El otro día revisando las extensiones instaladas en mi navegador Firefox me encuentro una, Microsoft .NET Framework Assistant que no recordaba cuando la había instalado.

Como a veces instalo extensiones para probar si realmente son útiles a fin de publicarlas en el blog, pues no me extrañó demasiado, aun así cuando comprobé que no había publicado nada acerca de ella, deduje que no me había parecido importante y decidí desinstalarla.

Pero ¡oh sorpresa! no venía con la opción de desinstalar, ante la duda la desactivé y me puse a buscar información sobre ella.

Y otra sorpresa, me encuentro muchos usuarios quejándose de lo mismo, les ha aparecido esa extensión sin que ellos la instalaran.

Y es que resulta que Microsoft, en la última actualización del .Net Framework decidió, que si en un Pc estaba instalado Firefox, le instalaba esa extensión sin pedir permiso y sin informar de ello al usuario.

Y no sólo eso, al instalar esa extensión en Firefox, lo deja tan vulnerable como pueda quedar Explorer, puesto que lo que hace es evitar que el usuario se percate de que alguna Web maliciosa, le instale ciertos programas al navegar en sus páginas.

Ante eso, me pongo a buscar como desinstalarla ya que tampoco en agregar o quitar programas aparece.

Hasta que al final encontré la solución que aquí os pongo.

Una vez desactivada la extensión en Firefox, tenemos que borrar una clave en el registro de Windows, por lo que recomiendo antes de manipularlo hacer una copia de seguridad del registro, bien desde el propio Windows, o bien con el programa Erunt.

Una vez hecha la copia de seguridad, buscamos esta clave:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Mozilla \ Firefox \ Extensions,

a la derecha veremos este valor: {20a82645-c095-46ed-80e3-08825760534b} nos situamos sobre él, botón derecho del ratón y pulsamos en eliminar.

Ahora tenemos que abrir Firefox y en la barra de direcciones escribimos:

About:config y pulsamos enter.

Un aviso nos dirá que tengamos cuidado, le decimos que sí y entramos.
Ahí tenemos que buscar esta clave que podemos escribir en la zona donde pone Filtro para encontrarla de manera más fácil:

general.useragent.extra.microsoftdotnet setting

Cuando la encontremos la seleccionamos y con el botón derecho del ratón pulsamos y elegimos Restablecer.

Salimos de Firefox

Aun tenemos que buscar en nuestro sistema esta carpeta: Windows Presentation Foundation, que encontraremos en esta ruta:

C:\ \Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation

En esta carpeta veremos que hay otras dos carpetas más, no importa, borramos toda la carpeta entera con esas dos carpetas.

Ahora sí, ahora si abrimos Firefox y comprobamos las extensiones, veremos que ya ha desaparecido del todo.

FUENTE

Una nueva vulnerabilidad descubierta en Internet Explorer 7, aún no solucionada por las actualizaciones de seguridad de Microsoft, está siendo activamente explotada según recientes reportes.

Apenas publicados los boletines de seguridad de diciembre, el Internet Storm Center del SANS Institute, recibió informes de un nuevo agujero de seguridad en Internet Explorer 7. Esta vulnerabilidad es considerada Zero Day (Día cero) por estar circulando un exploit que saca provecho de la misma, sin que exista hasta el momento un parche por parte del vendedor.

Los responsables de la divulgación de este fallo, podrían haber sido un grupo de expertos chinos que consideraron que el mismo iba a ser solucionado con las actualizaciones de diciembre, y por error lo publicaron. Sin embargo, también hay versiones no confirmadas, de que algunos creadores de malware ya lo conocían desde antes y que recién ingresó al mercado negro en noviembre, cuando alguien pagó por los detalles del mismo.

De acuerdo con los reportes actualizados, el fallo es utilizado por creadores de malware, no solo a través de sitios webs maliciosos, sino también de sitios normales que han sido comprometidos por medio de otra vulnerabilidad. La visita a los mismos puede hacer que se active un script (secuencia de comandos) en el ordenador de la víctima, que descargará y ejecutará una amenaza en el sistema vulnerable.

