Antiguamente existian generadores de virus, para que los “niños” (y no tan niños) pudieran hacer virus a medida.

Actualmente ello pasó a la historia, dada la mayor complejidad de los virus de windows, que son aplicaciones con su instalación y demás, pero hay una multitud de virus que se propagan por pendrive, los cuales son fáciles de hacer, partiendo de cualquier virus y consiguiendo su propagación por dicho medio.

Con el EliStarA de hoy 19.98 pasamos a controlar el primero que hemos visto de este tipo, cuyo fichero tiene el nombre de “Autorun Virus Generator V1.2.exe” y cuya ventana no puede ser mas intuitiva:

imagen ventana :

Sobra decir que indicandole el fichero a propagar, lo esconderá en una carpeta “recycler” y creará el AUTORUN adecuado para propagar el fichero escogido a un pendrive, junto con dicho AUTORUN.INF para que lo propague en los ordenadores en los cuales se introduzca, y que por supuesto no estén vacunados con nuestro Elipen

Asi mismo tampoco podrá crear dicho AUTORUN malware en los pendrives vacunados con dicha utilidad Elipen, como tampoco puede infectarles ningun virus de pendrive y asi evitamos la propagacion de todas las infecciones de este tipo.

Lo malo es que dar tantas facilidades para la creacion de virus… puede llegar a manos poco responsables y con ello aumentar aun mas este tipo de virus tan frecuente, dado lo facil que es su creacion y propagacion.

Mucho cuidado con ellos, y una vez mas recordar lo importante de tener ordenadores y pendrives vacunados con el Elipen.

FUENTE

Un nuevo virus apenas controlado actualmente llega por MSN aparentando venir del contacto con el que se está chateando, si bien no es asi sino que es el propio virus que se envia para propagarse.

De momento sabemos que reside en C:\windows\info.exe pero no es fácil acceder a dicho fichero, por lo que se ha de usar el ELIMOVER y marcar la casilla inferior izquierda para añadir .VIR al fichero original y asi no volver a cargarse tras el siguiente reinicio.

Probablemente corresponda a este fichero

C:\windows\info.exe
Tamaño 148.56 KB (152130 bytes)
Md5: ad5ffec67fd5d4bbcff4b619abb9fc1e

si se sospecha de ello, puede detectarse con el ELIMD5 y dicho hash

FUENTE

Son capaces de cualquier cosa. Para estafarnos, no sólo se aprovechan de las fiestas de fin de año y del Día del Amigo. No sólo nos aseguran que hemos ganado remotas loterías o que nos hemos convertido en repentinos herederos.

Ahora, los piratas informáticos se están sirviendo también de la tragedia del vuelo 447 de Air France, desaparecido hace una semana, para deslizar sus ataques.

Ayer, la compañía de seguridad informática Trend Micro informó que se detectaron engaños informáticos que utilizan el accidente del AF 447 como anzuelo para atrapar a sus víctimas. ¿Cómo funciona?

El lector estará al tanto del blooper que desde la semana pasada sufre Microsoft: al usar la palabra ladrones en la versión argentina del nuevo buscador de la compañía, llamado Bing ( www.bing.com ), el sitio lista en primer lugar la página de inicio de la Casa Rosada ( www.casarosada.gov.ar ).

Esta clase de maniobra se basa en las técnicas de optimización de los motores de búsqueda o SEO (por sus siglas en inglés). El envenenamiento de SEO permite elevar artificialmente la posición de un sitio cuando se usan palabras o frases específicas en los buscadores.
Estafas y ataques

Así como se explota esta técnica con ánimo de burla o para operaciones políticas, los piratas pueden aprovecharla para estafar o atacar al usuario.

Así, elevan el ranking de sitios diseñados para infiltrar virus cuando el usuario busca información sobre el vuelo AF 447.

“Los resultados arrojados por las búsquedas sobre la tragedia del vuelo 447 de Air France muestran vínculos que, una vez abiertos, envían al usuario a varios sitios que, a su vez, llevan a descargar software antivirus falso”, explica Maximiliano Cittadini, t eam leader de Servicios de la compañía.

Si el usuario acepta el peligroso convite, obtiene un instalador que parece normal, pero que, en realidad, está cargado de artillería malintencionada. Su nombre es Install_2022.exe, y Trend Micro ha identificado en su interior el troyano Troj_FakeAV.bim . Si se lo ejecuta, como es posible que hagan muchos usuarios inadvertidos, el virus se conecta con una dirección de Internet de la que descarga un archivo consignado como Troj_Yektel.AA que, al ejecutarse, muestra los cuadros de diálogo para instalar un antivirus llamado Personal Antivirus.

