Nuevos Malwares
26 de junio de 2008
Visto: 746
En las últimas semanas se vienen reportado más nuevos Troyanos destinados a atacar a usuarios de MAC’s los cuales hasta ahora este problema era solo para usuarios de PC’s.
En este caso se trata de dos troyanos llamados: OSX.Trojan.PokerStealer y AppleScript.THT los cuales mediante la utilización de técnicas de ingeniería social intenta persuadir a sus víctimas a que ejecuten estos en sus equipos para resultar infectados.
AppleScript.THT: Se distribuye como un compilador de AppleScript, llamado ASthtv05 (60 KB de tamaño), o como una solicitud paquete llamado AStht_v06 (3,1 MB de tamaño). Se añade al proceso de login y puede efectuar una serie de funciones, incluido el logging de la pulsación de las teclas. También puede tomar imágenes a través de la cámara iSight o activar la opción de compartir archivos, según informa SecureMac.
OSX.Trojan.PokerStealer: Se distribuye por la red en canales de iChat y P2P disfrazado de programa para Mac OS X llamado “PokerGame”. Cuando es ejecutado, se activa ssh en el Mac en que está corriendo, entonces envía el nombre de usuario y contraseña hash, junto con la dirección IP del Mac, a un servidor. Se pide una contraseña de administrador después de mostrar un cuadro de diálogo diciendo: “Un archivo de preferencias corruptos se ha detectado y debe ser reparada.” Introducción de la contraseña del administrador permite el programa para cumplir su función. Después de obtener acceso ssh a un Mac, cualquier usuario malicioso pueden intentar tomar el control de ellos, borrar archivos, dañar el sistema operativo, o mucho más.
En ambos casos estos se aprovechan de un fallo dentro de Apple Remote Desktop Agent que existía tanto en Mac OS X 10.4 como en 10.5. Seguir leyendo »
14 de junio de 2008
Visto: 1.850
Una nueva variante del troyano DNSChanger (WareOut) ha sido descubierta el pasado martes por el experto en seguridad “Brian Krebs” la cual ataca directamente a nuestro Router.
El troyano al igual que muchos otros de la familia Zlob, se disfraza como un necesario “Codec de vídeo” que al infectar nuestro sistema, intentará por medio de técnicas de “fuerza bruta”, ingresar al panel de control de nuestro Router.
Una vez que logre ingresar, DNSChanger cambiará nuestros números de DNSs para hacer pasar todo el tráfico que tengamos en Internet, primero por los servidores controlados por sus creadores.
Esta es una muy buena técnica ya que prácticamente cuando instalamos un Router Inalámbrico solo nos preocupamos de encriptarlo para que nadie pueda tener acceso a nuestra red desde fuera, pero es muy difícil que alguien le cambie el nombre de usuario y la contraseña al panel del Router al considerarlo algo innecesario ya que solo se tiene acceso desde nuestro equipo.
Esto a partir de ahora pasa a ser un gran error ya que esta nueva variante de DNSChanger ingresa al Router desde adentro.
Un buen consejo seria de nunca dejar los logins y passwords como vienen de fábrica ya que es solo cuestión de tiempo
a que se puedan ser vulnerados de alguna manera.
Para desinfectar esta variante de DNSChanger es necesario primero limpiar el malwares del equipo, para luego resetear el Router y cambiar a nuestras DNSs, sin olvidarnos de esta vez cambiar el login y password de acceso al panel de control
Desde @InfoSpyware les recomendamos los siguientes consejos para que los usuarios domésticos protejan sus equipos de esta amenaza:
1. Cambie inmediatamente la contraseña actual de su router, por algo más complejo. Asegúrese de que la misma sea larga y que contenga una serie de letras, números y otros caracteres aceptados (y por supuesto, no olvide dicha contraseña).
