Peligros en Red
28 de febrero de 2010
Visto: 2.557
La gente alrededor del mundo está buscando en Internet la información más reciente sobre el Terremoto en Chile y el Tsunami en Hawaii, para tratar de descubrir la magnitud de la catástrofe a través de fotos o videos, saber cómo hacer donaciones y más. Por desgracia, los Ciber-criminales utilizan las crisis y eventos importantes como éste para propagar Antivirus Falsos (Rogue) utilizando técnicas de BlackHat SEO o SEO Poisoning.
El terremoto que sacudió a Chile durante la madrugada del sábado 27 tuvo una magnitud de 8.8 grados Richter y que hasta el momento continúan sus replicas esta catalogado dentro de los 5 terremotos más fuertes del mundo. Cuando los periódicos online y sitios de noticias recién se esta poniendo a producir las noticias, ya los Ciberdelincuentes posicionan sus sitios webs fraudulentos con palabras claves que hacen referencia al terremoto como “Chile Earthquake” dentro de las tres primeras páginas de Google, para que los usuarios descuidados caigan en estas y resulten infectados con un Falso Antivirus.
Seguir leyendo »
1 de diciembre de 2009
Visto: 3.637
La utilización de días festivos o acontecimientos importantes a nivel mundial son otro de los métodos aprovechados por los creadores de malwares para propagar sus infecciones de manera masiva. Esto no es una técnica nueva ya que desde siempre se ha explotado, pero que hoy en día con el auge de las redes sociales (Facebook, Twitter, etc) estos métodos de infección resultan mucho mas efectivos para conseguir nuevas victimas como ya lo esta haciendo el gusano Koobface aprovechando el clima navideño.
El método de infección no difiere mucho de sus variantes anteriores utilizando la ingeniería social aplicada a las redes sociales, solo que en este caso, los falsos vídeos a los que accederemos si seguimos el enlace publicado por alguno de nuestros amigos de Facebook que ya este infectado, fueron publicados por el mismísimo ***SantA***
Seguir leyendo »
20 de agosto de 2009
Visto: 7.821
La empresa de seguridad TrendMicro acaba de publicar un interesante artículo en el blog de su laboratorio TrendLabs, sobre el descubrimiento de hasta el momento más de 40 tipos diferentes de falsos mensajes que utiliza el gusano de las redes sociales Koobface, para que por medio de estos puedan caer usuarios desprevenidos y terminen infectados por este malware.
Twitter es la plataforma elegida por Koobface para que por medio de sus tweets más una URL corta, nos ofrezca ver un vídeo o similar como se puede ver en el listado de abajo.
Si pulsamos en alguna de esas URLs nos llevará a un sitio que imita ser el sitio de Facebook donde se nos intentará instalar un archivo llamado “setup.exe” diciéndonos que es una actualización de Flash Player y el cual es nada más y nada menos que el mismo malware Koobface.
Ver listado de falsos tweets:
Seguir leyendo »
18 de agosto de 2009
Visto: 33.209
Total Security Detalles Técnicos:
Nombre Completo: Total Security
Peligrosidad: Alta.
Tipo: Rogueware
Origen: Desconocido.
Sito web: hxxp://livetimevirusscaner
Clones: System Security 2009
Propagación: Koobface vía Facebook
Desinfección con: MalwareBytes
Total Security es otro de los nuevos Rogueware que utilizan el gusano de las redes sociales Koobface, para propagarse entre estas, principalmente Twitter y Facebook.
Si somos usuarios de alguna de estas redes sociales y nuestro PC es infectado por alguna variante de Koobface, al ingresar a alguna de estas, se enviará de forma automática y sin que nos demos cuenta, un mensaje para todos nuestros contactos/amigos con un enlace de un supuesto vídeo nuestro que dice: “Coool Video” en Facebook y “My Home Video” en Twitter, el cual para que lo puedan ver tienen que descargar una supuesta actualización de “Flash Player” que en realidad es este falso programa de seguridad “Total Security”
Una vez nuestro sistema infectado con “Total Security” este se vuelve una verdadera pesadilla para nuestro sistema emitiendo continuamente reportes y alertas de supuestas infecciones en nuestro sistema para generarnos pánico y que compremos su producto final el cual promete resolvernos todos los problemas. Lógicamente el producto final no va a resolvernos ningún problema y únicamente vamos a pasar a ser víctimas de estos ciberdelincuentes.
