MALWARE USANDO BITS PARA DESCARGAR FICHEROS
Gracias a los cortafuegos que se instalan en el propio ordenador (en contraposición a los externos, que funcionan en el router) el malware lo tiene un poco más difícil para conectarse a Internet y descargarse ficheros. Muchos cortafuegos ofrecen acceso solo a determinados programas a los que nosotros hayamos dado permiso, como puede ser el navegador o el cliente de correo.

Pero los programadores de malware no paran de investigar y descubrir nuevas técnicas para conseguir introducir software malicioso en nuestro ordenador sin que nos demos cuenta. La última de la que se tiene conocimiento es el uso del servicio BITS, Background Intelligent Transfer Service, el mismo que hace servir Windows Update para descargar sus actualizaciones.

Este servicio dispone de permisos por defecto para acceder a Internet, ya que es parte del sistema operativo, por lo que es posible usarlo con una simple llamada para pedir que descargue los ficheros que necesita el malware. De esto modo, el cortafuegos ni siquiera se da cuenta de que una aplicación se está descargando ficheros y no puede impedirlo.

El servicio BITS, además, solo usa el ancho de banda “sobrante”, de forma que tampoco el usuario se dará cuenta porque la conexión le vaya lenta, aumentado aun más la fiabilidad de este método.

Lo malo es que, por ahora, este método puede ser difícil de parchear para impedir que este tipo de aplicaciones lo utilicen, ya que no está pensado para discriminar dependiendo de que programa lo llame y, dado que Windows Update se basa en este servicio, no es nada recomendable detenerlo para impedirlo.

¿Hará algo Microsoft para impedir su uso? Parece poco probable, ya que ahora mismo el riesgo tampoco es excesivamente elevado, teniendo en cuenta que para poder usarlo el malware ya tiene que haber conseguido introducir un ejecutable en nuestro sistema.

Como siempre, un buen antivirus actualizado a la última versión debería bastarnos para protegernos de esta amenaza. También, un navegador más seguro que Internet Explorer facilitará la labor de tener nuestro ordenador libre de esteos especímenes.

Fuente: http://www.genbeta.com/2007/05/14-malware-usando-bits-para-descargar-ficheros

Ver más

EL 70% DE LOS ORDENADORES DOMÉSTICOS CONTIENE VIRUS O PROGRAMAS
ESPIAS Más de la mitad del 'malware' detectado es de alto riesgo porque puede dañar los equipos o derivar en un engaño o fraude

Por RAMÓN MUÑOZ

Internet sigue siendo seguro y, sobre todo, insustituible. Pero hay que poner cada día más cuidado con lo que llega al ordenador a través de la Red. Y es que en siete de cada diez ordenadores domésticos con acceso a Internet (el 72%) se ha introducido algún tipo de programa de software malicioso no solicitado por el usuario (denominado en argot malware). No sólo ni principalmente se trata de los famosos virus informáticos, sino de todo tipo de programas que buscan obtener información o datos personales del usuario con fines espurios.

El informe del Inteco se ha hecho con el rastreo por sensores de 3.500 equipos
Los 'hackers' ya no persiguen notoriedad, sino sacar provecho económico

Éstas son las principales conclusiones del informe del Instituto Nacional de Tecnologías de la Comunicación (Inteco), el organismo del Ministerio de Industria que vigila la seguridad en la Red, tras rastrear una muestra de 3.500 ordenadores donde ha instalado sensores para detectar estos programas.

Además, en más del 50% de esos ordenadores esos programas son de alto riesgo, bien porque pueden causar un daño irreparable en el equipo, bien porque pueden derivar en algún tipo de engaño o fraude.

La importancia y la novedad del dato es que no proviene de una encuesta (generalmente realizadas por las propias empresas antivirus), sino que se trata del primer estudio oficial con datos reales recogidos de una muestra donde el Inteco ha instalado sensores, con el fin de estudiar los discos duros, y detectar y catalogar las principales amenazas.

El informe pone de manifiesto que los piratas informáticos o hackers han cambiado mucho sus hábitos. Ahora ya no buscan notoriedad ni que su nombre figure en el top ten de los creadores de virus. Se han vuelto anónimos porque su objetivo es el robo o la explotación con fines lucrativos o delictivos, con la utilización de la capacidad y ancho de banda.

Ésa es la razón de que haya descendido notablemente la presencia de virus informáticos que sólo persiguen causar daños en el disco duro. Sólo el 18,4% de los ordenadores presentaban virus.

La estrella ahora son los programas que despliegan ventanas emergentes o barras en la pantalla con publicidad no solicitada de distintos servicios o productos y que, en algunos casos, se convierten en instrumentos de engaños o fraude porque recopilan datos sobre los hábitos del usuario o le dirigen hacia sitios de compras online (casinos, coches, relojes, medicamentos) inexistentes.

