troyano DNSChanger (WareOut) ha sido descubierta el pasado martes por el experto en seguridad “Brian Krebs” la cual ataca directamente a nuestro Router.

El troyano al igual que muchos otros de la familia Zlob, se disfraza como un necesario “Codec de vídeo” que al infectar nuestro sistema, intentará por medio de técnicas de “fuerza bruta”, ingresar al panel de control de nuestro Router.

Una vez que logre ingresar, DNS.Changer cambiará nuestros números de DNSs para hacer pasar todo el tráfico que tengamos en Internet, primero por los servidores controlados por sus creadores.

Esta es una muy buena técnica ya que prácticamente cuando instalamos un Router Inalámbrico solo nos preocupamos de encriptarlo para que nadie pueda tener acceso a nuestra red desde fuera, pero es muy difícil que alguien le cambie el nombre de usuario y la contraseña al panel del Router al considerarlo algo innecesario ya que solo se tiene acceso desde nuestro equipo.

Esto a partir de ahora pasa a ser un gran error ya que esta nueva variante de DNSChanger ingresa al Router desde adentro.

Un buen consejo seria de nunca dejar los logins y passwords como vienen de fábrica ya que es solo cuestión de tiempo

a que se puedan ser vulnerados de alguna manera.

Para desinfectar esta variante de DNSChanger es necesario primero limpiar el malwares del equipo, para luego resetear el Router y cambiar a nuestras DNSs, sin olvidarnos de esta vez cambiar el login y password de acceso al panel de control

El blog de seguridad “Extreme Security — Do It Securely or Not at all !”, da los siguientes consejos para que los usuarios domésticos protejan sus equipos de esta amenaza:

1. Cambie inmediatamente la contraseña actual de su router, por algo más complejo. Asegúrese de que la misma sea larga y que contenga una serie de letras, números y otros caracteres aceptados (y por supuesto, no olvide dicha contraseña).

2. Si es posible, configure su router para permitir el acceso administrativo a usuarios específicos. Esto evitará que las máquinas infectadas lleguen a su router. En algunos casos, puede combinar esto con el acceso permitido desde una determinada tarjeta de red (dirección MAC).

3. Actualice el firmware de su router a la última versión existente, para asegurarse de solucionar cualquier problema de seguridad. La página del fabricante de su equipo debe tener información sobre esto, o de lo contrario consulte con su vendedor.

4. Si es posible, cambie el puerto que se utiliza para ingresar a la interfase de gestión, por otro diferente.

5. Si el router lo permite, configure la opción que envía a una dirección de correo especificada por usted, cualquier cambio que se realice en la configuración del dispositivo.

6. Cambie el nombre de la cuenta de administrador en el router, o mejor aún, desactívela o elimínela, y cree una nueva con nombre de usuario y contraseña.

7. Instale algún tipo de detección de intrusiones en su red para detectar actividades dolosas.

8. Instale o configure un software que le permita filtrar direcciones de acceso a sitios web maliciosos y páginas que proporcionan falsos códecs.

9. Desactive UPnP en su router, porque no es un protocolo seguro. Escriba upnp + exploit + router en un buscador como Google para encontrar cientos de páginas con información con exploits y descripciones de ataques a routers mediante UPnP.

10. Bloquee el acceso a estas direcciones IP: 85.255.116.164 / 85.255.112.81

11. Utilice una herramienta como Pure Networks Security Scan (http://www.purenetworks.com/securityscan/) para explorar la seguridad de su red inalámbrica.

12. Mantenga sus equipos actualizados con las últimas actualizaciones (Windows y todas las aplicaciones que más utilice). La mayoría de los malwares mencionados, utilizan vulnerabilidades conocidas y ya corregidas para infectar su sistema.

13. Obtenga códecs de vídeo legítimos, nunca acepte instalar códecs de enlaces que aparecen cuando intenta ver un supuesto vídeo. Informe de esto a todos quienes utilicen sus equipos. El siguiente sitio puede brindarle todos los códecs necesarios, y es confiable:
http://www.free-codecs.com/download/K_lite_codec_pack.htm

14. Por supuesto, mantenga actualizado su Antivirus.

Actualizado 18 de Julio con consejos de protección proporcionados por VSAntivirus.

Les recuerdo que si su equipo se encuentra infectado por esté o cualquier otro tipo de malware y necesita ayuda para su limpieza, puede registrase y plantear su caso gratuitamente en nuestro Foro de Ayuda.

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

GPCode cifra los archivos doc, txt, pdf, jpg y ccp impidiendo su lectura, utilizando un algoritmo RSA con una clave de 1024 bits la cual hasta el momento es imposible de romper.

La raíz de los archivos infectados es modificada a ._crypt y son subidas a un archivo de texto donde se indica que es necesario contactar a una dirección anónima de correo electrónico para comprar una clave y así poder recuperar el acceso a nuestros archivos, o sea que un verdadero chantaje cibernético.

Kaspersky ha hecho un “Pedido publico de ayuda” a todas las compañías Antivirus al rededor del mundo, criptógrafos, instituciones gubernamentales y científicas, investigadores independientes, y a todo el que quiera dar una mano para intentar romper la llave pública con la que el troyano cifra los archivos y encontrar la llave privada asociada.

