Internet suma una nueva brecha a sus problemas de seguridad: los blogs. Según ha informado Trend Micro, la empresa especializada en soluciones y antivirus para contenidos Webs, han surgido nuevas formas de propagación de troyanos y spam a través de falsificación de blogs.

El trabajo realizado por los investigadores de Trend Micro, ha determinado que, sólo en septiembre de este año, se detectaron aproximadamente 1.899 blogs hospedados en servicios de publicación de blogs muy conocidos, que contenían contenido malicioso. El procedimiento utilizado por los ciber-criminales es redirigir a los navegantes a Webs con contenido para adultos y allí pedir la descarga de códecs, utilizados para insertar el código malicioso.

Los códecs de vídeo son máscaras comunes para el código malicioso, como puede ser el caso de las variantes ZLOB. La infección del ordenador se lleva a cabo cuando este archivo se descarga y se instala como Troyano, identificado por Trend Micro como TROJ_DROPPER.BX, que a su vez es capaz de descargar otro código malicioso.

Hace bastante tiempo que los creadores de spam descubrieron que a través de los blog se podía llegar a una mayor cantidad de usuarios. De hecho, en 2005 los investigadores definieron dos términos para referirse a este tipo de spam: los llamados “splog” o “blam”. El problema de los splogs es que contaminan los motores de búsqueda y, además, si su volumen es demasiado alto, pueden perjudicar también la velocidad del ancho de banda de Internet. Otros agentes perjudicados con la extensión de estas modalidades de propagación de spam y Spyware son las propias firmas ya que los blogs vinculan con URLs maliciosas y el usuario que descubre que su ordenador ha sido infectado pierde confianza en el sitio que ha visitado.

FUENTE

Tomemos por ejemplo el siguiente gusano, no detectado en ese momento por ningún antivirus:

Esto sucede porque es muy común que los desarrolladores de malware prueben sus creaciones una y otra vez contra todos los antivirus (o contra los más comunes) y, cuando logran un nivel importante de no detecciones, deciden propagar su programa dañino.

La ventaja inmediata es obvia, ya que de este modo logran infectar a la mayor cantidad de usuarios posible, sea cual sea la solución de seguridad utilizada por el mismo.

Más allá de eso, como decía anteriormente esta situación es pasajera y los antivirus comenzarán a detectar este archivo ni bien se encuentre infectando a un usuario. En este caso el gusano se propagaba por mensajería electrónica y por supuesto fue detectado inmediatamente por ESET NOD32 como Win32/AutoRun.AAC.

Por eso también es fundamental contar con una solución que provea detección heurística para poder detectar malware desconocido hasta el momento.

FUENTE

El engaño consiste en una publicidad creíble, correctamente realizada, enviada a través de correos electrónicos en forma de spam, y en español.

El texto menciona a “iPhone 3G. El iPhone que estabas esperando. Disponible el 11 de julio.”. Los enlaces que muestra, invitando a ver una presentación o a obtener más información, llevan a la descarga de un ejecutable llamado “presentacion.mov.exe”, que en realidad es un troyano que intenta aprovechar una vulnerabilidad conocida para ejecutar un código de forma remota. Se trata de una variante de los IRCBot.

En las últimas horas, otros ejecutables han sido reportados, aunque no han sido comprobados. De todos modos, es importante que se tenga en cuenta que este tipo de acontecimientos, suelen ser motivo para que delincuentes informáticos saquen provecho de usuarios desprevenidos.

Recordemos una de las reglas más importantes para mantener nuestros equipos seguros, jamás hacer clic en enlaces de mensajes que no hemos solicitado, sin importar su procedencia, ni lo que nos ofrecen, por más atractivo que parezca.