Se trata de un software falso. Si la persona sigue adelante, termina encontrándose con que su PC está llena de infecciones. Estas son advertencias falsas, cuya única finalidad es la de inducir al asustado usuario a comprar una copia completa del antivirus que, por supuesto, tiene un costo.

El ataque es particularmente avieso, porque los sitios originales que aparecen en las búsquedas muestran información real sobre el vuelo 447 de Air France.

“Pero, a la vez, advierten a quien los visita acerca de una posible infección de virus en su equipo, que pone en riesgo la integridad del sistema”, describe Cittadini.
Escurridizos

Esta advertencia es, desde luego, el primer eslabón en una cadena de engaños. El ejecutivo agrega que, según sus propias observaciones sobre la evolución del ataque, desde el informe de Trend Micro al cierre de esta edición, el nombre del instalador ya había cambiado, lo que indicaría una nueva variante del mismo malware ; tal es el nombre que genéricamente se le asigna a todo software diseñado para causar daño, estafar o robar datos.

“Desde que se comunicó la situación en el blog de Trend Micro [http://blog.trendmicro.com], los motores de búsqueda han limpiado bastante los resultados”, dice Cittadini para explicar por qué hacia la tarde de ayer la aparición de estos sitios engañosos se habían reducido notablemente.

Sin embargo, nuevos intentos de aprovechar el interés del público por el destino del vuelo 447 podrían detectarse en los próximos días, después de este antecedente.

FUENTE

Conficker es el software malicioso que ha ocupado la atención de los medios los últimos meses, incluido este blog (ver toda la información sobre Conficker). Los consejos para prevenir una infección de Conficker ya han sido publicados reiteradas veces. Sin embargo, un inconveniente frecuente en las redes corporativas es cuando el gusano ya ha infectado, y ya está instalado en la organización. ¿cómo protegerse?

La principal preocupación cuando el gusano ya ha infectado equipos, es cómo detectar cuáles equipos están infectados. Aunque mantener todos los equipos con las actualizaciones a la fecha, y protegidos por un antivirus que neutralice la amenaza, sería la principal protección; la realidad indica que muchas organizaciones poseen estructuras poco organizadas donde no hay configuraciones homogéneas de seguridad en los diferentes equipos de la red.

Para tal fin, fue desarrollada una herramienta, como iniciativa de The HoneyNet Project, que permite detectar qué equipos de la red están infectados. La misma escanea un segmento de red y verifica qué equipos probablemente estén infectados con Conficker. La herramienta puede descargarse aquí, es un script hecho en Phyton (ejecutable aquí)que puede ejecutarse muy fácilmente indicando como parámetros las direcciones IP para chequear.

Asimismo, Nessus, una de las aplicaciones de escaneo de vulnerabilidades más popular, ya cuenta con un plugin (#36036) que está basado en dicha herramienta. Por lo tanto, ya pueden integrarse las funcionalidades de Nessus para detectar la infección.

Teniendo en cuenta que en muchas de sus variantes el gusano se propaga por el resto de los equipos de la red, identificar los equipos ya infectados y desconectarlos de la red es un buen primer paso para iniciar la limpieza.

Una vez identificados los equipos y desinfectados, recuerden las medidas que ya hemos recordado para prevenir una nueva infección:

* Actualice su sistema operativo
* Active un Firewall (de perímetro o personal)
* Utilice un Antivirus
* No utilice su sistema con permisos administrativos

FUENTE

Un análisis de Virus Bulletin realizado durante el mes de septiembre ha señalado unas conclusiones preocupantes: un tercio de los productos analizados no ofrecían las prestaciones mínimas, y entre ellos están algunos de los grandes, como F-Secure o Kaspersky.

Lo cierto es que por lo que indica el mensaje de Kaspersky a los redactores de Ars Technica, estas pruebas parecen especialmente subjetivas, y se basan “en un conjunto muy limitado de criterios que no reflejan el panorama actual del malware”.

Sea como fuere, las pruebas realizadas por Virus Bulletin compararon el rendimiento de 24 productos anti-malware instalados en Windows Server 2008. Los requisitos básicos no fueron cumplidos por un tercio de productos, y entre ellos había desarrolladoras importantes como F-Secure, Kaspersky, o Avira Antivir.

FUENTE

Es muy común escuchar la frase “Ningún antivirus detecta este virus”. Sin embargo y tal como expliqué en troyanos indetectables, esto es una situación pasajera.

