Un nuevo tipo de infección que posee características poco comunes, ha generado en los últimos días, la mayor cantidad del tráfico de código malicioso monitoreado en la red.
ScanSafe es una compañía que supervisa y protege la navegación por Internet de los trabajadores de grandes empresas, proporcionando en tiempo real información sobre los sitios que están propagando malware.
Cuando un cliente visita un sitio que ya ha atacado a algún usuario, el servicio bloquea automáticamente el acceso a esas páginas.
La compañía maneja unos siete millones de peticiones web al mes. En los últimos cuatro días, el 15 por ciento del tráfico malicioso que es bloqueado, ha llegado desde unos pocos cientos de sitios, los cuáles parecen ser legítimos y dedicados al comercio electrónico.
Esto ha llevado a Mary Landesman, una investigadora de ScanSafe, a examinar más profundamente el problema, y lo que ha averiguado no se parece a nada que se haya visto antes.
Por un lado, los sitios comprometidos hospedan un malware, el cuál infecta los equipos de sus visitantes. Esto no es común, ya que la mayoría de las veces los atacantes no llegan a tomar el control de sitios conocidos, y prefieren utilizar otros métodos para redirigir a los usuarios a otros servidores controlados por ellos, desde donde se descarga el código malicioso.
Lo extraño en este caso, es que los sitios no tienen un vínculo claro entre ellos. Aunque la mayoría están ubicados en el Reino Unido, también hay servidores en Brasil y la India, entre otros.
No usan los mismos servicios de hosting, y aunque la mayoría utiliza el conocido servidor Apache en Linux, las versiones varían demasiado entre si, lo que hace muy poco probable que los atacantes estén explotando una vulnerabilidad de dicho software.
Esto coincide además con otro estallido de infecciones en masa que ha estado infectando a decenas de miles de páginas, incluyendo universidades norteamericanas (la Universidad de Boston), empresas de seguridad (Computer Associates), y agencias gubernamentales del estado de Virginia y la ciudad de Cleveland, informa Landesman.
Son infectados sitios Web que corren Microsoft Internet Information Server (IIS) y utilizan Microsoft SQL, con enlaces que redireccionan a los usuarios a servidores ubicados en China.
Estos sitios maliciosos, intentan instalar en los equipos de los usuarios, un keylogger (capturador de la salida del teclado), y otros códigos similares. Pero según ScanSafe, esta infección masiva ha sido responsable de menos del uno por ciento del tráfico malicioso bloqueado en los últimos días, una fracción muy pequeña en comparación con el tráfico de los misteriosos sitios mencionados antes.
Dichos sitios poseen otras interesantes características. Intentan infectar a los visitantes con un archivo en JavaScript de nombre aleatorio, que cambia cada vez que una persona visita sus páginas.
Estos nombres siempre diferentes, hacen que sea muy difícil proporcionar una lista completa de sitios afectados, porque es complejo rastrearlos por ejemplo, con una búsqueda en Google.
El script busca vulnerabilidades específicas de los sistemas operativos usados por los visitantes, y cuando encuentra alguna, intenta enviar un archivo .MOV desde un dominio determinado, e instala un caballo de Troya del tipo backdoors que abre una puerta trasera en los equipos.
Las víctimas suelen ignorar que han sido infectadas, ya que la instalación es sencilla, y el malware utiliza muy pocos recursos del PC.
Según Mary Landesman, se trata de algo nuevo, de lo que poco se sabe hasta el momento.