FUENTE

Como se observa, no es más que un creador de troyanos del tipo bots con entorno gráfico, en el que solo se deben especificar los siguientes parámetros:

* Nombre del servidor IRC
* Puerto del servidor
* Nombre del canal IRC
* Nick del administrador malicioso (botner) al que responderán los equipos infectados
* Métodos de propagación
* Nombre del archivo ejecutable
* Opción de empaquetar con UPX el ejecutable eligiendo, a su vez, el nivel de compresión
* Mensaje de respuesta del equipo zombi al conectarse
* Nombre del malware al copiarse al equipo
* Nombre del malware al copiarse al registro de Windows
* Establecer un icono para el malware

De esta forma no se necesitan conocimientos para crear una bot y su desarrollo se realiza con extremada facilidad. Sin embargo, a pesar de la multitud de opciones posibles, y de utilizar el nivel máximo de empaquetamiento, ESET NOD32 detecta el servidor creado bajo el nombre de Win32/Brabot.A.

FUENTE

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado la aparición de troyanos que incluyen rootkits (MBRtool.A, MBRtool.B, MBRtool.C, etc.) diseñados para suplantar el master boot record (MBR), el primer sector o sector cero del disco duro, por uno propio. Esto supone una auténtica novedad en la utilización de rootkits, ya que hacen aún más difícil la detección de los códigos maliciosos a los que van asociados.

“Este sistema de ataque hace que sea prácticamente imposible detectar el rootkit y los códigos maliciosos a los que oculta una vez que se han instalado en el equipo, utilizando soluciones de seguridad tradicionales”, afirma Luis Corrons, Director Técnico de PandaLabs, que añade: “las única defensa sería detectar la presencia de estos rootkits antes de que entren en el ordenador. Además, y en previsión de códigos maliciosos desconocidos similares que puedan aparecer, es necesario utilizar tecnologías proactivas capaces de detectar amenazas sin necesidad de conocerlas con anterioridad”.

El propósito de los rootkits en el campo de la ciber-delincuencia es ocultar la acción de los ejemplares de malware, dificultando así su detección. Hasta ahora, los rootkits se instalaban dentro de algún proceso del sistema, pero los nuevos ejemplares que PandaLabs ha localizado se instalan en una parte del disco duro que se activa antes que el propio sistema operativo.

Cuando uno de estos nuevos rootkits es ejecutado en un sistema, realiza una copia del MBR existente, al tiempo que modifica el original con instrucciones maliciosas. Con ello consigue que si se intenta acceder al MBR, en lugar de al falso, el rootkit el redirigirá al verdadero, evitando que el usuario o las aplicaciones vean algo sospechoso.

Debido a estas modificaciones, cuando el usuario encienda el ordenador, se cargará el MBR modificado, antes de cargar el sistema operativo. En ese momento, el rootkit ejecutará el resto de su código con lo que conseguirá quedar totalmente oculto tanto él como los códigos maliciosos asociados al mismo.

Hasta ahora, los rootkits enmascaraban extensiones o procesos, pero estos nuevos ejemplares pueden engañar directamente al sistema. Su emplazamiento provoca que el usuario no observe ninguna anomalía en ningún proceso del sistema, puesto que el rootkit cargado en memoria estará vigilando todos los accesos al disco, para hacer invisible al sistema cualquier tipo de malware al que vaya sido asociado.

Los usuarios deben extremar las precauciones ante este nuevo tipo de amenaza. Por ello, es conveniente que no ejecuten ningún archivo de procedencia desconocida que les llegue por correo electrónico, mensajería instantánea u otros medios.

Para eliminar el código malicioso, el usuario que ya haya sido infectado deberá arrancar el ordenador con un CD de arranque para así no ejecutar el MBR. A continuación, deberá restaurar éste con utilidades como fixmbr de la consola de recuperación de Windows, cuando la infección se produce con este sistema operativo instalado.

“Estos rootkits podrían utilizarse para afectar a otras plataformas como Linux, ya que se ejecutan antes que el MBR, por lo que su acción es independiente del sistema operativo que tenga instalado el usuario”, concluye Luis Corrons.

FUENTE

Los primeros casos de infecciones de PC por sitios falsos que promocionan compras de regalos de Navidad comenzaron a verificarse este mes, según un informe de Trend Argentina, una empresa de seguridad informática.