Si logra explotar exitosamente este fallo, el atacante ganará los mismos privilegios del usuario activo en el equipo en ese momento. Las cuentas de usuarios con menos derechos administrativos posibilitarán una menor exposición del sistema.

Microsoft ha publicado un informe al respecto, en el cual afirma estar conciente del problema e investigando para encontrar una solución. Según la empresa los ataques detectados son contra Internet Explorer 7 en Windows XP, Windows Vista y Windows Server 2003 y 2008, aún con todos los Service Pack instalados.

La habilitación del “Modo protegido” de IE7 en Windows Vista y el uso del nivel “Alto” de seguridad en el navegador afectado en los otros sistemas operativos, pueden ser un factor mitigante. En Windows Server 2003 y 2008, por defecto el navegador funciona en modo restringido, lo cual reduce las consecuencias de un ataque.

Es importante recalcar que estos ajustes NO evitan la explotación de la vulnerabilidad, solo dificultan su explotación.

Muy posiblemente los sitios web maliciosos estén preparados para aprovechar no solo ésta, sino otras vulnerabilidades existentes, por lo que se aconseja aplicar las últimas actualizaciones disponibles y mantener el software de seguridad al día.

FUENTE

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware… de hoy.

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un “administrador” está precisamente para “administrar”, y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como “root” o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar… puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

Actualizar el sistema

No sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. Esto es muy importante, pues una gran parte del malware hoy en día se aprovecha de vulnerabilidades conocidas que ya tienen parche. Muchos usuarios piensan que un Windows parcheado tendrá problemas “legales” o que sufrirá fallos de compatibilidad. Un Windows sin actualizar es un Windows contaminado. Pero no sólo el sistema operativo. Todo programa es susceptible de sufrir problemas de seguridad y de que sean aprovechados. Desde el reproductor de MP3 hasta el lector de PDF, se han detectado ataques dirigidos a versiones vulnerables de los programas más utilizados para tareas comunes. La única solución es no abrir archivos no solicitados tengan el formato que tengan y sobre todo, mantener actualizados los programas que los interpretan.

Mantenerse informado

Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. No se puede luchar contra lo que no se conoce. Son muchos los usuarios que desconocen que pueden ser infectados por archivos que no son ejecutables, que es posible ejecutar código arbitrario en el sistema de forma transparente con sólo visitar una web, o que el SSL del banco visitado no tiene por qué significar que un sistema no esté troyanizado o que no se trate de un phishing. Otros piensan que el hecho de que la página del banco aparezca modificada y requiera más casillas de la tarjeta de coordenadas de lo habitual, significa que la seguridad ha aumentado…estar informado es primordial. No sólo por lo cambiante de algunas técnicas, sino también porque es necesario seguir de cerca ciertas campañas que emprenden los atacantes y que suscitan modas y comportamientos sobre los que resulta imprescindible estar especialmente atento. Existen momentos en los que se perpetran ataques concretos para los que puede que la única solución sea conocerlos y evitarlos hasta que exista parche.

Otros consejos

Estos tres consejos anteriores son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Ni la tecnología, ni Internet ni los atacantes son los mismos que hace cinco años, por tanto las precauciones no deben ser iguales para siempre. Obviamente es necesario usar herramientas o suites de seguridad actualizadas (cortafuegos, antispyware…) pero sobre todo, saber cómo se usan. Si no se saben manejar, se vuelven inútiles.

¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.

FUENTE

Cuando hablamos de propagación de malware, desde ESET siempre remarcamos que cualquier medio de comunicación es utilizado para llevar a cabo estas acciones. Por supuesto, las redes P2P no son ajenas a este flagelo como quedó demostrado cuando hablé de que mi mulita me engañaba.

En el día de la fecha hemos descubierto que la popular red de intercambio BitTorrent también representa un peligro para los usuarios demasiado confiados. En la siguiente imagen ilustro un ejemplo al intentar descargar un capítulo de una popular serie:

Como puede verse el primer archivo .avi, que representa el capítulo de la serie, está comprimido con clave y el segundo, un archivo ejecutable con el provocativo nombre pass-here.exe es una invitación clara para que el usuario haga doble clic en él, con la intención de conocer la clave.

