Un nuevo virus apenas controlado actualmente llega por MSN aparentando venir del contacto con el que se está chateando, si bien no es asi sino que es el propio virus que se envia para propagarse.

De momento sabemos que reside en C:\windows\info.exe pero no es fácil acceder a dicho fichero, por lo que se ha de usar el ELIMOVER y marcar la casilla inferior izquierda para añadir .VIR al fichero original y asi no volver a cargarse tras el siguiente reinicio.

Probablemente corresponda a este fichero

C:\windows\info.exe
Tamaño 148.56 KB (152130 bytes)
Md5: ad5ffec67fd5d4bbcff4b619abb9fc1e

si se sospecha de ello, puede detectarse con el ELIMD5 y dicho hash

FUENTE

* El intercambio de archivos entre usuarios sigue siendo un “vector importante del contagio” en los ordenadores personales domésticos.
* Los usuarios de videojuegos online deben tener especial precaución.

Preocupados por lo que puede llegar desde Internet cuando se conectan, los usuarios a menudo confían en que los ordenadores conocidos no estarán infectados. Sin embargo, algo tan habitual como enchufar una memoria USB al equipo de un amigo puede ser la vía por la que llegue un virus al nuestro cuando pasamos una canción o un archivo de texto.

ESET, proveedor global de protección antivirus, ha revelado los datos de detección de amenazas informáticas en España en septiembre. La lista continúa encabezada por el mismo trío de amenazas que han destacado durante los últimos meses. En primera posición se sitúa INF/Autorun (con un 10,03%), seguido por Win32/Conficker (con el 7,23% de las detecciones) y por Win32/PSW.OnlineGames (con un 6,67%).

Los datos de septiembre marcan una línea de continuidad con los de meses anteriores, acentuando la importancia de concienciar a los usuarios informáticos sobre cuestiones como controlar la ejecución de dispositivos de memoria extraíbles en sus equipos, la necesidad de mantener sus sistemas actualizados y de asegurarse de acceder a sus juegos online desde equipos seguros.

La detección de amenazas en España durante el mes de septiembre comparte pautas similares a las de meses anteriores, tanto relativas a los datos registrados en equipos de nuestro país como a los obtenidos de manera global. Los tres códigos más detectados han sido los mismos que durante meses anteriores, y mantienen una fuerte distancia con el resto de amenazas. Así, Win32/Qhost ocupa la cuarta posición con un 3,12%, mientras que la quinta es para Win32/Agent con el 2,21%.

Las amenazas de los juegos online

Los altos niveles de niveles de detección de INF/Autorun demuestran que los sistemas siguen sin tener las medidas necesarias para asegurar la seguridad en los dispositivos de memoria extraíbles (tales como llaves USB o tarjetas de memoria insertadas en móviles o cámaras digitales).

“El intercambio de archivos entre distintos usuarios y entre distintos equipos a través de las conexiones USB sigue siendo un vector de infección importante a pesar de las reiteradas alertas lanzadas por las firmas de seguridad a los usuarios para que vigilen en todo momento dónde conectan sus dispositivos y qué tipo de información almacenan”, dice Fernando de la Cuadra, de Ontinet.com.

Por otra parte, la gran difusión de troyanos como Win32/PSW.OnLineGames hacen que los usuarios de juegos online deban mantenerse alerta. Esta familia de troyanos suele incluir funciones de rastreo del uso del teclado (keyloggers) y de ocultación (rootkits), con lo que consiguen recopilar y transmitir los datos de acceso y autenticación en los juegos online sin ser detectados por los usuarios.

FUENTE

El gusano Koobface ha estado amenazando la seguridad tanto de los usuarios de Facebook como de los clientes de Microsoft. Por esta razón, ambas empresas se han aliado para hacerle frente y erradicarlo de una vez por todas.

Jeff Williams, director del Centro de Protección de Malware de Microsoft (MMPC) explicó que su empresa trabajó junto a Facebook para agregar a Koobface a la Herramienta de Eliminación de Programas Maliciosos de Microsoft (MSRT).

Microsoft afirma que, desde que se lanzó la última versión de MSRT hace dos semanas, la herramienta ha eliminado 200.000 ejemplares del gusano en más de 133.000 ordenadores de 140 países.

Sin embargo, Williams admite que erradicar el gusano no va a ser fácil. “Koobface está cambiando con frecuencia para evitar ser detectado o, como nosotros decimos, es un virus ‘altamente polimórfico’ que hasta ahora cuenta con 20.000 variantes”, dijo Williams.

“También estamos trabajando para detectar las nuevas variantes de Koobface a medida de que se las va detectando, así podemos proveer protección para esta amenaza”, agregó.