Con palabras cargadas en buscadores tales como “regalos para Navidad”; “shopping de Navidad”, los hackers direccionan a quienes ya han comenzado a considerar presentes para sus seres queridos a sitios falsos en los que se ejecuta malware como troyanos y gusanos para la obtención de información personal.

Una novedad adicional este año, según Trend Argentina, es la posibilidad de los servidores involucrados en esta amenaza de entregar, de manera automática y dinámica, distintos archivos cambiando algunas características internas de cada uno de los usuarios que ingresan, dificultando aún más la detección de este malware para los antivirus tradicionales.

A partir de esta última característica, es imprescindible contar con una protección que de modo adicional a las herramientas “clásicas” cuente con la capacidad de evaluar la reputación de los sitios a los que desea acceder el usuario, evitando de esta manera cualquier contacto con los sitios afectados, según aconseja la empresa.

“Algo aún más importante es que esperamos un crecimiento de este tipo de amenazas orientadas a las fiestas a medida que nos acerquemos a ellas”, dice la empresa. Es muy probable que las amenazas que vayan surgiendo durante estos días tengan que ver con supuestos saludos, videos o blogs temáticos en servicios o sitios gemelos a YouTube, MySpace, Postales digitales, etc.

Algunos ejemplos de sitios falsos, a continuación marcados en rojo:

FUENTE

ThreatSense.Net es el servicio de Alerta Temprana de ESET NOD32 Antivirus, el cual indica el porcentaje de propagación de todos los códigos maliciosos que han sido detectados en las computadoras del mundo que tengan activado este servicio en su antivirus ESET NOD32. Los datos son enviados desde más de 10 millones de equipos únicos, que recolectan estadísticas sobre más de veinte mil distintos tipos y familias de códigos maliciosos activos durante el último mes.

El PSW.Agent.NDP obtuvo el 6,68 por ciento de las detecciones totales y es un troyano ladrón de claves orientado a la obtención de usuarios y contraseñas en diversos y populares juegos en línea, como es el caso de World of Warcraft.

El incremento en el índice de propagación de este malware da cuenta del trabajo de los creadores de malware para conseguir usuarios y contraseñas de servicios comerciales y bancarios mediante la captura de usuarios y contraseñas obtenidos inicialmente por la suplantación de identidad en juegos en línea.

El segundo lugar es ocupado por el Win32/Obfuscated.A1. Esta detección es una firma que incluye a un grupo selecto de malware orientados a ofuzcar códigos. El incremento en su detección dio como resultado que en quince días el Win32/Obfuscated.A1 alcanzara el 6,11 por ciento del total.

La tercera posición es asumida por el INF/Autorun con casi 4,18 por ciento. Este tipo de código malicioso es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, un DVD o un dispositivo USB, es leído por el equipo informático.

En el cuarto lugar continúa el Win32/Adware.Virtumonde con el 2,89 por ciento del total de detecciones y es un adware utilizado para enviar publicidad de distintos productos y servicios a los usuarios infectados.

En la quinta posición se encuentra el Win32/Obfuscated.A1.Gen con el 1,74 por ciento y es una detección genérica del Win32/Obfuscated.A1 creada para detectar todas las nuevas variantes de los códigos maliciosos de este tipo.

Tras nueve meses de estar entre los tres primeros lugares del podio, el Win32/TrojanDownloader.Ani.Gen desciende al sexto lugar con el 1,66 por ciento del total. Esta amenaza aprovecha una vulnerabilidad (ya corregida por Microsoft) en los archivos .ANI (aquellos que brindan la posibilidad de contar con cursores e íconos animados en Windows) para descargar otros códigos maliciosos como troyanos, gusanos o ladrones de contraseñas.

En el séptimo lugar se mantiene el Win32/Agent con el 1,47 por ciento de las detecciones y es la detección genérica de la familia de troyanos Agent.