Tomemos por ejemplo el siguiente gusano, no detectado en ese momento por ningún antivirus:

Esto sucede porque es muy común que los desarrolladores de malware prueben sus creaciones una y otra vez contra todos los antivirus (o contra los más comunes) y, cuando logran un nivel importante de no detecciones, deciden propagar su programa dañino.

La ventaja inmediata es obvia, ya que de este modo logran infectar a la mayor cantidad de usuarios posible, sea cual sea la solución de seguridad utilizada por el mismo.

Más allá de eso, como decía anteriormente esta situación es pasajera y los antivirus comenzarán a detectar este archivo ni bien se encuentre infectando a un usuario. En este caso el gusano se propagaba por mensajería electrónica y por supuesto fue detectado inmediatamente por ESET NOD32 como Win32/AutoRun.AAC.

Por eso también es fundamental contar con una solución que provea detección heurística para poder detectar malware desconocido hasta el momento.

FUENTE

Se está detectando en Europa un tímido intento de revivir los virus de macro, a través de un documento en Microsoft Word que está siendo enviado a través de spam. El virus no representa ninguna evolución del concepto y no se le espera repercusión alguna, pero supone un renovado y discreto interés por este tipo de malware, prácticamente extinto desde finales de los 90.

El espécimen se trata de un virus de macro “de toda la vida”. Las macros en Microsoft Office permiten ejecutar código VBA (Visual Basic for Applications) incrustado dentro de documentos cuando son abiertos con esta aplicación. Hasta la versión Office 2000, esto se hacía de forma automática con todas las macros contenidas en los documentos, lo que ayudó a popularizar lo que se llamarían los “virus de macro”. Virus como Melissa y sucesivas variantes dotaron a esta forma de ejecución automática gran popularidad.

El archivo en concreto se ha difundido por algunos países europeos con el nombre de Rechnung.doc. Lleva dentro incrustado un ejecutable, y la macro se encarga de copiarlo al disco duro y ejecutarlo. Las casas antivirus han tenido que rescatar del olvido el prefijo W97M y OF97para denominar a Fordo, como se ha dado en llamar. La detección general por parte de los antivirus ha aumentado en los últimos días, aunque desde un principio ha sido muy efectiva.

http://www.virustotal.com/analisis/d67fcf69c3b2218dba79f4b154e6b930

La única novedad de Fordo es que en vez de ejecutar su payload directamente desde la macro, como habitualmente se venía haciendo, contiene en su interior un ejecutable. La macro lo copia al disco duro y lo ejecuta. Se trata entonces de un dropper tradicional que en principio no recurre a un servidor para descargar su componente principal.

La detección de la muestra del ejecutable contenido que hemos analizado es aceptable. Se trata de un spyware tradicional, que intentará conectarse a diferentes páginas.

http://www.virustotal.com/es/analisis/def454a819753c1549253844a6249708

Desde Word 2000 las macros no se ejecutan de forma automática por defecto, a no ser que estén firmadas por alguien de confianza para el equipo. Fordo ni siquiera usa vulnerabilidades conocidas o no para saltarse esta restricción, simplemente confía en que el usuario o bien use Word 97 o tenga las macros activadas en modo de seguridad “bajo” y se ejecuten automáticamente. En caso contrario simplemente la macro será ignorada. De ahí a que su difusión se espere muy discreta. En cualquier caso el virus, una vez ejecutado, modifica esta opción y marca como “bajo” el nivel de seguridad de las macros. Con esto puede llegar a conseguir que otros virus de macro se ejecuten en el futuro.

FUENTE

Es una herramienta gratuita que puede detectar y eliminar más de 1100 amenazas que afectan a este popular cliente de mensajería. Clean Virus MSN analiza por separado la memoria y los ficheros del disco duro. Las amenazas encontradas por el programa se enumeran en un listado ubicado en la parte inferior.

Algunas amenazas que Clean Virus MSN puede detectar y eliminar son las siguientes: Restarter.F, Agent.DWA, IRCBot.APY, Sdbot.CHA, Sdbot.BZY, IRCBot.AIU, SDbot.BXZ, Themida, Dropper o W32/Smalltroj.CXEI.

A pesar de estar desarrollado hasta la fecha en francés, su uso es cómodo e intuitivo y en apenas unos minutos podremos tener una mayor seguridad en todo lo relacionado con el messenger de Microsoft, el más utilizado y popular hasta la fecha.

El botón de arriba (Analyser!) inicia el análisis y el de abajo (Fermer) cierra el programa.