La siguiente, es una lista de algunos de los sitios reportados hasta ahora:
http:/ /dubai .travel-culture .com/
http:/ /operationultimategoal .com/
http:/ /www .abdet .com/maps/maps-france .html
http:/ /www .ace-cranes .com/
http:/ /www .aprazivel .com .br/
http:/ /www .bellingerfurniture .co .uk/
http:/ /www .bmw-carparts .co .uk/
http:/ /www .careinternational .com/
http:/ /www .directline-citybreaks .co .uk/
http:/ /www .directline-holidays .co .uk/
http:/ /www .directline-skiing .co .uk/
http:/ /www .emtbravo .com/
http:/ /www .flintoak .com/
http:/ /www .gujarat .com/recipes/
http:/ /www .henrykaye .co .uk/Cheap-bridesmaid-dresses-and-flowergirl-dresses
http:/ /www .hungatecottages .co .uk/the_cottages .html
http:/ /www .inthe80s .com/moviequotes/f .shtml
http:/ /www .islandescapeholidays .co .uk/Dubai
http:/ /www .london-discount-hotel .com/hotelinfo_id__106
http:/ /www .london-discount-theatre .com/productions
http:/ /www .moorgateacoustics .co .uk/
http:/ /www .njaiche .org/main .html
http:/ /www .noorcapitaluae .com/
http:/ /www .paddingtoncourt .com/
http:/ /www .panacheshoes .co .uk/
http:/ /www .peshawarjobs .com/
http:/ /www .propertyauctions .co .uk/
http:/ /www .propertyworld .com/_Bermuda
http:/ /www .quaife .co .uk/Gallery
http:/ /www .reallybored .net/
http:/ /www .sharpindialimited .com/dealer-locator .php
http:/ /www .thirlmeremeats .com .au/family .htm
http:/ /www .thirlmeremeats .com .au/special .htm
http:/ /www .travel-culture .com/airblue/
http:/ /www .vauxallparts .co .uk/
http:/ /www .yournewhome .co .uk/Swan-Hill-Homes-Ltd
Las únicas precauciones posibles, es asegurarse de tener todas las actualizaciones al día del software utilizado (incluyendo el sistema operativo), además de un antivirus actualizado.
FUENTE
Gracias por leer este post.Ahora puede
dejar su Comentario (0) o
enlazarnos.
Leer más
Post Relacionados:
Similares
- Sobre INF/Autorun
- Los juegos online, una puerta al malware
- Un nuevo troyano en Estados Unidos infecta 10.000 ordenadores
- Hentai malicioso
- Un gusano infecta PCs recodificando archivos MP3 de las P2P
- Múltiples ataques, una sola defensa
- Video del rescate de Ingrid Betancourt propaga troyano
- Virus o marketing viral
- Video variant …
- Buscadores utilizados para difundir malware
- Un ASF puede infectar
- Falsa actualización crítica de Flash Player
- Britney Spears, Paris Hilton y Shakira infectan ordenadores
- Nueva version del MBR rootkit ha sido descubierta
- Infección en el día de los enamorados
- La infección masiva surgió en servidores Apache
- ESET Uruguay reporta mensaje con foto “torpedo” conteniendo un troyano
- Un año de Storm Worm.
- 500.000 nuevos ordenadores son infectados con bots cada día.
- Apple QuickTime 7.4 corrige cuatro vulnerabilidades
- Un fallo de diseño en los routers caseros facilita los ataques remotos
- Primera infección importante de 2008 para XP
- Falsas actualizaciones de Windows XP y Vista
- Antivirus XP 2008 ahora es MS Antivirus
- Nuevo malware interviene el portapapeles de Windows
- Detalles sobre el troyano multimedia GetCodec.
- Publicidad online descarga malware
- Si usas Gmail, ojo con esto
- Como envía spam Angelina
- Boletines de seguridad de Microsoft en agosto
- La seguridad de Windows Vista, inútil
- Eliminar Antivirus XP 2008
- Serial para Antivirus XP 2008
- Antivirus XP 2008, una pesadilla
- Falsos perfiles en Twiteer propagan malware
- Prevenir la ejecución automática de malware a través de USB
- Falsos mensajes de Orkut con malware
- Muchas famosas y mucho malware
- Consejos útiles contra el malware 2.0 en Windows
- Cuidado con los falsos programas de limpieza de virus
- Malware a través de archivos MP3
- El futbolista Ronaldinho se convierte en el nuevo cebo para distribuir malware
- RealPlayer 11.0.3 corrige varios errores de seguridad
- Propagación de malware que simula provenir de la BBC News
- Supuesto correo de UPS con malware
- Desofuscando un TrojanClicker
- Propagación de malware vía correos legítimos (III)
- Propagación de malware vía correos legítimos (II)
- Correos falsos de famosas desnudas
- Postales falsas de MetroPostales
- Stop…badware!