Al hacerlo, ESET NOD32 nos informa de nuestro error, ya que el archivo ejecutable es, como prevíamos, una variante del troyano Zlob un conocido downloader que infecta la PC del usuario y permite descargar otros malware.

Nuevamente la recomendación es no creer que todas las personas en Internet tienen buenas intenciones y no buscan nada a cambio. Algunos de estos usuarios tienen fines ocultos y simplemente buscan infectarlo para controlar su equipo.

FUENTE

# Según una sentencia del Tribunas Supremo.
# Avala los rastreos informáticos de la Policía.
# Anula una sentencia que absolvió a una mujer por difusión de pornografía infantil.

El Tribunal Supremo (TS) ha establecido en una sentencia que los datos que circulan a través del programa eMule se convierten en públicos para los usuarios de Internet y no están protegidos por el derecho a la intimidad ni el derecho al secreto de las comunicaciones, por lo que la Policía puede acceder a ellos.

La Policía podrá rastrear datos por eMule en su función de perseguir delitos y detener a los delincuentes que los cometen

La sentencia avala los rastreos informáticos del equipo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil en Internet y anula una de la Audiencia de Tarragona que absolvió de un delito de facilitación de la difusión de material de pornografía infantil a una mujer usuaria de eMule de Pineda (Tarragona).

Ésta realizó búsquedas de archivos y algunos resultaron contener pornografía infantil que borró de su ordenador y que detectó la Policía.

La resolución de la sala de lo penal del TS estima el recurso del fiscal contra la referida sentencia, que absolvió a María del Carmen G. tras declarar nula la prueba en que se sustentaba la acusación por estimar vulnerado el derecho al secreto de las comunicaciones.

El Alto Tribunal ordena a la Audiencia de Tarragona que dicte otra sentencia, condenando o absolviendo a la acusada, en la que se tenga en consideración como pruebas legítimas las que declaró nulas.

Para el Supremo “al verificar los rastreos la Policía Judicial estaba cumpliendo con su función de perseguir delitos y detener a los delincuentes que los cometen, siendo legítimos y regulares los rastreos efectuados”.

La Guardia Civil en octubre de 2005 aprovechó la celebración en Sevilla del IV Foro Iberoamericano de Ciberpolicias para iniciar búsquedas en Internet rastreando las redes de intercambio de archivos para averiguar aquellos usuarios que descargasen o compartiesen archivos con pornografía infantil.

En base a dichos rastreos realizados sin autorización judicial obtuvieron un listado de claves de acceso que los proveedores de servicios de Internet asignan a cada ordenador en el momento en el que se conecta a Internet que permiten identificar el número telefónico desde el que se produce la conexión.

Dicho listado fue presentado en un juzgado de Sevilla al que reclamaron una orden para que los proveedores de servicios de internet identificasen al titular de las referidas claves.

Así, se acordó la entrada y registro en el domicilio de María del Carmen G. y se le intervino su ordenador.

La mujer usaba eMule para obtener archivos de fotografía, música y películas, cuya selección efectuaba introduciendo palabras clave como “bebés”, “mamás”, “papás”, “niñas” o “mamás con bebés”, “sin que quede acreditado que pretendiera obtener a través de dichas búsquedas archivos que contuvieran pornografía infantil”.

“Quien utiliza un programa P2P, en nuestro caso eMule, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la Policía, datos públicos en Internet, no se hallaban protegidos por el artículo 18-1º ni por el 18-3 de la Constitución”, concluye.

FUENTE

En las últimas horas hemos estado recibiendo los acostumbrados correos que simulan provenir del servicio Paypal.

En este caso lo único destacable del correo es la URL a la que se hace mención en el mismo, ya que es una IP que se encuentra en formato hexadecimal en vez del típico formato decimal al que solemos estar acostumbrados:

Tal y como se describe en nuestro segundo curso Seguridad en las transacciones comerciales en línea de la Plataforma Educativa de ESET Latinoamérica, este método es utilizado desde hace tiempo para confundir al usuario. Por ejemplo, la dirección 63.233.187.99 es equivalente a 0×40.0xE9.0xBB.0×63 y ante la duda podríamos vernos tentados a hacer clic.