2. Si es posible, configure su router para permitir el acceso administrativo a usuarios específicos. Esto evitará que las máquinas infectadas lleguen a su router. En algunos casos, puede combinar esto con el acceso permitido desde una determinada tarjeta de red (dirección MAC).
3. Actualice el firmware de su router a la última versión existente, para asegurarse de solucionar cualquier problema de seguridad. La página del fabricante de su equipo debe tener información sobre esto, o de lo contrario consulte con su vendedor.
4. Si es posible, cambie el puerto que se utiliza para ingresar a la interface de gestión, por otro diferente.
5. Si el router lo permite, configure la opción que envía a una dirección de correo especificada por usted, cualquier cambio que se realice en la configuración del dispositivo.
6. Cambie el nombre de la cuenta de administrador en el router, o mejor aún, desactívela o elimínela, y cree una nueva con nombre de usuario y contraseña.
7. Instale o configure alguna Suite de Seguridad (o arme la suya propia) que contenga aparte del Antimalwares, un Firewall y filtro que le permita filtrar direcciones de acceso a sitios web maliciosos y páginas que proporcionan falsos códecs.
8. Desactive UPnP en su router, porque no es un protocolo seguro. Escriba upnp + exploit + router en un buscador como Google para encontrar cientos de páginas con información con exploits y descripciones de ataques a routers mediante UPnP.
9. Bloquee el acceso a estas direcciones IP: 85.255.116.164 / 85.255.112.81
10. Mantenga sus equipos actualizados con las últimas actualizaciones (Windows y todas las aplicaciones que más utilice). La mayoría de los malwares mencionados, utilizan vulnerabilidades conocidas y ya corregidas para infectar su sistema. Por supuesto, también su Antivirus y programas de seguridad.
11. Obtenga códecs de vídeo legítimos, nunca acepte instalar códecs de enlaces que aparecen cuando intenta ver un supuesto vídeo. Informe de esto a todos quienes utilicen sus equipos. El siguiente sitio puede brindarle todos los códecs necesarios, y es confiable: http://www.free-codecs.com/download/K_lite_codec_pack.htm.
.
Adicionalmente:
Compruebe si su equipo esta infectado: “DNS Changer Working Group (DCWG)”
Les recuerdo que si su equipo se encuentra infectado por esté o cualquier otro tipo de malware y necesita ayuda para su limpieza, puede registrase y plantear su caso gratuitamente en nuestro Foro de Ayuda.
.
Guía para eliminar DNSChanger – Redirecciones en las búsquedas de Internet
.
.
Surf Safely
11 de junio de 2008
Visto: 919
Desde hace unos días la gente de Kaspersky Labs publicó la noticia de haber descubierto una nueva y peligrosa variante del malware GPCode del cual según cuentan, fueron los primeros en descubrir las primeras variantes de este pero con claves más pequeñas en el 2006.
GPCode cifra los archivos doc, txt, pdf, jpg y ccp impidiendo su lectura, utilizando un algoritmo RSA con una clave de 1024 bits la cual hasta el momento es imposible de romper.
La raíz de los archivos infectados es modificada a ._crypt y son subidas a un archivo de texto donde se indica que es necesario contactar a una dirección anónima de correo electrónico para comprar una clave y así poder recuperar el acceso a nuestros archivos, o sea que un verdadero chantaje cibernético.
Kaspersky ha hecho un “Pedido publico de ayuda” a todas las compañías Antivirus al rededor del mundo, criptógrafos, instituciones gubernamentales y científicas, investigadores independientes, y a todo el que quiera dar una mano para intentar romper la llave pública con la que el troyano cifra los archivos y encontrar la llave privada asociada.
Pienso que en lugar de pedir ayuda para romper estas claves que es una acción prácticamente imposible y donde ellos mismos hablan de que se necesitarían un año y 15 millones de PCs, lo más productivo por parte de Kaspersky Labs seria buscar soluciones de prevención y bloqueo en lugar de desinfección.
