Peligros en Red
4 de junio de 2008
Visto: 425
Storm Worm! no estaba muerto, no, no, no, estaría de parranda !!! (como dice la canción) ya que a partir de este mes y después de experimentar con diferentes formas de infección, nuevamente vuelven a reportare los clásicos emails de SPAM del gusano de la tormenta.
Los mensajes de correo electrónico vienen con mensajes de amor en el asunto tales como: “Lonely without you” y “Just you and me”. Estos mensajes contienen una pequeña línea de texto seguida por una URL que nos lleva a una página similar a esta:
En esta página encontraremos otro enlace que descarga el archivo “loveyou.exe“, que es la última variante del gusano de la tormenta (Storm Worm! ).
Un poco de historia:
Strom Worm fue detectado por primera vez el 17 de enero de 2007 y ha crecido a una dimensión nunca vista antes. Storm ha sido denominado de muchas formas: troyano, red bot, gusano, motor de spam, red de denegación de servicio distribuida (DDoS). Estos múltiples nombres indican las numerosas características que posee Storm y el hecho es que se trata de una nueva clase de malware: una plataforma de ataque reutilizable. Storm coordina los ataques de correo electrónico y Web en un sistema de dos fases, en el que parte de los ordenadores zombies o bots de la red Storm se dedican a enviar spam y otra parte de los mismos actúan cómo servidores de páginas web maliciosas.
De todas maneras y para tranquilidad de nuestros usuarios, queremos comentar que en la actualidad son cada días más rapidamente detectadas y controladas estas nuevas variantes por parte de la mayoría de los programas de seguridad y eso hace Seguir leyendo »
2 de mayo de 2008
Visto: 506
Mucho hemos hablado tanto en el foro como en el blog sobre los “Falsos Antispywares” (Rogue) y cómo estos, por medio de falsas detecciones, le hacen creer al usuario que su equipo está infectado para así éste compre sus productos, ya que nunca “eliminan” nada en su versión de prueba.
Pero en este caso queremos contarle que también hay otro tipo de software comúnmente llamado “crapware” (programas basura) pero que van un poco más allá en varias particularidades:
- Utilizan nombres de Microsoft en sus url como si fueran de la empresa (Scam)
- Las url también tienen nombres como update-microsoft, free-microsoft o similares para simular ser un centro de descarga oficial de Microsoft.
- Se trata de programas “Limpiadores del Registro de Windows” (registry cleaners) falsos o crapwares.
La técnica es similar a la de los “Falsos Antispywares” ya que estos una vez descargados en nuestro sistema van a encontrarnos cientos de errores y que lógicamente como es todo un engaño, para arreglarlos tenemos que comprar la versión full del programa.
Listado más reciente de los falsos sitios de Microsoft:
- 70.84.192.228 freeadobes .com
- 70.84.192.228 updates-microsofts .com
- 70.84.192.228 updates-microsofts .com
- 70.84.192.236 free-microsofts .com
- 70.84.192.236 registry-great .com
- 70.84.192.236 registrygreat .com
- 70.84.192.236 registrygreat .net
- 70.84.192.229 updates-xp .com
- 70.84.192.229 updatemicrosofts .com
- 70.84.192.230 microsofts-updates .com
- 70.84.192.230 updates-all .com
- 70.84.192.230 updates-microsofts .net
- 70.84.192.230 update-microsoftes .com
- 70.84.192.230 update-microsoftes .com
- 70.84.192.231 www-microsofts .com
- 70.84.192.232 perfect-uninstall .com
- 70.84.192.232 uninstall-free .com
- 70.84.192.233 dellupdates .net
- 70.84.192.233 updates-os .com
- 70.84.192.233 updatesmicrosoft .net
Otras capturas de pantalla de los falsos sitios de Microsoft: Seguir leyendo »
3 de agosto de 2007
Visto: 333
Se están encontrando (y preocupantemente) cada vez más casos de páginas, foros, blogs, cuya extensión sean ".edu" (sitios dedicados a la educación) y demás sitios universitarios, que aparecen con cientos de resultados mostrando pornografía y contenido explícito. La gran mayoría de estos casos, se debe a que no poseen una sólida plataforma de seguridad para protegerse dejando de ese modo muchas vulnerabilidades.
