23 de abril de 2008

Visto: 558

Managedns404.com + AntiSpyware Shield.

Managedns404.com es un nuevo método utilizado por la familia de malwares Zlob / PSGuard con el mismo objetivo de siempre: el de engañar al usuarios para vender sus falsos productos.

Managedns404.com se trata de una página web que a simple vista (ver la imagen contigua de nuestra investigación), nos muestra el parece el clásico error de Windows al no poder encontrar un página web (error 404), pero en este caso con algunas opciones extra.

La nueva metodología es

1. - Te infectás con una variante de Zlob o Vundo.
2. - Este hace que al realizar una búsqueda en tu navegador (sea este IE, Firefox u Opera), te lleve al falso sitio.
3. - El sitio nos mostrará una falsa advertencia de seguridad advirtiéndonos de contener adware en nuestro sistema.
4. - El sitio nos ofrecerá como recomendación nada más y nada menos que a el falso “AntiSpyware Shield”
5. - Cuando descarguemos y ejecutemos “AntiSpyware Shield” este nos va a detectar muchos posibles malwares y nos va a recomendar el uso de su versión paga y completa para eliminarlo.

Algunos podrán decir que son muchos pasos para engañar y vender un producto, y si lo parecen, pero es tan grande la distribución y la capacidad de los malwares Zlob y Vundo que hacen que sean cientos de miles los usuarios que caigan en su juego y terminen pagando por esta estafa.

El texto original y la traducción de la página dicen más o menos así:

The page you are looking for is probably blocked by adware/spyware on your PC. Remove it with AntiSpyware Shield software. Click here.
The page cannot be displayed
The page you are looking for is currently unavailable. The Web site might be experiencing technical difficulties, or you may need to adjust your browser settings.
Please try the following:
* Install AntiSpyware Shield software to clean your PC…
* If you would like Windows to try and discover them, click Detect Network Settings…
* Download AntiSpyware Shield to remove spyware and adware threats.

En español: Seguir leyendo »

22 de abril de 2008

Visto: 566

WinSpywareProtect = Nuevo Rogue AntiSpyware.

WinSpywareProtect , es un nuevo miembro de la familia de los “Falsos Antispywares” (Rogue).

WinSpywareProtect es instalado de forma ilegal, por ejemplo, a través de malwares como Zlob, Vundo, Spamming o mediante falsas alertas (ingeniería social) que pretenderán engañar al usuarios a descargar este.

En las pruebas realizadas en InfoSpyware.com pudimos comprobar que:

• Su sitio web muestra falsos premios y centros de descarga (Softpedia.com MayorGeeks, PCMagazine) que en realidad ni premiaron ni ofrecen este programa..
• Ofrece dos tipos de escaneo, uno Online y otro descargando directo el programa al equipo..
• En el escaneo online siempre nos va a detectar alguna infección y nos va a ofrecer descargar el archivo “setup1.exe” que es la versión de evaluación de WinSpywareProtect..
• El realizar un análisis con su versión de evaluación, este a diferencia de otros si se toma un poco mas de tiempo para hacerlo mas creíble, mientras vemos como supuestamente revisa uno a uno nuestro archivos, solo que sus resultados van a ser siempre de no solo muchas infecciones detectadas, sino de rutas de archivos que no existen en nuestro sistema..
• Este muestra advertencias permanentes de infecciones en nuestro sistema y usan una imagen bastante similar a la que usaban las versiones de Nod32 Antivirus 2.x, tal como se muestra en la imagen de mas abajo..
• Al desinstalar el programa desde “Agregar/Quitar Programas” este no se desinstalara por completo (aunque muestre que si) y nos seguirá abriendo continuamente las molestas ventanas de advertencias en rojo para que compremos su producto..
• Fue necesario el uso de HijackThis y MalwareByte Anti-Malware para poder eliminar completamente este y toda su basura.  Seguir leyendo »

21 de abril de 2008

Visto: 323

PrivacyWatcher – Nuevo Rogue AntiSpyware.

PrivacyWatcher , es un nuevo miembro de la familia de los “Falsos Antispywares” (Rogue) descubierto el día de hoy que al igual que sus primos mas cercanos VirusHeat, IE Defender y  Malware Bell 3.2, utiliza técnicas de ingeniería social para conseguir nuevas víctimas.