- Storm Worm anuncia el inicio de la Tercera Guerra Mundial
- Campaña masiva de malware a través de sitios pornográficos
- Los gigantes de la Red se movilizan contra un grave agujero de seguridad
- Boletines de julio, importantes pero no críticos
- Microsoft detalla características de seguridad de IE8
- Pornografía, codec y malware = Potencial infección
- Soporte extendido para Windows XP hasta 2014
- Microsoft, Google y Paypal se unen para suprimir las contraseñas
- Microsoft repite parche de seguridad para Windows XP
- Juegos olímpicos, excusa para propagar malware
- ¿Cómo renderiza Firefox 3 las páginas?
- Proteja su router del ataque del Zlob
- Otro viaje en el tiempo: el gusano MyDoom
- Crecen los ciberataques por motivos políticos
- De bluetooth a streaming, de todo en los parches de junio
- Nuwar vuelve a la carga
- El 88% de los usuarios aprueban el UAC en Vista
- Nuevo ataque de malware a WordPress
- Microsoft presenta los primeros detalles de Windows 7
- Falsa alerta de infección que copia ventana de NOD32
- Microsoft liberará una versión de prueba de Windows 7 esta semana
- Correo con la muerte Felipe Calderón
- Las direcciones IP desaparecerán en 2011
- Robo de información de MSN
- Corte estadounidense quita varios ceros a la multa de News Corp.
- Spam utilizando Google como señuelo
- Miles de foros de phpBB infectados
- Nueva versión de Spyware Terminator
- Bloqueo de sitios con ESET
- Troyano que entra por Gmail
- Netsky: peligrosamente insistente
- Un hacker español suelto en Buenos Aires
- Acciones inofensivas y el malware
- Sitios conocidos para promocionar Viagra
- Descarga de malware a través de scripts dañinos
- BitDefender detecta troyano en EDUnet
- El spam y la Ingeniería Social
- ELPAIS.com: “sitio peligroso” según McAfee
- Microsoft niega responsabilidades en ataques masivos
- Phishing que agrega malwares a su PC
- El SP3 de Windows XP, disponible para el usuario final (RETRASADO)
- Nueva estafa usando el banco Banesto
- Eludir la protección de Vista, o programar como se debe
- Cómo eliminar de la PC datos personales antes de venderla
- Firefox… uno de los grandes ganadores de Webware 100
- Spammers toman por asalto los blogs de Google Blogger
- Baller dando pistas de que se podría ampliar la vida de…. Windows XP
- Filtrados nuevos detalles del Windows 7 M1 March 2008 Edition versión 6.1 Build 6574.1
- Postales falsas de Yahoo
- El próximo best seller nacerá en Internet.
- Troyanos bancarios y ESET NOD32
- Internet tiene agujeros negros por donde desaparece información
- Windows 7 Ultimate Build 6519 en imágenes
- Ladrón que roba a ladrón…
- El gusano April Fool Storm ataca el correo de las PCs
- Microsoft alargará la vida útil de Windows XP
- El HD DVD deja de existir oficialmente
- ¿Aceptar todo lo que nos regalan en la red es seguro?
- Spam a través de enlances legítimos
- Se detecta una nueva vulnerabilidad en Word
- Crea una contraseña segura en 5 pasos
- Fallo en Windows Vista impide que se desactive la autoejecución en la forma descrita por Microsoft
- Los sitios demasiado populares también son peligrosos
- Internet Explorer 8 impide el acceso a Windows Update
- IE8 Beta 1 vs. Firefox 3.0 Beta 3 vs. Opera 9.5 Beta vs. Safari 3 Beta
- CeBIT 2008: la meca de los ladrones de datos
- Científicos irlandeses encuentran la forma de enfriar el chip desde dentro
- Los virus se transmiten entre los móviles igual que la gripe entre los humanos
- Análisis de virus gratuito
- Nuevo Paragon Partition Manager 9, partición segura
- Los codecs y la pornografía
- Urgente, reenvialo
- Seis boletines críticos de un total de once
- MySpace, Yahoo! Music y otros, usan ActiveX vulnerables
- Actualización de Sun Java soluciona 370 fallos
- Exploración desatendida con ESET Smart Security
- Identificados los autores del insidioso Nuwar
- El reconocimiento alfanumérico ya no es un sistema seguro
- Falso envío telefónico de “Vivo Torpedo”
- ESET SysInspector: generar reportes bajo línea de comandos
- Dos nuevos gusanos utilizan San Valentín como cebo para propagarse
- Ejecución remota de código en BitTorrent y uTorrent
- ¿Primeras imágenes de Windows 7?