DESCARGA

Virus contra disidentes, “kits” para tumbar servidores de gobiernos, medios de comunicación silenciados. En el primer aniversario del bombardeo contra Estonia, expertos de las compañías Trend Micro y Arbor Networks han alertado del auge de los ataques por motivos políticos en Internet. La CNN, Radio Liberty o los grupos pro-Tibet son los últimos afectados.

Sucedió hace un año, cuando el gobierno de Estonia retiró la estatua del Soldado Soviético Desconocido y las protestas rusas saturaron las redes estonianas. La llaman la primera guerra de Internet y, también, el resurgimiento del “hacktivismo”, una práctica nacida en los 90 que significa “usar la tecnología para conseguir un objetivo político”.

El consultor independiente Dancho Danchev prefiere hablar de “guerrilla de la información del pueblo, cuyos ordenadores se convierten en estaciones de bombardeo en nombre de ‘introduzca su causa’”. Pone como ejemplo los ataques turcos a miles de sitios suecos por una caricatura de Mahoma, o las contiendas entre Israel y Palestina, donde se reparten “kits” para asaltar sitios de ambos bandos.

Pero la guerra de Estonia marcó una importante diferencia: de los ataques de internautas concienciados que ejercían su derecho a la ciberpataleta se pasó a grupos organizados, casi militares, con oscuros intereses y procedencias, cuyas “botnets” (redes de ordenadores infectados bajo su control) bombardearon sin piedad al adversario.

Lo cuenta el experto en seguridad Gadi Evron en uno de los pocos análisis públicos sobre los incidentes, publicado recientemente. Según Evron, fue “una operación a gran escala muy bien planeada en línea. Días antes, los foros rusos bullían con los preparativos, publicaban listas de objetivos e instrucciones tan simples que cualquier internauta sabría seguirlas”.

Los ataques empezaron el 26 de abril contra oficinas gubernamentales. Al día siguiente se habían extendido a otros sitios, incluidos bancos, agencias de noticias y escuelas. “Aunque nuestros sistemas no pudieron demostrar la fuente de los ataques, es indiscutible que los foros y blogs rusos fueron los responsables”, asegura.

Los intentos de defensa de Estonia contra el enemigo exterior fueron desactivados con una ingeniosa táctica, explica el experto: “Infectaron ordenadores de ciudadanos de Estonia, con los que crearon “botnets” que lanzaron contra nuestras redes”. Así, eran las propias máquinas del país quienes lo atacaban.

Esto demuestra, según Evron, que después de los primeros ataques de los internautas rusos, “jugadores más experimentados entraron en la contienda”. El gobierno ruso no sancionó públicamente la protesta hasta tres semanas después. Y Evron se pregunta: “¿Un ataque por Internet debería garantizar una reacción de la OTAN? ¿Qué derecho tiene un país a la autodefensa en caso de ciberguerra?”.

Otros casos ocurridos en los últimos meses piden también respuestas. A principios de 2008, Arbor Networks denunciaba el uso de “botnets” en un bombardeo de varios días contra webs del candidato a primer ministro de Ucrania, Victor Yanukovych, y otro contra sitios del partido “La Otra Rusia”, durante las elecciones rusas.

En marzo, el portal oficial del Gobierno Tibetano en el exilio caía bajo un ataque parecido. La empresa F-Secure avisaba: “Alguien está mandando correos con virus para infectar los ordenadores de grupos pro-Tibet y espiarles”. La Red de Apoyo a Tibet denunciaba: “Quien sea que lo esté perpetrando, lo hace a tiempo completo”.

El 20 de abril, la web de la cadena CNN desaparecía durante tres horas por un ataque organizado desde blogs chinos, que criticaban el tratamiento dado a los sucesos en Tibet. Sitios como anti-cnn.com y hackcnn.com distribuían programas que realizaban automáticamente el bombardeo.

Mientras, en los Balcanes, grupos pro-Kosovo asaltaban masivamente sitios web para poner en ellos propaganda. Grupos pro-Serbia hacían lo mismo contra sitios albanos, publicitando listas de webs vulnerables de aquel país, como el Banco de Tirana o el Partido Socialdemócrata, y “kits” para asaltarlas.

A finales de abril, el sitio de Radio Liberty en Bielorrusia caía bajo un ataque que se expandía en pocas horas a otras sedes de esta radio en Europa del Este y Asia. El motivo: la retransmisión de una manifestación de la oposición bielorrusa. Ha habido más casos pero, afirma el SANS Institute, “no se han dado aún a conocer para no entorpecer las investigaciones”.