Así es como puede verse al realizar algunas búsquedas:
Notar como pueden verse los títulos (y dicho contenido) portando gran cantidad de material pornográfico cuando las extensiones de las páginas a las que aluden son todas ".edu": http://www.google.com.ar/search?hl=es&q=horse+sex+movies+site%3A.edu&btnG=Buscar+con+Google&meta= (ADVERTENCIA: puede contener Material Explícito)
Acá hay otro ejemplo de la Universidad de Arquitectura de Columbia (Columbia University) que fue hackeada para agregar enlaces a sitios pornográficos:
Página Oficial de la Universidad: http://www.arch.columbia.edu/
Página con enlace hackeado: http://www(punto)arch(punto)columbia(punto)edu/DDL/cad/A4513/S2004/lectures/02/02/movies(punto)html (ADVERTENCIA: Contiene contenido explícito)
Más ejemplos: http://www(punto)google(punto)com(punto)ar/search?hl=es&q=site%3Aedu+free+sex&btnG=Buscar&meta= (Contiene Material Explícito)
Muchos de esos links, pueden pretender infectarnos con un “antispyware” o “programa de seguridad” conocido como Contravirus, el cual nos tienta con “pop ups” (ventanas emergentes) para comprar su producto que muestra falsos positivos. Este es uno de los mensajes que aparecen en inglés:
Traducción: "AVISO: Si tu computadora ha estado funcionando más lento de lo normal, podría estar infectada con algunos Virus, Adwares o Spyware.
ContraVirus puede realizar un rápido, completo y GRATUITO escaneo de tu sistema en busca de programas maliciosos.
Descargue ContraVirus GRATIS ahora! "
Lo cual, es todo una mentira… 
Algunos de dichos enlaces, ya fueron dados de baja, como medidas de seguridad:
- depts.washington.edu/archdept/cms/photogallery/1/zoo9.html
- www.wtc-ep.edu/newsletter/template/images/7493579/96776/
Otros enlaces actualmente permanecen activos mostrando cualquier otro tipo de contenido explícito (NO entrar a dichos enlaces ya que pueden contener lenguaje adulto, imágenes con pornografía sumado a posibles Malwares):
- www(punto)uvm(punto)edu/~astauffe/1/zoo3(punto)html (redirige a —> http://free-animal-sex(punto)com(punto)ua/)
La gente de
CasteCops
esta trabajando duro en la solución de esta problemática…
30 de mayo de 2007
Visto: 479
Los “Ciberladrones” (Hackers) quienes aprovechan las vulnerabilidades de las distintas Webs y así entran en los PC de los usuarios, han mejorado muchísimo su técnica para ocultar los códigos malignos y así burlar cualquier tipo de seguridad.
Cada vez más el código actual, a menudo JavaScript, usado para atacar PC´s, se encuentra oculto en animaciones destellantes (Banners) o se encuentra mezclado de modo que alguien que examina la fuente de una página le resulta difícil identificarlo, dijo Jose Nazario, un Ingeniero Senior de Software de Arbor Networks, en una charla de seguridad en CanSecWest. “Sus herramientas son ofuscadas, pero efectivas“, dijo. Utilizan la ofuscación como método, para evadir las firmas simples (técnicas de seguridad basadas en firmas para descubrir sitios malévolos en la Web). Las firmas son las “huellas digitales” de ataques conocidos. Los ataques a páginas Web se han hecho cada vez más comunes.
Decenas de miles de sitios Web intentan instalar Códigos Malignos, según StopBadware.org (famosa organización que junto a Google, muestran una página de advertencia al intentar entrar a este tipo de sitios -con códigos malignos-). Muchas Webs, la mayor parte de las cuales son sitios comprometidos, a menudo dejan caer algún Caballo de Troya (Troyano) u otro parásito en un PC a través de un agujero de seguridad de nuestros exploradores web (IE por sobre todo…).
Muchos ataques usan JavaScript. “Al principio los `sinvergüenzas´ usaron JavaScript de lleno en sus ataques, pero esto ha cambiado“, dijo Nazario. Ellos han puntualizado en una función de escritura codificada que llamaron “makemelaugh” (“hazmereír”) que descarga un Caballo de Troya que captura información bancaria y descarga a su vez, un banner (anmimación flash) de París Hilton haciendo parte a la PC de un Bonet.
Los atacantes también están tratando de engañar la seguridad programando los sitios malignos para que su código malévolo se descarguen sólo una vez sobre el mismo ordenador personal, y de ese modo, evitar levantar sospechas…. Además, armaron el llamado NeoSploit que identifica el explorador para lanzar el ataque apropiado con una asombroza hazaña en violación de seguridad.
Para protegerse contra el JavaScript maligno, usuarios de la Web pueden desactivar JavaScript, pero esto puede perjudicar la funcionalidad de muchos sitios Web. Una alternativa es usar Heramientas de Seguridad que tienen las listas negras de los sitios perjudiciales. Estas herramientas, pueden ser McAfee’s SiteAdvisor o la Barra de tareas de Google para Firefox.
Otra alternativa es Exploit Prevention Labs’ LinkScanner que supervisa el tráfico que entra en un ordenador personal y bloquea los intrusos conocidos.
Storm Worm! no estaba muerto, no, no, no, estaría de parranda !!! (como dice la canción) ya que a partir de este mes y después de experimentar con diferentes formas de infección, nuevamente vuelven a reportare los clásicos emails de SPAM del gusano de la tormenta.