Seguir leyendo »
7 de agosto de 2009
Visto: 4.731
La noticia más importante del Jueves por la mañana definitivamente es el ataque de “Denegación de Servicio” (DDoS) que ha sufrido los dos principales sitios de redes sociales a nivel mundial que son Twitter y Facebook. Estos son víctimas de su propia popularidad y siempre van a ser objetivo de este tipo de ataques al igual que de hackers y spammers que mediante diferentes técnicas de ingeniería social, malwares específicos como Koodface y otras técnicas, están siempre tratando de conseguir nuevas víctimas.
Twitter fue el primero que confirmó en su blog, que su servicio no estaba disponible . ¿La razón? Un ataque de denegación de servicio (DDoS) externo. Y si bien después de estar algunas horas fuera de línea, ya se encuentran nuevamente operativos aunque todavía con algunos problemas de demoras y cortes intermitentes que esperan resolver en las próximas horas.
Facebook por su parte si bien aún no realizó ningún comunicado oficial, Kathleen Loughlin el portavoz de Facebook habló para varios sitios confirmando el corte en el servicio para “algunos de sus usuarios” a causa también de un Ataque de denegación de servicio (DDoS).
Google por su parte no confirma ni niega haber sido parte de estos ataques y únicamente se limitaron a hablar de que están colaborando con los sitios afectados para descubrir y poder combatir estos.
Como seguramente esta noticia a esta hora ya la van a poder encontrar en miles de medios en la red, la idea es explicar un poco más a fondo el tema de los DDoS a nivel general para que la gente lo entienda y no crear “pánico” sobre estos ya que a nivel usuarios estos no nos afectan para nada a nuestros PCs ni a los datos personales que podamos tener dentro de alguno de estos sitios.
Seguir leyendo »
20 de mayo de 2009
Visto: 13.349
Facebook es la red social más popular a nivel mundial actualmente y es justamente a raíz de su popularidad que cada día se centran más los ciberdelincuentes en la generación de malwares que por medio de ingeniería social afecten al mayor número de usuarios posible como lo hace el gusano W32.Koodface (Boface, koobfa)
En este caso y tal como pueden ver en la imagen de abajo, la víctima es una amiga de mi red personal de Facebook :), por lo que tuve la oportunidad de hacer las pruebas directamente con esta variante y compararla con algunas otras también de W32.Koodface (Boface, ) que han aparecido estos últimos días.
Una vez que alerté a mi amiga de la infección que tenía en su PC y que estaba distribuyendo a todos sus contactos de Facebook me pidió ayuda para desinfectar su equipo y me hizo algunas preguntas las cuales le conteste con el menor tecnicismo posible y aquí las comparto con todos ustedes.
¿Cómo me infecté con Koobface?
El bicho se trasmite por dos vías, una es la común de todos los virus, por ejemplo en un archivo adjunto en electrónicos MultiSpam, etc… pero la mayor propagación de en este caso el virus Koodface es por medio del envió de mensajes privados por Facebook y notas en el muro de tus amigos, invitándote a ver su último video o similar.
Al pulsar en el link y tal como podés ver en la imagen de abajo, te lleva a una página que imita a YouTube (pero que se llama “YuoTube”), en la que para ver el video supuestamente hay que descargar una nueva versión de Adobe Flash Player y automáticamente nos ofrece la descarga de un archivo (en este caso llamado Setup.exe) el cual es el que infecta nuestro equipo.
Seguir leyendo »
31 de marzo de 2009
Visto: 8.570
No hay rincón en la Web, Diario, Revista, Noticiero o lo que sea, que no esté hablando del famoso virus Conficker (alias Downadup) y sus variantes, más aun cuando se está generando una acumulación de miedo a la espera de que el día 1º de Abril sea el día “D” y Conficker este infectando miles de PCs en el mundo entero…
Para contrarrestar un poco tanta información errónea que encontramos en la red, hemos creado una serie de Pregunta – Respuesta de las dudas que tienen los usuarios y las respuestas reales del caso Conficker:
P: Es Conficker es el malware más peligroso?
R: No, como todo malware del tipo gusano de Internet Conficker tiene su grado de peligrosidad y en futuras variantes podría ser peor, pero actualmente hay malwares mucho más destructivos y difíciles de evitar/eliminar que este.
P: Realmente Conficker a infectado a tantos PCs en el mundo?
R: Si, esto es real, pero la diferencia es que prácticamente el 90% de estas infecciones se han dado a nivel de empresas con administradores de redes desactualizados que no tenían bien protegidos estos sistemas. En cuanto a los usuarios hogareños el número de infecciones reales de Conficker es realmente bajo y así lo podemos comprobar haciendo una búsqueda de este en el foro donde se encontraran muy pocos casos reportados. Según los reportes oficiales los más comprometidos serian China, Brasil y Rusia en un total de 150 países en total
P: Entonces porque se hizo tan famoso?