El gusano apareció en mayo de 2008 y es uno de los primeros en utilizar los sitios de interacción social para propagar su código nocivo. De hecho, las diferentes variantes del gusano se especializan en atacar a usuarios de Facebook o MySpace.

Koobface se propaga enviando mensajes a los usuarios de Facebook y MySpace con enlaces maliciosos que le permiten infectar los ordenadores de sus víctimas y robar sus datos de registro.

Después de infectar a sus víctimas, el gusano envía mensajes a todos sus contactos para tratar de infectarlos.

Este problema sólo afecta a los usuarios de Microsoft que no hayan instalado las últimas actualizaciones de seguridad en sus sistemas y a quienes no cuenten con un programa antivirus actualizado.

FUENTE

Microsoft ha alertado de la reactivación de un viejo virus, Neeris, que ha copiado algunas de las estrategias de infección de Conficker y está volviendo a propagarse.

Microsoft alerta de que Neeris, un virus que apareció en mayo de 2005, está renaciendo de sus cenizas para sacar partido del mismo agujero en Windows que Conficker y que, además, está empezando a propagarse a través de unidades flash.

Según Ziv Mador y Aaron Putnam, investigadores del centro de protección de malware de Microsoft, los creadores de Neeris han añadido recientemente una técnica para sacar partido de la vulnerabilidad MS08-067 que Microsoft parcheó el pasado mes de octubre.

Conficker, el gusano que empezó utilizando un nuevo sistema de comunicación para recibir comandos de sus controladores, también saca partido de esta vulnerabilidad para empezar a propagarse y dañar las redes desde finales de 2008 y, sobre todo, en este inicio de 2009. Así, por ejemplo, sólo en enero Conficker ha infectado a millones de máquinas.

“Neeris también se propaga a través de Autorun. La nueva variante tiene incluso la misma configuración que Conficker para abrir carpetas para ver los archivos”, explican estos expertos en el blog.

Una de las técnicas de propagación de Conficker es la instalación de un archivo denominado autorun.inf en un dispositivo USB, especialmente los de memoria flash. Cuando se conecta este dispositivo a un ordenador, el archivo autorun.inf copia silenciosamente el gusano en el PC. Por eso, los expertos de Microsoft no descartan que los autores de ambos virus estén aliados.

Cabe señalar, además, que “curiosamente”, la nueva versión de Neeris aparece el 31 de marzo, un día antes de que Conficker estuviera preparado para actuar. “Sin embargo, Neeris no se descargaba desde ninguna variante de Conficker por lo que no hay evidencia de que esté relacionado con la tercera versión de Conficker, preparada para actuar el 1 de abril”, explican estos expertos.

Por último, y teniendo en cuenta que Neeris saca partido de una vulnerabilidad de Microsoft ya solucionada en octubre, se aconseja tener el parche instalado en todas las máquinas para evitar verse infectado por Neeris.

FUENTE

Conficker es el software malicioso que ha ocupado la atención de los medios los últimos meses, incluido este blog (ver toda la información sobre Conficker). Los consejos para prevenir una infección de Conficker ya han sido publicados reiteradas veces. Sin embargo, un inconveniente frecuente en las redes corporativas es cuando el gusano ya ha infectado, y ya está instalado en la organización. ¿cómo protegerse?

La principal preocupación cuando el gusano ya ha infectado equipos, es cómo detectar cuáles equipos están infectados. Aunque mantener todos los equipos con las actualizaciones a la fecha, y protegidos por un antivirus que neutralice la amenaza, sería la principal protección; la realidad indica que muchas organizaciones poseen estructuras poco organizadas donde no hay configuraciones homogéneas de seguridad en los diferentes equipos de la red.

Para tal fin, fue desarrollada una herramienta, como iniciativa de The HoneyNet Project, que permite detectar qué equipos de la red están infectados. La misma escanea un segmento de red y verifica qué equipos probablemente estén infectados con Conficker. La herramienta puede descargarse aquí, es un script hecho en Phyton (ejecutable aquí)que puede ejecutarse muy fácilmente indicando como parámetros las direcciones IP para chequear.

Asimismo, Nessus, una de las aplicaciones de escaneo de vulnerabilidades más popular, ya cuenta con un plugin (#36036) que está basado en dicha herramienta. Por lo tanto, ya pueden integrarse las funcionalidades de Nessus para detectar la infección.

Teniendo en cuenta que en muchas de sus variantes el gusano se propaga por el resto de los equipos de la red, identificar los equipos ya infectados y desconectarlos de la red es un buen primer paso para iniciar la limpieza.

Una vez identificados los equipos y desinfectados, recuerden las medidas que ya hemos recordado para prevenir una nueva infección:

* Actualice su sistema operativo
* Active un Firewall (de perímetro o personal)
* Utilice un Antivirus
* No utilice su sistema con permisos administrativos

FUENTE

La preocupación por el gusano más virulento de los últimos años está generando multitud de consultas a los buscadores de Internet con la palabra Conficker. Pero los resultados de estás búsquedas pueden ser a su vez enlaces maliciosos, según anuncia Symantec.