- Primeras imágenes de Windows 7
- El 80 de los sitios maliciosos son legítimos
- ESET NOD32 Antivirus: corrigiendo errores
- Exploit para primera vulnerabilidad de Windows en 2008
- Configurando ESET NOD32 Antivirus en MSN
- Actualización obligatoria a Internet Explorer 7 el próximo mes
- La Union Europea dice que las direcciones IP son personales
- Rootkit del sector de arranque, más ruido que peligro
- Vundo-Winfixer y los virus de compañía
- ESET SysInspector Beta Program
- ESET SysInspector
- Microsoft informa de un agujero de seguridad en Excel
- Fotos: Una carcasas para PC con mucha personalidad
- Windows Vista Plus Pack… para el 15 de febrero
- Imagen del interior de un disco SSD
- Los discos eSATA no necesitarán cable de corriente
- Banda ancha es autopista de piratas
- Actualización de Microsoft en MySpace, es un troyano
- El primer malware para iPhone, una advertencia
- VideoMensagem recebida com sucesso!
- Microsoft: Resumen de Boletines de Seguridad para el mes de enero de 2008
- ESET informa sobre la aparición de miles de sitios con scripts dañinos para propagar malware
- El eslabón más débil y las ventajas de Vista
- Microsoft admite que cometió un fallo en el Microsoft Office 2003 SP3
- Adelanto de parches de enero de Microsoft
- Zlob y los códec falsos
- Falsos perfiles de MySpace explotados por sitios chinos
- El asesinato de Bhutto se utiliza para propagar malware
- Troyano disfrazado de reproductor de Macromedia Flash
- ¡Feliz navidad!, sin malware
- ¿Por qué necesito un cortafuego?
- Boletines de seguridad de Microsoft en diciembre
- Descubre archivos desconocidos
- Varias advertencias
- Melissa Strip Captcha Breaker Trojan… un troyano que parece que muchos no van a poder resistirse
- “Internet Explorer es más seguro que Firefox”
- Visa dice basta a los robos de tarjetas en la red
- Preguntas atemorizantes…
- Ranking de ESET de Noviembre: crece la propagación de malware orientado al robo de datos
- Detienen a un hacker de 18 años que se había introducido en 1,3 millones de ordenadores
- La “ciberguerra fría”
- PC Tools AntiVirus 3.6.0.34 Edición Gratuita
- Más malware de Windows Live Messenger en español
- Denegación de servicio en Firefox 2.0.0.9
- Troyano simula ser actualización de antivirus
- Ya están disponibles ESET Smart Security y ESET NOD32 Antivirus v3.0
- Vista respira y XP sufre con la última vulnerabilidad de Windows
- Firefox 2.0.0.9 corrige “regresiones” del 2.0.0.8
- ¿Es tu navegador seguro? ¡Ponlo a prueba!
- Ataque con troyano para usuarios de Mac
- WIN32/SPY.BANKER.OLC
- Phishing que crea cuenta en Google Checkout
- El Plugin de Java de Firefox 2.0.0.8 no funciona en Windows Vista… Mozilla ya prepara el Firefox 2.0.0.9
- Parche para Zero-Day de RealPlayer (ActiveX)
- Exploit 0-Day ataca a usuarios de RealPlayer
- Piratas del Caribe en versión troyano.
- Troyano se hace pasar por un mensaje de Windows
- No se encuentran entradas relacionadas