PrivacyWatcher es el típico “Falso Antispyware” el cual en un supuesto análisis del sistema que le lleva solo segundos, tal como lo muestra en la imagen que obtuvimos en nuestras pruebas, este nos va a mostrar un gran numero de infecciones detectadas de alta importancia y a los que nos ofrece la opción de comprar su producto para limpiar nuestro PC.

Lógicamente este escaneo es tan falso como su mismo programa y mas haya que nuestro equipo pudiera estar infectado realmente con algún tipo de malware, la compra de este producto no solo nos nos va a ayudar en nada, y pasaremos a ser una víctima mas de estos ciberdelincuentes.

Como se muestra en la imagen de abajo, PrivacyWatcher también intentan engañarnos mostrándonos avisos de malwares encontrados en varios archivos pornográficos que en realidad no existen en nuestro PC, para de esa forma intentar intimidándonos y que caigamos en su red. Seguir leyendo »

18 de abril de 2008

Visto: 342

SoftHomePage.com Nuevo Hijacker.

SoftHomePage.com es el mas reciente Hijackers detectado perteneciente a  la familia de Troyanos Zlob / PSGuard.

Al infectarnos con SoftHomePage, este se encarga de cambiarnos la pagina de inicio de “Internet Explorer” por la de SoftHomePage.com y nos agrega su barra de herramientas llamada Security Toolbar 7.1.

Cada vez que abramos nuestro navegador y salga la pagina SoftHomePage nos mostrara  una falsa advertencia de infección por el malwares W32.Myzor.FK@yf y como solución nos ofrece un “falso Antispyware” para quitar la infección. Por supuesto todo es una truchada. (mentira)

Este malware no solo nos cambia la página de inicio por SoftHomePage.com sino que también pone dos iconos en el escritorio que apuntan a otras de sus tantos sitios relacionados como se muestra en el listado al final de este post y que estos usaran técnicas similares para convencernos de instalar sus falsos productos como “AntiSpyware Shield, Win SpyKiller, Virusheat, Virusheat 4.3, etc..”

Estos son otros sitios Hijackers encontrados el día de hoy.
85.255.116.210 softhomepage (.) com
85.255.118.179 swfutility (.) com (fake codec)
85.255.120.107 flwcoupler (.) com (fake codec)
85.255.118.213 secureinstruct (.) com
85.255.118.214 safetyalertings (.) com
85.255.118.210 gatece (.) com
85.255.118.34 gateds (.) com Seguir leyendo »

17 de abril de 2008

Visto: 405

Firefox 2.0.0.14, actualización de seguridad

La fundación Mozilla acaba de liberar una nueva versión de Firefox 2.0.0.14, que ya está disponible para los sistemas Windows, Mac y Linux respectivamente.

Puede realizar su descarga gratuita desde http://getfirefox.com en nuestro idioma de preferencia (incluido Español.)

En esta ocasión se soluciono únicamente un bug encontrado en JavaScript (Crash in JavaScript garbage collector)

Recomendamos encarecidamente que todos los usuarios de Firefox actualización a esta última versión.

Si ya dispones de Firefox 2.x, recibirás una notificación de actualización automática dentro de las 24 a 48 horas. Esta actualización también se puede aplicar manualmente seleccionando “Buscar actualizaciones…” en el menú Ayuda.

Descarga Firefox 2.0.0.14 con la barra de Google.

Para evitar Virus, Spyware y ventanas emergentes, en InfoSpyware recomendamos navegar con: FIREFOX

17 de abril de 2008

Visto: 1.011

Blogs de WordPress en peligro

La gente de ESET Latinoamérica acaba de publicar una investigación muy interesante que queremos compartir con todos ustedes y que requiere de especial atención sobre todo para los bloglers que todavía no actualizan a la ultima versión de WordPress 2.5

Desde hace unos días se ha comenzado a reportar gran cantidad de malware residente en blogs que utilizan WordPress en su versión 2.3.2. y 2.3.3.

Realizando una búsqueda en Google se pueden hallar alrededor de 40.000 sitios modificados a los cuales se le ha agregado una línea invocando un script dañino, como ya nos tienen acostumbrados los atacantes.