Symantec alerta en su blog sobre la posibilidad de seguir enlaces maliciosos al buscar información sobre Conficker/Downadup. Algunos buscadores están devolviendo entre los resultados vínculos a páginas infectadas que han sido creadas para extender programas antivirus falsos.

Si se pincha en esos enlaces el usuario será llevado a una página de descarga de aplicaciones que pueden contener más malware. La web imita el aspecto de la ventana de alertas de seguridad de Windows para confundir al usuario e incitarle a pulsar en los botones.

Symantec recomienda utilizar el sistema de protección de red de sus productos, que activan una firma llamada “HTTP Fake Scan Webpage”, e impiden que el ordenador del usuario pueda visitar estos sitios.

En la misma línea actuaría la protección implementada en el nuevo Internet Explorer 8, que según un reciente estudio de NSS Lab para Microsoft, sería el mejor navegador para bloquear este tipo de páginas maliciosas.

Conficker ya ha infectado más de 10 millones de ordenadores en todo el mundo y pasado mañana, 1 de abril, se espera la activación de Conficker C la última versión de este gusano, desconociéndose los daños que pueda causar. Si los criminales que crearon el gusano quisieran, podrían utilizar esta red de ordenadores infectados para lanzar un ataque de denegación de servicio distribuido (DDOS) muy potente contra otros ordenadores en Internet. Aunque por otra parte se desconoce si realmente va a causar algún daño, por lo que algunos expertos mantienen que se le tiene un miedo exagerado.

FUENTE

- Se han detectado infecciones en más de 83 países.
- España, Estados Unidos, Taiwán y Brasil entre los países más infectados.

El número de ordenadores infectados por el gusano Conficker continúa creciendo, según datos de PandaLabs. Según un estudio llevado a cabo por PandaLabs, cerca de un 6% (5,77%) de los ordenadores de todo el mundo estarían ya infectados con este gusano.
El estudio, que ha sido llevado a cabo sobre una muestra de casi dos millones de ordenadores demuestra que la infección, desde su origen en China, se ha extendido ya por 83 países, alcanzando niveles especialmente altos en países como España, Estados Unidos, Taiwán, Brasil o México.

“Que de cada dos millones de ordenadores que analices, cerca de 115.000 estén infectados con un mismo ejemplar de malware es algo que no se veía desde los tiempos de las grandes ataques como los de Kournikova o Blaster”, afirma Luis Corrons, director técnico de PandaLabs, que añade: “lo peor es que este gusano aún puede hacer mucho daño, ya que en cualquier momento puede comenzar a descargar más malware en los equipos o propagarse por otros medios”.

Además, los investigadores de PandaLabs han averiguado nuevos datos sobre este peligroso gusano. Algunas de sus variantes estarían llevando a cabo ataques de fuerza bruta para conseguir las contraseñas del ordenador infectado y también de las redes internas como las que existen en muchas empresas. La debilidad de esas contraseñas (palabras comunes, nombres propios, etc.) ha facilitado la distribución de este gusano.

Consiguiendo esas contraseñas, los ciberdelincuentes pueden conseguir acceso al ordenador de los usuarios y utilizarlo con otros fines.

“Esto demuestra una vez más la necesidad de establecer contraseñas seguras tanto en los ordenadores personales como en las redes corporativas, ya que en caso contrario, una infección en un equipo puede extenderse a toda una empresa, dejando todos los ordenadores en manos de los atacantes”, explica Luis Corrons.

Además, este gusano cuenta con un sistema de ingeniería social muy novedoso para propagarse a través de dispositivos USB: en el menú que aparece en los sistemas operativos Windows cuando introduces un dispositivo USB y que ofrece diferentes opciones (abrir carpeta para ver archivos, reproducir canciones, ejecutar los programas contenidos en el dispositivo, etc.) ha disfrazado la opción de ejecución de programa (que activa el malware) como si fuese la opción de “abrir carpeta para ver archivos”, de tal modo que un usuario que quiera ver el contenido de la llave de memoria, en realidad, estará poniendo en marcha el gusano e infectándose.

FUENTE

Evidentemente, los creadores y diseminadores de códigos maliciosos enfocan todos sus esfuerzos en encontrar nuevas maneras de engañar a los usuarios, normalmente a través de Ingeniería Social.

Es muy común que para propagar malware, ya sea a través de spam o de algún sitio web empleando técnicas Drive-by-Download o como el caso de los blog con contenido malicioso, se recurra a mentiras como la promesa de visualizar el video de alguna celebridad similar a la que se muestra en la siguiente captura:

Cada tanto se toma como referencia la imagen de algún famoso como en la que se basa este engaño donde la protagonista es Paris Hilton y, por lo general, suele ser explotada por un tiempo.