R: El secreto de su éxito ha sido una combinación de varios factores que son los medios de propagación del mismo malwares:
- Mediante una vulnerabilidad reciente de Microsoft (la cual ya fue parchada)
- Mediante redes internas en equipos con contraseñas débiles.
- Mediante llaves USB, reproductores MP3, Pendrives, Flashmemory, discos duros, etc.
Las mismas casas de Antivirus al crear herramientas específicas y hasta sitios oficiales dedicados exclusivamente a un solo malwares… Y por supuesto que los medios en general han tenido una gran cuota en su popularidad, tanto los que informan erróneamente, como los que tenemos que salir a contrarrestar con datos precisos.
P: Entonces, debemos de preocuparnos todos?
R: Si no estás ya infectado, no tendrías de qué preocuparte.
Los usuarios en general no tendrían que preocuparse más de que cualquier otra infección y con solo tener su sistema operativo Windows actualizada con el parche que resolvió la vulnerabilidad MS08-067 ya sería suficiente.
P: Qué otras medidas podemos tomar para evitar la infección de Conficker?
R: Las medidas para protegerse de Conficker son similares a las generales para protegerse contra cualquier tipo de virus.
- Contar con un Antivirus actualizado.
- Mantener Windows actualizado.
- Mantener el resto del equipo actualizado.
- Utilizar un Firewall configurado de forma adecuada.
- No usar la cuenta de Administrador como nuestra cuenta principal.
- Contar con contraseñas seguras para la red como las cuentas de usuarios.
- Deshabilitar el auto arranque (autorun) de los dispositivos extraíbles USB externos.
P: Qué puedo hacer si mi equipo esta infectado con Conficker?
R: Lo primero sería desconectar el equipo de la red para que el gusano no se pueda propagar por esta y luego probar con las diferentes herramientas específicas que ofrecen las principales casas Antivirus siguiendo nuestra guía de:
Cómo Eliminar gusano Conficker / Downadup
P: Y al final, qué va a pasar con Conficker el 1º de abril de 2009?
R: Según lo que se dice por ahí este se va a activar e infectar a todas las computadoras del mundo y va a destruir toda la Internet…
Pero la realidad es que nadie sabe a ciencia cierta (solo su creador/creadores) que va a pasar el día de mañana 1º de Abril, pero sospecho que nada va a perjudicar tanto a la red mundial, como para dejar a los ciber-delincuentes sin trabajo.
A lo sumo se espera que este genere un nuevo algoritmo que haga que los equipos YA infectados con Conficker se actualicen a una nueva versión para hacer más difícil su detección y eliminación, pero los que no están infectados no verán ni les pasara absolutamente nada.
P: Va a llover mañana en mi cuidad?
R: Esto no lo podría decir, pero lo pueden averiguar en Going to rain ;-)
Seguramente el día de mañana si estemos viendo varios reportes de Conficker y le terminen echando la culpa de todo lo que pase durante el día a este, pero el malware sigue en constante evolución a lo que no será la primera ni la última vez que escuchen de este en la red.
Actualización del 1ro de Abril del 2009.
Después de ya entradas varias horas en la famosa fecha esperada en varias partes del mundo como el apocalipsis de Conficker, paso lo que veníamos anunciando…
Seguir leyendo »
17 de febrero de 2009
Visto: 3.249
Hoy por la tarde recibí un email de mi buen amigo “Christian Van Der Henst” mejor conocido como “Cvander” (creador de los sitios Maestrosdelweb.com y Forosdelweb.com), quien me comenta que ha sido victima de un robo de identidad online.
Las consecuencias de dicho robo de identidad es que se le han apoderado del control de su cuenta de Godaddy donde maneja los DNSs de sus dominios de todos sus proyectos incluídos los principales Maestrosdelweb.com y Forosdelweb.com haciendo que estos apunten a otros servidores.
Por otro lado también se le han apoderado de varios de sus servicios online como su cuenta de Facebook, GMail, etc.. Y han solicitado acceder a otros como las cuentas de servidor web de Maestrosdelweb.com y Forosdelweb.com, la cual por suerte pudo ser frenada a tiempo.
Desde InfoSpyware.com / ForoSpyware.com queremos brindarle todo nuestro apoyo en estos momentos complicados para Cvander y el resto de su equipo y los invitamos a unirse a la campaña vía Twitter que se está realizando para presionar a la empresa Godaddy a que le devuelva el control de los dominios a @Cvander nuevamente.