Pienso que en lugar de pedir ayuda para romper estas claves que es una acción prácticamente imposible y donde ellos mismos hablan de que se necesitarían un año y 15 millones de PCs, lo más productivo por parte de Kaspersky Labs seria buscar soluciones de prevención y bloqueo en lugar de desinfección.

Mirando en Hispasec me encontré con un par de comentarios de unos expertos en la materia con los cuales concuerdo totalmente y me gustaría compartirlo con ustedes:

“Mario Ballano” (48bits)

Me parece un poco desproporcionado intentar romper la llave del virus, creo que es algo que se veía venir ( de hecho cuando analizamos esa variante lo primero que pensé fue “¿por qué es tan lerdo el autor de este malware? con lo fácil que hubiera sido usar criptografía asimétrica!” ).
Personalmente me parece simplemente un movimiento mediático por parte de Kaspersky, ya que por mucho que se logre romper esa clave no se evita nada, el autor puede cambiarla en cualquier momento y es infinitamente más costoso romperla que recrearla ;-).
En fin, la solución debería ser detener la amenaza antes de que te afecte, no intentar solucionarlo a posteriori, este malware deja una ventana abierta a la recuperación de los datos (para sus propios fines claro) pero bien podría simplemente dañarlos o borrarlos y en tal caso no habría “marcha atrás”.

“VMalvarez” (Hispasec)

No cabe duda de que se trata de una jugada publicitaria. Ellos mismos reconocen que haría falta un año y 15 millones de ordenadores para romper la clave, y no creo que sean tan ingenuos para creer que van a poder reunir semejante poder de cómputo. Y esto de pedir ayuda me recuerda cuando pidieron ayuda a la policía porque decían que no podían con tanto malware suelto por el mundo. La cosa es hacerse notar.

Actualizado 18 de Junio:

• Novedades de Gpcode (Kaspersky Labs)
• Es posible recuperar datos cifrados por Gpcode.ak (Diario TI)

Desde InfoSpyware les recomendándonos hacer copias de seguridad de sus archivos importantes para estar prevenidos de cualquier de este tipo de parásitos.

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

Su objetivo como siempre es el de difundir a través de técnicas de ingeniería social, que hacen creer que las víctimas recibieron el mensaje con una enlace de una fuente confiable.

El caso particular de estos es que cuenta con cientos de sitios aleatorios para descarga de los archivos infectados que son mostrados en mensajes similares al siguiente y en donde agrega al final la dirección de Hotmail de cada una de las posibles víctimas para hacerlo más tentador a pulsar en este:

¿Es esta tu foto? hxxp//youtube-movies.net/video.php?=xxx@hotmail.com

Dónde xxx@hotmail.com es su dirección de hotmail.

Al dar clic en el enlace recibido se ejecuta el gusano e infectan nuestro PC, en este caso con el archivo wksvcsc.exe el cual a su vez nos mostrará una ventana de error para decirnos que no se puedo abrir la foto como lo muestra la imagen de abajo:

De esta manera seguirá propagándose a otros usuarios ya que se copia a sí mismo en la carpeta de Windows y se ejecuta en silencio todo el tiempo.

Como siempre recomendamos, nunca abra los enlaces incluso si vienen de sus mejores amigos, sobre todo si es un

archivo Zip, Rar. Ese, Scr,

MSNCleaner Elimina malwares que utilizan programas de mensajería instantánea, como Msn Messenger, Windows Live Messenger, entre otros.

-DESCARGÁ MSNCleaner y seguí los pasos de desinfección-

Artículos relacionados:

• 
  Virus que se distribuye por MSN asalta a españoles y latinoamericanos

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com

W32/Tixcet.A.worm

Se trata de un gusano muy destructivo, ya que borra archivos con diversas extensiones y las reemplaza con una copia de sí mismo manteniendo el mismo nombre que los archivos originales.

Afecta a las siguientes extensiones de archivos: DOC,. PPT,. MP3., MOV., ZIP. y JPG. Esto significa que podemos perder nuestras fotos, canciones, documentos de Word y otros archivos importantes para nosotros si llegamos a infectarnos con el malware Tixcet.

Además, no permite realizar copias de archivos, ya que deshabilita la opción de “Pegar” y tampoco permite copiar contenido, ya que el texto que se copia no es el seleccionado sino el establecido por el gusano.

Tixcet.A es fácil de reconocer una vez ha afectado el computador, ya que muestra los siguientes síntomas:

• Llega al computador en un archivo que tiene el ícono de un documento de Word, para así engañar al usuario y hacerle pensar que se trata de un archivo inofensivo:
  
• Cuando es ejecutado, reinicia el ordenador.
• Añade la palabra CETIX en el Área de notificación, como se puede observar en la siguiente imagen:
  

Sus actuales variantes son al momento controladas por los productos de Panda Security al momento de escribir esta nota; estaremos en nuestro laboratorio en casos de seguir detectándose otras mutaciones de este que puede llegar a convertirse en la nueva pesadilla.

Mas información sobre W32/Tixcet.A.worm

Surf Safely

Feed generado por: InfoSpyware.com Visi­tenos en nuestro foro en ForoSpyware.com