Mirando en Hispasec me encontré con un par de comentarios de unos expertos en la materia con los cuales concuerdo totalmente y me gustaría compartirlo con ustedes:
“Mario Ballano” (48bits)
Me parece un poco desproporcionado intentar romper la llave del virus, creo que es algo que se veía venir ( de hecho cuando analizamos esa variante lo primero que pensé fue “¿por qué es tan lerdo el autor de este malware? con lo fácil que hubiera sido usar criptografía asimétrica!” ).
Personalmente me parece simplemente un movimiento mediático por parte de Kaspersky, ya que por mucho que se logre romper esa clave no se evita nada, el autor puede cambiarla en cualquier momento y es infinitamente más costoso romperla que recrearla ;-).
En fin, la solución debería ser detener la amenaza antes de que te afecte, no intentar solucionarlo a posteriori, este malware deja una ventana abierta a la recuperación de los datos (para sus propios fines claro) pero bien podría simplemente dañarlos o borrarlos y en tal caso no habría “marcha atrás”.
“VMalvarez” (Hispasec)
No cabe duda de que se trata de una jugada publicitaria. Ellos mismos reconocen que haría falta un año y 15 millones de ordenadores para romper la clave, y no creo que sean tan ingenuos para creer que van a poder reunir semejante poder de cómputo. Y esto de pedir ayuda me recuerda cuando pidieron ayuda a la policía porque decían que no podían con tanto malware suelto por el mundo. La cosa es hacerse notar.
Actualizado 18 de Junio:
5 de junio de 2008
Visto: 4.175
Desde el día de ayer estamos recibiendo de nuestros usuarios en España, Argentina y Perú, nuevas muestras del malwares MSN IM-worm en el Canal de InfoSpyware en BC las cuales estamos analizando para incluirlas cuanto antes en la próxima versión de nuestra herramienta MSNCleaner
Su objetivo como siempre es el de difundir a través de técnicas de ingeniería social, que hacen creer que las víctimas recibieron el mensaje con una enlace de una fuente confiable.
El caso particular de estos es que cuenta con cientos de sitios aleatorios para descarga de los archivos infectados que son mostrados en mensajes similares al siguiente y en donde agrega al final la dirección de Hotmail de cada una de las posibles víctimas para hacerlo más tentador a pulsar en este:
¿Es esta tu foto? hxxp//youtube-movies.net/video.php?=[email protected]
Dónde xxx@hotmail.c[email protected] es su dirección de hotmail.
Al dar clic en el enlace recibido se ejecuta el gusano e infectan nuestro PC, en este caso con el archivo wksvcsc.exe el cual a su vez nos mostrará una ventana de error para decirnos que no se puedo abrir la foto como lo muestra la imagen de abajo:
De esta manera seguirá propagándose a otros usuarios ya que se copia a sí mismo en la carpeta de Windows y se ejecuta en silencio todo el tiempo.
Como siempre recomendamos, nunca abra los enlaces incluso si vienen de sus mejores amigos, sobre todo si es un
Seguir leyendo »
4 de junio de 2008
Visto: 554
W32/Tixcet.A.worm es un nuevo malware descubierto el día de ayer por la gente de PandaLabs
Se trata de un gusano muy destructivo, ya que borra archivos con diversas extensiones y las reemplaza con una copia de sí mismo manteniendo el mismo nombre que los archivos originales.
Afecta a las siguientes extensiones de archivos: DOC,. PPT,. MP3., MOV., ZIP. y JPG. Esto significa que podemos perder nuestras fotos, canciones, documentos de Word y otros archivos importantes para nosotros si llegamos a infectarnos con el malware Tixcet.
Además, no permite realizar copias de archivos, ya que deshabilita la opción de “Pegar” y tampoco permite copiar contenido, ya que el texto que se copia no es el seleccionado sino el establecido por el gusano.