En los últimos lugares se encuentran códigos maliciosos muy variados, como el Win32/Adware.Ezula, el Win32/AutoRun.CH y el Win32/VB; sumando el cuatro por ciento del total.

Mes a mes, se observa un incremento en la diversidad de amenazas informáticas que da cuenta del ingenio de los creadores de malware para viabilizar nuevas técnicas de propagación. Es por ello indispensable la educación y capacitación del usuario para reconocer y evitar este tipo de engaños que, en su gran mayoría, apuntan al robo de identidad, dinero o estafa por parte de creadores de malware que utilizan la Ingeniería Social como principal técnica de propagación.

Asimismo, es de vital importancia que el usuario cuente con software de seguridad informática con capacidades de protección proactiva como la que proveen ESET NOD32 y ESET Smart Security, la nueva solución unificada que incorpora a ESET NOD32 funcionalidades antispam y firewall personal.

La conjunción de la educación con software de detección proactiva permitirá al usuario contar con una mejor y más efectiva seguridad contra las últimas y más variadas amenazas informáticas.

Para ampliar el conocimiento respecto de temas relacionados con la seguridad de la información, se puede acceder a la Plataforma Educativa de ESET Latinoamérica desde el siguiente enlace: http://edu.eset-la.com

“El robo de usuarios y contraseñas en cualquier servicio de Internet puede derivar en una suplantación de identidad mucho más grave, ya que el creador del malware consigue información personal y privada, y eso significa el inicio de una cadena de ataques contra esa persona”, dijo Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.

“Desde hace dos meses, el malware de mayor detección según nuestras estadísticas tiene como objetivo el robo de usuarios y contraseñas en juegos en línea, algo que quizá puede parecer no tan grave, pero si por ejemplo, los usuarios y contraseñas se repiten en un correo electrónico o en una cuenta bancaria se tiene acceso muy sencillo tanto a la información privada de un correo como al dinero de una cuenta bancaria”, concluyó Borghello.

FUENTE

El Win32/PSW.Agent.NDP ocupa la primera posición del ranking de detecciones de octubre generado por la empresa ESET a través del servicio estadístico ThreatSense.Net.

ThreatSense.Net es el servicio de Alerta Temprana de ESET NOD32 Antivirus, el cual indica el porcentaje de propagación de todos los códigos maliciosos que han sido detectados en las computadoras del mundo que tengan activado este servicio en su antivirus ESET NOD32.

Los datos son enviados desde más de 10 millones de equipos únicos, que recolectan estadísticas sobre más de veinte mil distintos tipos y familias de códigos maliciosos activos durante el último mes. Para más información sobre ThreatSense.Net: http://www.eset-la.com/threatsense.net

El PSW.Agent.NDP obtuvo el 5,73 por ciento de las detecciones totales y es un troyano ladrón de claves que se especifica en la obtención de usuarios y contraseñas de varios tipos de juegos en línea muy populares como es el caso del World of Warcraft.

Este tipo de ataques es muy común en los malware de hoy en día, ya que muchos de los usuarios y contraseñas obtenidos a través de un juego en línea significan el inicio del ataque de un robo de identidad en el cual los creadores de malware buscan conseguir usuarios y contraseñas de servicios comerciales y bancarios como eBay, DeRemate o cualquier dato personal para ingresar a un homebanking.

El segundo lugar está ocupado por el INF/Autorun con casi 3,50 %. Este tipo de archivos es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, un DVD o un dispositivo USB, es leído por el equipo informático.

En la tercera posición, y manteniéndose durante nueve meses entre las tres primeros lugares del podio, se ubica el Win32/TrojanDownloader.Ani.Gen con el 2,80 por ciento del total. Esta amenaza aprovecha una vulnerabilidad (ya corregida por Microsoft) en los archivos .ANI (aquellos que brindan la posibilidad de contar con cursores e íconos animados en Windows) para descargar otros códigos maliciosos como troyanos, gusanos o ladrones de contraseñas.