En este caso, lejos de la promesa de acceder a un video, “antes de que lo censuren”, el usuario descargará un archivo ejecutable. Un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.FakeAlert.MN, un troyano diseñado para robar información del usuario y desplegar ventanas pop-ups con falsa alertas de infección.

Si bien no es un método innovador, sigue causando efectos muy peligrosos para los usuarios desprevenidos. Siguiendo con Paris Hilton, veamos una captura más:

En este otro caso, también bajo la excusa de visualizar un video se descarga un malware. El mismo código malicioso.

Como verán, las trampas son muchas y peligrosas por lo que debemos actuar en consecuencia, es decir, mantener nuestro ESET NOD32 o ESET Smart Security actualizados, estar atentos, ser cautelosos al descargar y/o visitar determinados sitios web y no confiar en todo lo que nos ofrecen.

FUENTE

La distribución de más de siete mil variantes de este tipo de adware, que comenzó hace casi un año, sigue consiguiendo hacer picar a millones de internautas que pasan de media tres días para conseguir desinfectar sus equipos.

En realidad, se trata de una acción para conseguir datos bancarios y estafar dinero, ya que tras el aviso de infección lleva al usuario a páginas de venta de falsos antivirus

A un precio medio de 49,95 €, y según los datos que mantiene Panda , “calculamos que los autores de este malware pueden estar ganando más de 10.000.000 de € mensuales, ya que el 3% de los infectados realmente procede a la compra”.

No es nuevo; no es original, pero lo cierto es que el número de las infecciones causadas por los falsos antivirus sigue creciendo a grandes velocidades. Sus autores no buscan otra cosa que el beneficio económico, y lo están consiguiendo. “Según los datos de infecciones que recibimos en PandaLabs” –comenta Luis Corrons, director técnico de PandaLabs-, “hay más de treinta millones de internautas infectados por esta nueva oleada de falsos antivirus. Alrededor de un 3% de éstos acceden a dar sus datos personales y a comprar un producto para desinfectar su ordenador que nunca reciben. A una media de 49,95 €, podemos cifrar los beneficios de sus autores en más de diez millones de € mensuales”.

El mecanismo de todas las variantes es el mismo: avisan al usuario que su PC está infectado, y comienzan a aparecer ventanas emergentes, fondos de escritorio y salvapantallas que realmente abruman al internauta y no le dejan hacer prácticamente nada. Estas prácticas buscan, sobre todo, asustarle, utilizando por ejemplo cucarachas que se comen el escritorio hasta que el usuario no tiene más remedio que hacer clic en el botón de compra, o bien simulan fallos de Windows con el típico pantallazo azul.

Los internautas más avezados se dan cuenta de que realmente se trata de una infección y buscan la solución. “La peor parte de estos falsos antivirus es que son muy difíciles de desinfectar. Los usuarios más avanzados pueden intentar hacerlo manualmente, técnica realmente difícil si no se sabe mucho de informática. En general, los usuarios tardan unos tres días en eliminar por completo esta amenaza”, añade Luis Corrons. “Por eso recomendamos que si su antivirus no lo ha detectado, se instalen uno de nueva generación, especialmente preparados para detectar, desinfectar y eliminar todo rastro de esta amenaza”.

FUENTE

Este tipo de software malintencionado puede suponer un peligro para los usuarios de Windows que descargan música en las redes de intercambio de archivos (P2P).

El nuevo malware inserta enlaces a páginas web maliciosas peligrosas dentro de archivos multimedia ASF. Aunque este sistema ya era conocido “es la primera vez que lo hemos visto en acción”, explicaron los responsables de Kaspersky Lab, que lo han descubierto.

El virus recodifica los .mp3 y .mpg como ficheros de Windows Media WMA y WMV pero conservando su extensión original. Al abrir el archivo descargado se abre el navegador web IE cargando una página maliciosa que solicita del usuario la descarga de un codec.

Un truco muy conocido y utilizado por ejemplo por los spammers para cargar malware. Por descontado el supuesto codec descargado es un caballo de troya que instala un proxy que redirige el trafico a través del PC.

Las posibilidades de expansión del virus (sólo activo en sistemas Windows) dependen de la experiencia del usuario, aunque los expertos de seguridad alertan que “el gran público desconoce los peligros de Internet y no tiene ni idea que la descarga de un codec puede acarrear la infección del troyano”.

El virus es conocido por Trend Micro como “Troj_Medpinch.a,”, Secure Computing lo llama “Trojan.ASF.Hijacker.gen,” y Kaspersky lo denomina “Worm.Win32.GetCodec.a.”

FUENTE