Tixcet.A es fácil de reconocer una vez ha afectado el computador, ya que muestra los siguientes síntomas:
- Llega al computador en un archivo que tiene el ícono de un documento de Word, para así engañar al usuario y hacerle pensar que se trata de un archivo inofensivo:
- Cuando es ejecutado, reinicia el ordenador.
- Añade la palabra CETIX en el Área de notificación, como se puede observar en la siguiente imagen:
Sus actuales variantes son al momento controladas por los productos de Panda Security al momento de escribir esta nota; estaremos en nuestro laboratorio en casos de seguir detectándose otras mutaciones de este que puede llegar a convertirse en la nueva pesadilla. Seguir leyendo »
4 de junio de 2008
Visto: 425
Storm Worm! no estaba muerto, no, no, no, estaría de parranda !!! (como dice la canción) ya que a partir de este mes y después de experimentar con diferentes formas de infección, nuevamente vuelven a reportare los clásicos emails de SPAM del gusano de la tormenta.
Los mensajes de correo electrónico vienen con mensajes de amor en el asunto tales como: “Lonely without you” y “Just you and me”. Estos mensajes contienen una pequeña línea de texto seguida por una URL que nos lleva a una página similar a esta:
En esta página encontraremos otro enlace que descarga el archivo “loveyou.exe“, que es la última variante del gusano de la tormenta (Storm Worm! ).
Un poco de historia:
Strom Worm fue detectado por primera vez el 17 de enero de 2007 y ha crecido a una dimensión nunca vista antes. Storm ha sido denominado de muchas formas: troyano, red bot, gusano, motor de spam, red de denegación de servicio distribuida (DDoS). Estos múltiples nombres indican las numerosas características que posee Storm y el hecho es que se trata de una nueva clase de malware: una plataforma de ataque reutilizable. Storm coordina los ataques de correo electrónico y Web en un sistema de dos fases, en el que parte de los ordenadores zombies o bots de la red Storm se dedican a enviar spam y otra parte de los mismos actúan cómo servidores de páginas web maliciosas.
De todas maneras y para tranquilidad de nuestros usuarios, queremos comentar que en la actualidad son cada días más rapidamente detectadas y controladas estas nuevas variantes por parte de la mayoría de los programas de seguridad y eso hace Seguir leyendo »
16 de abril de 2008
Visto: 7.504
W32/MSNworm.EI.worm es un nuevo integrante de la familia de malwares que se transmiten por mensajería privada (MSN Messenger Live!) detectado y eliminado por nuestra herramienta MSNCleaner.
Como en la mayoría de los casos, se engaña al usuario para que descargue un archivo, haciéndole creer algo contrario a su verdadero fin, el cual es introducir en el sistema el archivo nocivo, a esto se le conoce como Ingeniería Social.
Pero en el caso de MSNworm.EI.worm, agrega una particularidad extra para hacer mas llamativo su archivo y es que al hacer clic sobre este nos muestra una divertida imagen de un “chancho/cerdo” (chochan) tirándonos un beso, mientras que este esta infectando nuestro equipo…..
Mientras que estamos viendo la divertida imagen del chanchito, se nos esta instalando el Backdoor IRCBot.BWB agregando el archivo REP38_D.EXE en nuestro sistema y empezando a enviar este malware a toda la lista de contacto de nuestro MSN, por lo que ya deja de ser divertida la imagen y convertirse en un dolor de cabeza.
Las variantes pertenecientes a la familia IRCBot están diseñados para conectarse a varios servidores IRC y recibir comandos de control remoto.
Síntomas Visibles
MSNworm.EI es fácil de reconocer, ya que llega al computador a través del programa de mensajería instantánea MSN Messenger, en un mensaje instantáneo que contiene un archivo.
¿Como prevenir?
Cuando recibas un mensaje repentino de uno de tu contactos, el cual invite a descargar un archivo, inmediatamente pregunte al contacto si el envió el archivo, si su respuesta es NO, no descargue el archivo e informe al contacto que probablemente tenga un malware, para que revise el sistema con las herramientas específicas.