La mayoría de incidentes proceden de ordenadores rusos y chinos pero, dada la naturaleza de Internet, es muy difícil determinar su auténtico origen. Aún así, en los últimos meses los gobiernos de Bélgica, Alemania, Gran Bretaña, India y EEUU han denunciado públicamente a China por ataques a sus redes. El gobierno chino lo niega, aduciendo que no puede controlar a los atacantes.

Manel Medina, director del equipo de seguridad esCERT, apostilla: “Los ataques políticos los hacen políticos, sea en activo, desde la oposición o la clandestinidad. Y los políticos con más recursos económicos son siempre los que están en activo, es decir, los gobiernos”.

Según Medina, “la Comisión Europea está alineando todas sus fuerzas de respuesta a incidentes de este tipo y la protección de las infraestructuras críticas es uno de los temas estrella”. España y otros seis países de la OTAN están creando en Estonia un Centro de Excelencia en Ciberdefensa. Y el gobierno de EEUU acaba de presentar su Iniciativa para la Seguridad Cibernética Nacional, con un presupuesto de 11.000 millones de euros.

Se llama “cracktivismo”

Las dos formas de acción política más común en Internet son los bombardeos y el asalto de webs. En el hacktivismo clásico, estas webs se atacaban de forma selectiva hasta que llegó la moda del “mass web defacement”: entrar directamente en los servidores que las alojan y asaltar decenas o cientos de una tacada, para dejar en todas el mismo mensaje de protesta.

Buscando la misma rapidez y eficacia, los bombardeos desde “botnets” han sustituido a las manifestaciones virtuales de los 90: “Con programas muy sencillos, utilizables desde cualquier ordenador personal, el hacktivista realizaba continuas peticiones a una misma página web. Era similar a congregar en la puerta de un banco a 200.000 personas”, explica el hacktivista Pablo Garaizar.

Aunque aquellas manifestaciones puedan verse como bombardeos, Garaizar aclara: “No eran más que sentadas virtuales hechas con medios tecnológicos sencillos, al alcance de cualquiera que desease sumarse. Sus razones y modos están muy lejos de las “botnets” de las cibermafias, cuyo abuso destruye la libertad de la red y propicia la adopción de medidas cada vez más restrictivas”.

Manel Medina puntualiza: “Se puede cortar una carretera con un camión o con personas sentadas en el asfalto, pero el resultado es el mismo: que usuarios legítimos de la infraestructura no la podrán usar, con lo que estamos dañando a los ciudadanos y no al portal, que incluso puede salir beneficiado, desarrollando en el futuro mejores mecanismos de seguridad”.

Medina propone distinguir dos corrientes de activismo cibernético: “Los pacifistas, con acciones controladas “manualmente”, y los guerrilleros, con acciones realizadas por comandos autónomos (“bots”) potencialmente incontrolables. Estos podrían llamarse “cracktivistas” y usarían “armas de destrucción masiva”".

Garaizar añade a esta distinción: “Los hacktivistas no pretenden vencer, sino convencer, se centran en la batalla ideológica, su objetivo no es tumbar un servidor sino llegar a las mentes de quienes asisten a sus acciones. El cracktivista utiliza a las personas y sus ordenadores como meros fines para incrementar su poder e imponer sus criterios”.

FUENTE

Nuevo virus cifra los archivos contenidos en un PC intervenido, para luego exigir el pago de un rescate para recuperarlos.

La compañía de seguridad informática Kaspersky Labs advierte contra un virus extorsionador actualizado. El virus GpCode cifra los archivos del PC impidiendo su lectura. Luego notifica al afectado que para obtener la clave usada para cifrar el material es necesario contactar a una dirección anónima de correo electrónico. La clave usada es de RSA de 1.024 bits y actualmente es imposible de romper.

El virus en cuestión cifra los archivos doc, txt, pdf, jpg y ccp. La raíz de los archivos intervenidos es modificada a ._crypt y son subidas a un archivo de texto donde se indica que es necesario comprar una clave para recuperar el acceso a los archivos.

Anteriormente, Kaspersky ha logrado vulnerar el sistema de cifrado de una versión anterior de GpCode, con clave de 660 bits. Sin embargo, los desconocidos autores del virus han actualizado el código, de forma que emplea el invulnerable algoritmo de 1.024 bits.

Los expertos de Kaspersky están abocados a detectar debilidades en el código del virus, con el fin de recuperar los archivos sin que sea necesario usar la clave. Kaspersky sugiere a los usuarios afectados por el virus contactarles de inmediato y no reiniciar ni apagar el PC infectado.

FUENTE