Por eso, ante la duda, no haga clic.

FUENTE

En el día de la fecha hemos comenzado a recibir por spam postales que dicen provenir del servicio Gusanito. Estas tarjetas son falsas y en realidad apuntan a un archivo ejecutable llamado gusanito.exe que ESET NOD32 detecta con amenazas múltiples.

El correo recibido masivamente luce como el siguiente:

Por supuesto aconsejamos eliminar este tipo de mensajes directamente y nunca hacer clic en el enlace provisto.

Lo curioso de este caso es que el equipo (indicado por su dirección IP) utilizado para descargar el archivo dañino, evidentemente hace tiempo que está siendo utilizado como servidor de archivos ya que si intentamos ingresar a la IP directamente, se muestra una página vacía con titulo Bancomer, el nombre de un conocido banco.

En conclusión, este equipo ubicado en Dallas, EE.UU. ha sido utilizado previamente como hosting de phishing y ahora para alojar archivos dañinos. Esto explica lo importante que se vuelve proteger todos nuestros recursos informáticos para evitar daños mayores a otros.

FUENTE

Desde hace un tiempo hemos reportado una “facilidad” de ciertos buscadores para permitir el redireccionamiento de sitios web y los riesgos que esto implica para los usuarios debido a que, confiando en un sitio conocido como cualquier buscador, no se sospecha del peligro que esto puede acarrear.

Supongamos que alguien recibe por correo la invitación para ingresar a la siguiente URL:

http : //www.google.de/pagead/iclk?sa=l&ai=www.sitio.com&num=www.sitio.com&adurl=www.sitio.com

Como puede observarse, es una simple URL de Google pero que en realidad utiliza ciertos modificadores para redireccionar al buscador a otro sitio. En condiciones normales, cualquier usuario no sospecharía de esa URL ni del buscador.

Sin embargo y como preveíamos, en las últimas horas hemos detectado un incremento de correo no deseado utilizando esta “facilidad” para engañar a los usuarios y descargar malware. En este caso se trata de una postal como la siguiente:

Al hacer clic sobre la misma se descarga un archivo yahoo.exe que ESET NOD32 detecta como el troyano TrojanDownloader.Banload.LHK el cual permite la descarga de otros malware.

Es importante remarcar que esta técnica puede ser utilizada en cualquier otro buscador que no utilice filtros apropiados en sus URLs.

FUENTE

En las últimas semanas, dos tipos de ataques han tenido éxito en la creación de un escenario que hace más probable que las personas que naveguen por Internet o realicen búsquedas en sitios como Google, puedan ser llevadas a sitios web que intentan ejecutar un código malicioso en sus equipos.

El resultado de uno de los ataques, es que las búsquedas devueltas por Google, pueden contener enlaces a sitios que han sido comprometidos para que descarguen códigos que pueden infectar el equipo del visitante. Según varios informes, el número de sitios infectados puede llegar a decenas de miles.

Otra clase de ataque, ha comprometido a miles de sitios webs legítimos, a través de vulnerabilidades en los programas utilizados. Esto incluye los recientes reportes de ataques a sitios con WordPress, etc.

En ambos tipos de ataques, los sitios web afectados, intentan explotar agujeros en el software que no ha sido actualizado. Es importante tener muy en cuenta que no estamos hablando solo de los navegadores y el propio sistema operativo, sino también de programas de terceros que deben ser mantenidos al día. Esto incluye (entre otros), RealPlayer, Adobe Reader, Adobe Flash, QuickTime, Sun Java, iTunes, Winamp, etc.

También se recomienda no utilizar cuentas con privilegios administrativos para navegar por Internet, y usar software de seguridad actualizado. Esto incluye las últimas versiones soportadas de cortafuegos y antivirus.

Un hecho que lamentablemente se viene repitiendo mucho en los últimos tiempos, es la utilización de software antivirus no legal, o descargado de sitios no oficiales. Si usted no puede comprar un antivirus legal, no utilice versiones piratas, ya que su sistema no estará protegido. En su lugar, utilice algunos de los productos gratuitos.