En el cuarto lugar continúa el Win32/Adware.Virtumonde con el 2,72 por ciento del total de detecciones. Este malware es un adware utilizado para enviar propaganda de distintos productos a los usuarios infectados.

En la quinta posición se encuentra el Win32/Agent.BCK con 2,05 por ciento de las detecciones totales. La familia de los Agent presenta diversos ataques típicos de troyanos como infectar equipos para ser parte de una botnet, password stealer, backdor o keylogger.

Esta variante particular abre puertos de ingreso en los equipos infectados para descargar otras amenazas y continuar con las infecciones.

En la sexta posición se ubica el Win32/Adware.Virtumonde.FP con el 1,40 %. Este código malicioso es otra variante específica del Virtumonde que también muestra distintas publicidades a los usuarios infectados.

En el séptimo lugar aparece el Win32/Agent con el 1,34 por ciento de las detecciones. Este malware es la detección genérica de la familia de troyanos Agent.

En los últimos lugares se encuentran códigos maliciosos muy variados, como el Win32/RJump.A, el IRC/SdBot y el Win32/Adware.Agent; sumando más del tres por ciento del total.

Con la diversidad de amenazas informáticas que aparecen este mes, se evidencia la utilización de las más variadas técnicas por parte de los creadores de malware. A su vez, la Ingeniería Social continúa siendo la principal técnica de propagación, lo que da cuenta de la vital importancia de la educación y capacitación del usuario para reconocer y evitar este tipo de engaños que, en su gran mayoría, apuntan al robo de identidad, dinero o estafa por parte de usuarios malintencionados.

Además, resulta fundamental que el usuario cuente con un software antivirus con capacidades de protección proactiva como la que provee ESET NOD32. La conjunción de estas dos prácticas es lo que le permitirá contar con una mejor y mayor seguridad contra el malware.

Para ampliar el conocimiento respecto de temas relacionados con la seguridad de la información, se puede acceder a la Plataforma Educativa de ESET Latinoamérica desde el siguiente enlace: http://edu.eset-la.com

“Las tendencias de los ataques de los códigos maliciosos evolucionan y se modifican mes a mes, y esto demuestra que todos los usuarios tenemos que conocer los distintos vectores de ataque para poder prevenirnos de todas las amenazas existentes”, dijo Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.

“Durante este mes tenemos en la primera posición del ranking un malware que nos roba la contraseña de un juego en línea y todos podemos preguntarnos qué tan malo puede ser esto, pero así obtiene nuestro correo electrónico, luego nuestra clave del correo, luego nuestro usuario de home banking y todo empezó por un juego en línea. Siempre hay que estar atento y ser precavido en todos los servicios que cada uno utiliza cuando se conecta a Internet si no quiere ser víctima de algún ataque informático”, concluyó Borghello.

FUENTE

Algo similar había ocurrido a principio de año para el día de los enamorados. Pero esta vez, el mensaje está en castellano. Como comenté, en el Asunto figura una frase similar a “Hola Corazón. Amante secreto ha elegido una tarjeta para ti, en TuParada”. Y cuando se ingresa al mail, hay un poema muy inspirativo, en el que dice cosas como: No creas que fue en vano/Nuestro idilio que junto a ti viví/Con ilusiones locas/Recogiendo estrellas/etc., etc.

Y después aparece un link (http://www.tuparada.com/g/?id=1DDD737709957V1) que te invita a ver una tarjeta que te envió este admirador secreto, que además asegura estar muy enamorado. Eso si, simplemente en el momento de ingresar al link, ya se descarga en la máquina un troyano porque lo que en realidad hay es un archivo comprimido.
Una vez instalado, lo que va a tratar de hacer es controlar algunas herramientas como el administrador de tareas, con el objetivo de lograr obtener información que haya en la computadora.

Y bueno, más vale estar prevenidos aunque desilusionados porque en realidad ese correo electrónico de amor tan especial, finalmente termina siendo un troyano.

FUENTE