MSNCleaner.exe Elimina malwares que utilizan programas de mensajería instantánea, como Msn Messenger, Windows Live Messenger, entre otros.
-DESCARGÁ MSNCleaner y seguí los pasos de desinfección-
Artículos relacionados:
15 de abril de 2008
Visto: 254
Como todos sabemos las
Olimpíadas Beijing 2008 están a punto de comenzar, por lo que es normal que ya se comiencen a detectar los primeros
malwares que hace alusión a esta y mas aprovechando los conflictos entre China y el Tíbet y seguramente en la medida que nos acerquemos al comienzo de estas, estemos viendo mas gente aprovechándose de estos para distribuir su malware.
En este caso se trata de una investigación realizada por la gente de McAfee Avert Labs quienes el día de ayer reportaban haber recibido el primero Rootkit / Keylogger de las olimpiadas 2008.
Al principio parecía una simple presentación en flash, por lo menos a juzgar por el icono.
Al ejecutar el archivo, llamado RaceForTibet.EXE, se visualiza una historieta con un gimnasta chino muy experto que realiza un cierto ejercicio asombroso enrollado en un “vaulting Bbox” para el que el jurado le otorgó un 0 , al mismo tiempo que le daba una descarga eléctrica!
Luego, mientras se repite el ejercicio del gimnasta, visualiza unas cuantas fotografías bastante brutales de acontecimientos verídicos, ocurridos entre China y el Tíbet, como una visión retrospectiva. Como investigadores de malwares, no podíamos evitar mirar más a fondo para ver si había cualquier cosa más que una crítica política sobre los acontecimientos que ocurrían en Tíbet y China.
A continuación decidimos utilizar el “McAfee Rootkit detective” para saber si había procesos ocultos y demás y resultó que algunos archivos habían sido instalados sigilosamente en el PC! En ellos tenemos el rootkit del Tibetano en cuestión:
Como puede verse, unos cuantos archivos ahora están escondidos en el sistema y se ocultan totalmente de la vista de cualquier “usuario-normal”.
El archivo original (RaceforTibet.EXE) crea una copia en archivo llamado “dopydwi.sys” en la carpeta de sistema (Windows/System32 en XP)
Dicho rootkit es además un keylogger que se presenta como mensaje político.
El archivo del DOPYDWI.DLL creado en el sistema va a ser utilizado para hacer keylogging real. Con ello crea un fichero diario que es ocultado y guardado en el sistema (dopydwi.log) almacenando toda la información recopilada en la máquina infectada.
El IP remoto a donde se envían estos datos está ubicado en China (bastante chistoso al aparentar ser propaganda política anti-china…).
¿Van a ver los Juegos Olímpicos? Si es así que no sea en los ejecutables flash que llegan por correo electrónico.
Visto en McAfee Avert Labs
2 de abril de 2008
Visto: 851
Cualquier persona que esté relacionada con Internet reconoce el nombre de Google….. Bueno, que mejor que aprovechar la gran popularidad del nombre de Google para engañar a los usuarios haciéndose pasar por un servicio de esta compañía, pero que en realidad no lo es. Seguir leyendo »
9 de febrero de 2008
Visto: 451
Recientemente comenzó a distribuirse por la red un nuevo exploit que aprovecha una vulnerabilidad en la versión del navegador Safari para el iPhone y también el iPod Touch.
Los dispositivos vulnerables son aquellos que poseen desde el firmware 1.0.2 hasta el 1.1.3, incluidas las flamantes versiones de 16GB.
El ataque se consigue con sólo visitar un sitio que incluya dicho código malicioso, provocando una sobreexigencia de memoria y finalmente un colapso del iPhone o el iPod Touch.
Hasta el momento Apple no ha ofrecido ninguna solución, por lo que -momentaneamente- se recomienda que desactiven JavaScript en el navegador.
Fuente: BlogAntiviris