Al ingresar a cualquiera de estos sitios, se puede apreciar una supuesta imagen en la parte superior, pero que si se visualiza el código fuente en realidad es una llamada a una función JavaScript ofuscada y dañina que descarga un troyano al equipo del usuario.

Al momento de publicar el presente, se desconoce la metodología utilizada por los atacantes para modificar los sitios, pero se cree que puede ser una vulnerabilidad 0-day para esta plataforma o en un plugin de la misma que permitiría un ataque de SQL Injection.

Actualización 20:00: ya existen algunos conocidos blogs hispanos que están siendo bloqueados por Google debido a que presentan material peligroso:

Seguir leyendo »

16 de abril de 2008

Visto: 7.454

MSNworm.EI nuevo virus por MSN

W32/MSNworm.EI.worm es un nuevo integrante de la familia de malwares que se transmiten por mensajería privada (MSN Messenger Live!) detectado y eliminado por nuestra herramienta MSNCleaner.

Como en la mayoría de los casos, se engaña al usuario para que descargue un archivo, haciéndole creer algo contrario a su verdadero fin, el cual es introducir en el sistema el archivo nocivo, a esto se le conoce como Ingeniería Social.

Pero en el caso de MSNworm.EI.worm, agrega una particularidad extra para hacer mas llamativo su archivo y es que al hacer clic sobre este nos muestra una divertida imagen de un “chancho/cerdo” (chochan) tirándonos un beso, mientras que este esta infectando nuestro equipo…..

Mientras que estamos viendo la divertida imagen del chanchito, se nos esta instalando el Backdoor IRCBot.BWB agregando el archivo REP38_D.EXE en nuestro sistema y empezando a enviar este malware a toda la lista de contacto de nuestro MSN, por lo que ya deja de ser divertida la imagen y convertirse en un dolor de cabeza.

Las variantes pertenecientes a la familia IRCBot están diseñados para conectarse a varios servidores IRC y recibir comandos de control remoto.

Síntomas Visibles
MSNworm.EI es fácil de reconocer, ya que llega al computador a través del programa de mensajería instantánea MSN Messenger, en un mensaje instantáneo que contiene un archivo.

¿Como prevenir?

Cuando recibas un mensaje repentino de uno de tu contactos, el cual invite a descargar un archivo, inmediatamente pregunte al contacto si el envió el archivo, si su respuesta es NO, no descargue el archivo e informe al contacto que probablemente tenga un malware, para que revise el sistema con las herramientas específicas.

MSNCleaner.exe Elimina malwares que utilizan programas de mensajería instantánea, como Msn Messenger, Windows Live Messenger, entre otros.

-DESCARGÁ MSNCleaner y seguí los pasos de desinfección-

Artículos relacionados:

• Virus que se distribuye por MSN asalta a españoles y latinoamericanos

15 de abril de 2008

Visto: 597

Nuevo Ad-Aware 2008 Beta!

El día de hoy la gente de Lavasoft hace publica para su entorno de “BETA Testers” la nueva versión del ya conocido Ad-Aware 2008 Beta. Se espera que la versión final de Ad-Aware 2008 sea lanzada para la primavera del presente año.
Para probar esta nueva versión tienen que registrarse gratuitamente como beta tester de Lavasoft, de donde podrán descargar el programa, reportar bugs, y sugerir mejoras entre otras cosas.

Desde InfoSpyware.com ya estamos haciendo algunas pruebas con Ad-Aware 2008 BETA y próximamente estaremos informándolos desde el blog.

Actualización del 15 de Mayo 2008:
La gente de Lavasoft nos informa que el lanzamiento oficial de la nueva versión final de Ad-Aware 2008, estará disponible el miércoles, 21 de mayo a las 12 del mediodía (hora central europea).

.

Entre las nuevas características podremos encontrar:

15 de abril de 2008

Visto: 891

Video Activex Object Error

Video Activex Object Error, es un malware de la familia de los “Falsos codecs” de vídeo del cual diariamente estamos recibiendo cientos de casos en el foro y que limpiamos mediante el uso de HijackThis y nuestra herramienta gratuita DelPSGuard.
Este generalmente aparece en forma de error al intentar ver uno de estos falsos vídeos y actualmente como muestra en la imagen continua, utiliza sitios y formatos similar a los vídeos de YouTube para engañarnos mejor.

