Diversas compañías de software han detectado un nuevo troyano programado para infectar teléfonos móviles basados en Symbian, de marcas Nokia y Sony Ericsson.

El malware “Viver” destaca respecto de otros virus móviles debido a su alto grado de especialización.

Una vez instalado en un teléfono móvil, el troyano en cuestión comienza a enviar costosos mensajes de texto. Anteriormente, el virus sólo podía activarse si el teléfono móvil se encontraba físicamente en Rusia. Sin embargo, la versión actual permite a Viver enviar SMS desde teléfonos en el extranjero.

 FUENTE

Apple QuickTime 7.1.6 fue publicado hace apenas unas semanas (ver “Vulnerabilidad en QuickTime mediante Java”, http://www.vsantivirus.com/vul-quicktime-230407.htm), pero ahora Apple anuncia una actualización de seguridad para dicha versión.

Una de las vulnerabilidades corregidas en esta actualización, está relacionada con un problema en la implementación para Java de QuickTime, que puede permitir la ejecución de código de forma arbitraria, por el simple acto de visitar una página Web maliciosa. El problema se debe a una incorrecta validación de applets.

La segunda vulnerabilidad permite que la simple visita a un sitio Web malicioso, permita la revelación de información confidencial sin el conocimiento del usuario.

El problema se debe a un error de diseño que permite a un applet de Java leer la memoria utilizada por el navegador.

Se recomienda a los usuarios que utilizan Apple QuickTime como reproductor multimedia, que se actualicen a la brevedad posible a la versión 7.1.6 si es que todavía no lo han hecho, y luego descarguen la actualización correspondiente a dicha versión desde los siguientes enlaces (estas actualizaciones soportan todos los idiomas, español incluido):

Security Update (QuickTime 7.1.6 for Windows)
http://www.apple.com/support/downloads/securityupdatequicktime716forwindows.html

Security Update (QuickTime 7.1.6 for Mac)
http://www.apple.com/support/downloads/securityupdatequicktime716formac.html

Productos vulnerables:

- Apple QuickTime Player 7.1.6

Descarga versión 7.1.6:

Windows 2000 o XP
http://www.apple.com/quicktime/download/win.html

Mac OS X v10.3.9 o posterior
http://www.apple.com/quicktime/download/mac.html

Más información:

Acerca de la actualización de seguridad (QuickTime 7.1.6)
http://docs.info.apple.com/article.html?artnum=305531-es

Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:

CVE-2007-2388
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2388

CVE-2007-2389
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2389

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

FUENTE

Las técnicas phishing evolucionan a medida que los usuarios toman conciencia del perjuicio que les puede provocar y aprenden a evitarlo.
Rock Phish, grupo pionero en ataques phishing en el mundo y responsable de la mayoría de ellos, dispara el número de ataques eludiendo leyes y contramedidas técnicas.

Según algunas fuentes Rock Phish no es más que un kit de desarrollo de phishing rápido para inexpertos. Sin embargo Rock Phish, para los que lidiamos con este tipo de asuntos antiphishing, es también una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales. Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión. Por ejemplo, tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. Además, actúan a lo grande, pues son responsables de aproximadamente, más de la mitad de todo el phishing creado en el mundo en estos momentos. Buscan países exóticos con leyes difusas para alojar sus páginas o lo hacen dinámicamente para complicar la labor de rastreo y cancelación del sitio fraudulento.

Nadie sabe quién integra o de dónde viene esta banda, sólo que se mueven entre la élite del crimen organizado y que su actividad debe ser tremendamente rentable a juzgar por la virulencia, constancia y alto nivel técnico de sus ataques.

APWG (Anti-Phishing Working Group) ha declarado en uno de sus informes que el número de sitios phishing detectados en abril se ha disparado hasta 55.000. En su anterior medición, en octubre de 2006, se contabilizaron poco más de 35.000 sitios documentados por ellos ese mes.
Phishtank.com, un repositorio público de sitios phishing, también registró pico histórico en abril con 77.700 páginas sospechosas. Según Brian Krebs, Rock Phish es el gran responsable de estas cifras.

No contentos con esta abrumadora posición dominante, el grupo busca el beneficio todavía en mayores cantidades. Se ha detectado un considerable aumento de ataques a bancos comerciales. Estos suelen ser bancos (o divisiones de los bancos tradicionales) destinadas a dar servicios de préstamos y depósitos a grandes empresas (no tanto a usuarios de a pie) que mueven importantes capitales. Sus “umbrales de detección de fraude” son mucho más altos y por tanto los robos pueden ser más abultados y pasar en cierta manera, más desapercibidos.

Si hasta el “simple” phishing tradicional sigue siendo efectivo para ciertos grupos más “modestos”, imaginamos que el nivel de sofisticación alcanzado en Rock Phish debe proporcionar beneficios tan suculentos que seguro no están dispuestos a dejarlos escapar. Como toda organización, buscarán optimizar recursos y es más que probable que evolucionen para que su “cuenta de resultados” aumente. Solo nos queda estar preparados.