Como consecuencia de ello, existe otra clase de ataque que se realiza directamente a través de código malicioso enviado por medio de spam, desde cientos de miles de máquinas zombis, que forman parte de extensas botnets (o redes de máquinas robots, que no son otra cosa que equipos de usuarios comunes y corrientes que han sido comprometidos por una infección).

FUENTE

El crecimiento de malware o herramientas para realizar cualquier tipo de ataques-robos en la red están en crecimiento, este tipo de “armas” estaban solo disponible para individuos especializados, pero la comercialización y construcción de este tipo de herramientas ya están al alcance de cualquier persona, nos encontramos en la generación de creadores de fraudes para novatos.

Se imagina encontrar publicidad en internet donde ponga; “construya su propio phishing y gane dinero de forma rápida”, ¿le parece irreal? Pues no lo es, existen este tipo de anuncios donde se pueden obtener por muy poco dinero o totalmente gratuito creadores para generar nuestro kit de fraude, en el siguiente estudio mostramos algunas herramientas que se utilizan para realizar este tipo de ataques fraudulentos en la red, el análisis de estos creadores de fraudes están enfocados en phishing y pharming, aunque muchos usuarios piensan que esta modalidad es anticuada y solo pican “novatos” la triste realidad demuestra lo contrario, el crecimiento de phishing y de estafadas es cada día mayor, pero no solo en esta modalidad, existen casos de personas que trabajan en el sector de seguridad informática donde sus ordenadores estaban infectados con malware que realizan ataques de denegación a web asiáticas, incluso personal de entidades bancarias que fueron victimas de phishing, recuerden la ingeniería social hace que hasta el mas listo caiga en la trampa.

Una de las primeras web que encontramos nos ofrecen gratuitamente los kit montados para realizar nuestros ataques a distintas entidades financieras, donde solo debemos cambiar el correo electrónico donde van la claves de las victimas, esta web esta operativa con otro nombre de dominio de la famosa scam-2008.com

Lo único que tiene que hacer el delincuente es modificar los correos electrónicos del kit y subirlo al servidor trampa.

El siguiente servidor detectado nos ofrecen kit que afectan empresas españolas como Paypal Spain, Ebankinter, ING Direct, en el kit contiene el correo trampa que se envia a las victimas y algunos pack de listas de correos electrónicos para realizar el ataque fraudulento, también herramientas para extraer cuentas mails de webs, resumiendo un tres por uno

Ejemplo de listado de correos electrónicos incluidos en el kit:

La siguiente herramienta encontrada en esta investigación es un programa para generar nuestros phishing, existen dos versiones gratuitas, menos potentes y la de pago que te genera nuestra web trampa sin tener conocimientos en programación

Durante la investigación nos encontramos una aplicación que es una joya por su facilidad y por el resultado final de las web fraudulentas generadas, basta decir que con solo dos clic de ratón podemos obtener una web fraudulenta para robar claves de mas de 20 sites web famosas, pero además se puede actualizar con plugins (plantillas) de nuevos sitios, tuvimos la fortuna de obtener la versión 3 de este producto:

Por ultimo analizamos una herramienta muy peligrosa, un generador de pharming, su función es generar un fichero que modifica los ficheros host de la victima para suplantar el sistema de resolución de nombres de dominio (DNS) y de esta manera conducir al usuario a una web fraudulenta, como anécdota de este tipo de ataques recuerdo durante una conferencia de Seguridad Informática en el 2006 en el parador de León, donde me negaron hablar de este tipo de fraudes (la inseguridad de la seguridad es no hablar de un hecho existente), cuando en realidad es uno de los mas peligrosos que puede ver junto a los nuevos troyanos bancarios, el generador o kit es básico pero a su vez letal, con solo teclear la dirección donde queremos que nuestra victima visite cuando teclee su entidad bancaria basta:

Durante la investigación se encontraron muchos mas herramientas y kit, pero en este articulo solo fueron analizadas las mas revelantes, la siguiente imagen muestra que existen muchas mas en el mercado del malware:

La conclusión de esta investigación; cualquier persona puede disponer de estas herramientas y realizar un fraude, el éxito del mismo será la ingeniería social usada, recuerden todos podemos ser victimas, hasta los mas listos en seguridad.

FUENTE