Al instalar este falso codec de vídeo estamos permitiendo la entrada de un troyano como Trojan.Codec/Zlob el cual se encargara de producirnos falsos mensajes de seguridad acerca de virus y spywares encontrados en nuestro equipo.

También se nos instalara la barra de herramientas spyware SecurityToolbar7.1 en “Internet Explorer” y nos cambiara la pagina de inicio por “asecurityassurance .com” o similar.

El mensaje abre una ventana con el siguiente texto:

You browser cannot display this video file. You need to download new version of Video ActiveX Object to play this video file.

“Su navegador no puede mostrar este archivo de vídeo. Necesita descargar la nueva versión de Vídeo ActiveX Object Error para reproducir este archivo de vídeo.”.

El objetivo de estas falsas alertas es asustarnos para forzarnos a comprar falsos programas Antispywares como VirusHeat, VirusHeat 4.3, Virusprotect entre otros de la larga lista de programas Antispywares Sospechoso o no Confiables. (Rogue)

En la imagen de abajo podemos ver como se presenta Video Activex Object Error en un reporte de HijackThis:

SI LAMENTABLEMENTE SU EQUIPO YA FUE INFECTADO POR ESTE TIPO DE PARÁSITO POR FAVOR NO PIDA AYUDA EN ESTE TEMA QUE ES NETAMENTE INFORMATIVO Y SIGA LOS PASO DE ESTE ARTICULO PARA ELIMINAR SPYAXE, PSGUARD Y TODAS SUS VARIANTES, O PIDA AYUDA CREANDO UN NUEVO TEMA EN EL FORO.

Surf Safely

15 de abril de 2008

Visto: 252

El primer malware de las Olimpíadas 2008

Como todos sabemos las Olimpíadas Beijing 2008 están a punto de comenzar, por lo que es normal que ya se comiencen a detectar los primeros malwares que hace alusión a esta y mas aprovechando los conflictos entre China y el Tíbet y seguramente en la medida que nos acerquemos al comienzo de estas, estemos viendo mas gente aprovechándose de estos para distribuir su malware.

En este caso se trata de una investigación realizada por la gente de McAfee Avert Labs quienes el día de ayer reportaban haber recibido el primero Rootkit / Keylogger de las olimpiadas 2008.

Al principio parecía una simple presentación en flash, por lo menos a juzgar por el icono.
Al ejecutar el archivo, llamado RaceForTibet.EXE, se visualiza una historieta con un gimnasta chino muy experto que realiza un cierto ejercicio asombroso enrollado en un “vaulting Bbox” para el que el jurado le otorgó un 0 , al mismo tiempo que le daba una descarga eléctrica!

Luego, mientras se repite el ejercicio del gimnasta, visualiza unas cuantas fotografías bastante brutales de acontecimientos verídicos, ocurridos entre China y el Tíbet, como una visión retrospectiva. Como investigadores de malwares, no podíamos evitar mirar más a fondo para ver si había cualquier cosa más que una crítica política sobre los acontecimientos que ocurrían en Tíbet y China.

A continuación decidimos utilizar el “McAfee Rootkit detective” para saber si había procesos ocultos y demás y resultó que algunos archivos habían sido instalados sigilosamente en el PC! En ellos tenemos el rootkit del Tibetano en cuestión:

Como puede verse, unos cuantos archivos ahora están escondidos en el sistema y se ocultan totalmente de la vista de cualquier “usuario-normal”.

El archivo original (RaceforTibet.EXE) crea una copia en archivo llamado “dopydwi.sys” en la carpeta de sistema (Windows/System32 en XP)

Dicho rootkit es además un keylogger que se presenta como mensaje político.

El archivo del DOPYDWI.DLL creado en el sistema va a ser utilizado para hacer keylogging real. Con ello crea un fichero diario que es ocultado y guardado en el sistema (dopydwi.log) almacenando toda la información recopilada en la máquina infectada.

El IP remoto a donde se envían estos datos está ubicado en China (bastante chistoso al aparentar ser propaganda política anti-china…).

¿Van a ver los Juegos Olímpicos? Si es así que no sea en los ejecutables flash que llegan por correo electrónico.

Visto en McAfee Avert Labs