Más información:
Phishing Attacks Soar as Scammer Nets Widen
http://blog.washingtonpost.com/securityfix/2007/05/phishing_attacks_soar_nets_wid_1.html

Who or What Is ‘Rock Phish’ and Why Should You Care?
http://www.pcworld.com/article/id,128175-pg,1/article.html

‘Rock Phish’ blamed for surge in attacks
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9005958

Anti-Phishing Working Group
http://www.antiphishing.org/reports/apwg_report_april_2007.pdf

Phishtank Stats April 2007
http://www.phishtank.com/stats/2007/04/

FUENTE

 Esta tecnología, desarrollada conjuntamente por Yahoo!, Cisco, Sendmail y PGP Corporation, mejoraría la seguridad del correo electrónico. El nuevo estándar se ha creado como herramienta para hacer frente a los mensajes fraudulentos y el ´phishing´.

Yahoo!, Cisco, Sendmail y PGP Corporation han unido fuerzas para combatir la falsificación del correo electrónico, el ´phishing´ y otros métodos de fraude en Internet por medio de la aprobación de un nuevo estándar de correo electrónico seguro.

El estándar DKIM Identified Mail (DKIM) ya ha sido aprobado por la Internet Engineering Task Force (IETF), el grupo con responsabilidad por los estándares técnicos en Internet. DKIM utiliza tecnología de encriptación de firmas para verificar la autenticidad del dominio de los remitentes del correo electrónico.

Según los datos del Grupo de Trabajo “Anti-Phishing”, el pasado mes de febrero se detectaron 24.000 casos de ´phishing´, y se suplantó la identidad de más de 100 de las principales marcas en Estados Unidos.

DKIM es el resultado de la colaboración entre numerosas organizaciones. Tras su aprobación como estándar propuesto para combatir el fraude en Internet, estas empresas trabajarán estrechamente con proveedores de servicio, empresas, organizaciones de comercio electrónico, instituciones financieras y la comunidad de fuente abierta, para facilitar la adopción rápida de esta especificación y su incorporación a futuros productos.

“Más de mil millones de mensajes electrónicos con la firma de DomainKeys son enviados cada día a través de Correo Yahoo!, y esperamos que siga creciendo este ritmo a medida que más usuarios adopten el nuevo estándar para correo electrónico”, ha afirmado Mark Delany, arquitecto principal de Correo Yahoo! y autor de DomainKeys.

FUENTE: diarioti.com

DirectX Media es un conjunto de APIs multimedia para Microsoft Windows que complementan a DirectX, y cuyos componentes de ejecución son parte de Internet Explorer.

Se ha reportada una vulnerabilidad que puede ser explotada por atacantes remotos para ocasionar una denegación de servicio, debido a un filtrado incorrecto de los datos proporcionados para su uso.

El problema ocasiona un acceso indebido a porciones de memoria ocupadas por el propio programa. La vulnerabilidad se produce en el componente DXTMSFT.DLL (DirectX Media — Image DirectX Transforms). Lea el resto de la entrada »

Existe un fallo de validación de la entrada de usuario -que afecta incluso a la última versión 2.0.0.3 de Firefox- que radica en el uso de resource:// con caracteres codificados.

Por ejemplo, una dirección como resource://gre/greprefs/security-prefs.js permitiría situarse en el directorio de instalación del navegador y acceder a la configuración de seguridad de Firefox bajo Windows. Pero, ¿qué ocurriría si utilizamos ../ ó ..\ para tratar de movernos por el árbol de directorios? Pues que Mozilla ya había previsto esa posibilidad y no lo permite.

¿En qué consiste entonces la vulnerabilidad que comentamos? Pues en que si en lugar de ..\ utilizamos ..%5C la navegación a través de directorios (y el consiguiente acceso a ficheros locales de nombre conocido) sí es posible.

Eso en Windows, pero en Linux basta sustituir ../ por ..%2F para obtener el mismo efecto…

FUENTE: kriptopolis.org

W32/Ganbate

Ganbate es un gusano residente en memoria reportado el 29 de Mayo del 2007 que se propaga a través de servicios de Internet e infecta la raíz de todas las unidades de disco removibles y de recursos compartidos. Deshabilita algunas funciones del sistema operativo. 

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está está programado en Visual C++ con 44KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse muestra la siguiente falsa caja de diálogo:

y se copia a las siguientes rutas, con los nombres:

• %System%\HistoryJMTi.exe
• %Windir%\Help\HistoryJMTi.exe
• %Windir%\security\Database\regedit.exe
• %Windir%\security\Database\msagent.exe
• %SystemDrive%\HistoryJMTi.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ccctp” = “%Systems%\HistoryJMTi.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“regedit” = “%Windir%\security\Database\regedit.exe”

Para deshabilitar el Administrador de Tareas crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr” = “1″

Para ocultar ciertos procesos del gusano, libera y ejecuta el siguiente archivo .BAT:

%Windir%\inf\data86.bat

El gusano libera y copia el archivo HistoryJMTi.exe en la carpeta %System% y crea un autorun.inf para activar este archivo cada vez que se acceda a la carpeta de la ruta:

%Windir%\security\Database\autorun.inf

crea además los siguientes archivos en la ruta:

El gusano se se copia a la raíz de las unidades de disco removibles y a la de recursos compartidos:

[Unidad_de_disco]\HistoryJMTi.exe

Para activarse cada vez que un disco removible es usado en otro sistema, el gusano copia y ejecuta el autorun.inf en todas las unidades de disco removibles y en las de recursos compartidos:

[Unidad_de_disco]\autorun.inf

PER ANTIVIRUS® versión 10.1 con registro de virus al 29 de Mayo del 2007 detecta y elimina eficientemente este gusano.

FUENTE: perantivirus.com