Como Christian es un viajero permanente voy a darles 5 consejos para otros viajeros, a evitar ser victimas del robo de identidad online:
1.- Tratar de evitar las Wifi publicas: Esto para un viajero que necesita conexión constante desde cualquier punto es muy difícil de lograr, pero existen varios Hot Spot cobran una sola cuota o cuotas por cada vez que se desea accesar, los cuales son menos propensos a atraer piratas.
2.- Contar con un cortafuegos (firewall) activo: Esto es crucial para ayudar a proteger su información e identidad y existen varias alternativas tanto para PC (recomiendo COMODO) como para Mac (recomiendo Little Snitch) y por supuesto tener desconectado el “File Sharing” del equipo.
3.- Utilizar contraseñas seguras: Utilizando 8 caracteres como mínimo entre números y letras entremezclados, que no tengan ninguna referencia a nuestros datos personales (como fecha de nacimiento, teléfono, dirección, etc..) y por supuestos que sean diferentes en cada servicio o al menos entre los más importantes como las cuentas bancarias.
4.- Mucho cuidado en los cybers cafés: Como viajantes no siempre contamos con nuestro equipo o conexión de este a mano, por lo que debemos de recurrir a Cybers cafés para poder realizar nuestro trabajo. Es muy importante limpiar la mayor cantidad de información posible como el historial, las cookies y los temporales de Internet una vez que terminamos en estos.
5.- Estar siempre atentos: a las estafas de phishing – los correos electrónicos y sitios Web fraudulentos que se hacen pasar por empresas legítimas para engañar a la gente para que revelen información personal ya que hoy por hoy hasta el más experimentado puede caer en sus trampas.
Esperamos que esto se resuelva pronto!.
Seguir leyendo »
18 de septiembre de 2008
Visto: 6.308
Desde nuestro foro oficial estamos recibiendo varios reportes de usuarios que no pueden acceder correctamente a nuestro este así también como a poder actualizar sus programas Antivirus.
Esto es debido a nuevos malwares que están circulando por la red “VirTool:Win32/Injector.gen!D”, “Trojan.W32/Autorun.LPF” y algunas variantes de los parásitos mas populares que circulan por la red Vundo, Delf, IRCBot y Troj.Agent.
Su técnica en particular consiste en que al infectar el sistema, deshabilitan el editor del registro de Windows (Regedit), el administrador de tareas (Task Manager) y la recuperación del sistema (System Restore).
Luego para evitar que el usuario pueda investigar acerca de los síntomas que nota en su equipo y que se actualice su programa Antivirus, el troyano, modifica el fichero HOSTS de su equipo haciendo que todas las direcciones apunten a “localhost“ con el consecuente bloqueo a cualquier sitio web puesto tras este.
- En el caso del bloqueo de nuestro foro en el archivo HOSTS lo veríamos así:
127.0.0.1 www.forospyware.com
En el pasado otros malwares han utilizado esta técnica de bloqueo hacia nuestro foro como lo fue el virus W32/Cazaar!p2p reportado por McAffe en el año 2005, pero ahora es un poco mas grave ya que se trata de malwares de mayor difusión como Vundo, Delf, IRCBot y Troj.Agent.
Por lo que a nuestro usuarios que presenten problemas a la hora de entrar al foro los pasos básicos a seguir serian los siguientes:
Seguir leyendo »
22 de agosto de 2008
Visto: 1.576
Tal parece que la hermosa “Angelina Jolie” es la figura del momento utilizada por los creadores de malwares para la distribución masiva de estos. El uso de supuestos vídeos o fotos de celebridades no es nada nuevo y anteriormente hemos mostrado casos de Britney Spears, Paris Hilton y Nina Coba entre otras….
En este caso se trata de un reciente descubrimiento de la gente de Sunbelt con la particularidad que se reciben los clásicos y falsos vídeos simulando ser de YouTube que podemos encontrar por toda la red, generalmente en los sitios de pornografía, que al pulsar para ver estos nunca se abren y en su lugar nos comunican que tenemos que descargar un supuesto códecs necesario para poder ver este que no es mas que el mismo troyano .
Los vídeos se muestran como la imagen de abajo:
.
Si pulsamos en el vídeo que se muestra en la imagen nos descargara un archivo llamado video.avi.exe el cual es parte del troyano que su vez nos hará descargar falsas soluciones Antivirus como Antivirus XP 2008 y similares familias de Zlob
Seguir leyendo »