La investigación de Inteco ha detectado que el 42,7% de los ordenadores estaba infectado por adware. Le siguen en importancia los troyanos, programas que se introducen en las computadoras con el fin de permitir el acceso desde el exterior para controlar la máquina o conseguir información, deshabilitando antivirus, y que se han detectado en el 41,5% de los programas.

Muy relacionado con los troyanos están los programas herramienta que intentan captar datos, generalmente bancarios, y que se han encontrado en el 13% de los ordenadores.

Y a mucha distancia de todos estos están las bromas; los marcadores (dialers), programas que marcan un número de tarificación adicional (los que comienzan por 800 y 900); programas espía que consiguen datos de tipo comercial a través de descargas gratuitas; los que aprovechan las vulnerabilidades de seguridad del sistema (exploit); los que permiten captar las pulsaciones del teclado; los que se alojan en lenguajes de programación (script) o los que se ocultan para obtener información (rootkits).

El Inteco ha catalogado estos programas en tres categorías: alto riesgo, como troyanos, captadores de pulsaciones o marcadores; de riesgo medio como el adware; o de riesgo bajo como las bromas (ver gráfico). El 52% de los equipos sufre riesgo alto; el 18%, medio y el 2%, bajo.
El antivirus es insuficiente
Una de las conclusiones del informe es que la instalación de un antivirus no es suficiente, sino que son necesarias además otras medidas como tener hábitos de seguridad y realizar políticas públicas de concienciación.

Pero el hecho de que por Internet circulen programas maliciosos no le resta fiabilidad, ni disuade de su uso. Una encuesta realizada por el propio Inteco arroja que los usuarios perciben la seguridad en la Red con una nota de 76,4 puntos sobre 100.

Es decir, que aun en el caso de que el ordenador esté lleno de correos sospechosos, el ciudadano no deja de utilizar Internet.

Sólo cuando el internauta registra más de tres incidencias repetidas empieza a pensar que conectar su ordenador no es tan seguro como pensaba, y comienza a tomar medidas proactivas como no abrir correos dudosos o pinchar en links de dudosa credibilidad.

Fuente:http://www.kriptopolis.org/monocultivos-y-epidemias

Ver más

Index.dat. ASEGURANDO NUESTRA PRIVACIDAD

Como ya muchos saben, la manera más rápida y sencilla de borrar la información que se almacena en la computadora con relación a nuestra navegación (caché, cookies, historial, etc.) al utilizar Internet Explorer, es hacerlo desde el mismo navegador:

Ahora bien, existe un archivo llamado Index.dat que es propio del sistema y permanece oculto en el mismo, éste archivo contiene un índice de referencia que guarda las direcciones de todas las páginas web que visitamos.

Eliminando los archivos de la forma convencional antes mencionada, la información contenida en el Index.dat no se borra, por ende, quien pueda localizar y leer este archivo podrá ver absolutamente todos los sitios que hayamos visitado, sin importar que hayamos, previamente, eliminado el historial del IE y demás información. Si bien no se trata de un archivo critico, toma relativa importancia al ser propenso a comprometer uno de los principios básicos de la Seguridad Informática, nuestra privacidad.

Y es aquí cuando surge la siguiente pregunta: ¿es paranoico pensar que este archivo puede comprometer nuestra privacidad?. Yo creo que si, que no constituye una amenaza grave, pero también creo que evidentemente no deja de ser una amenaza y por tal motivo debemos conocerla y tenerla en cuenta sin darle un nivel de importancia más allá del que realmente se merece y sin hacer del tema una cuestión extremadamente paranoica.

De todas maneras es importante tenerlo en cuenta a la hora de querer eliminar las huellas que dejamos al manipular un sistema, además es un archivo a examinar a la hora de realizar un análisis sobre un sistema comprometido.

Veamos ahora algunas herramientas de las cuales disponemos para poder manipular este archivo y eliminar completamente su contenido.

En primer lugar debemos saber que este archivo puede estar alojado en diferentes sectores de nuestro sistema dependiendo del sistema operativo que usemos, por ejemplo:

Windows 9x > Windows ME

\Windows\Cookies
\Windows\History\history.ie5
\Windows\History\History.ie5\sub-folders
\Windows\Temporary Internet Files
\Windows\Temporary Internet Files\Content.IE5\
\Windows\Temporary Internet Files\Content.IE5\sub-folders

Windows NT > Windows Server 2003

\Documents and settings\\cookies
\Documents and settings\\Local Settings\History
\Documents and settings\\Local Settings\Temporary Internet Files
\Documents and settings\\Local Settings\Temporary Internet Files\Content.IE5
\Documents and settings\\Local Settings\Temporary Internet Files\Content.IE5\sub-folders
\Documents and settings\All Users\cookies
\Documents and settings\All Users\Local Settings\History
\Documents and settings\All Users\Local Settings\Temporary Internet Files
\Documents and settings\All Users\Local Settings\Temporary Internet Files\Content.IE5
\Documents and settings\All Users\Local Settings\Temporary Internet Files\Content.IE5\sub-folders
\Documents and settings\Default User\cookies
\Documents and settings\Default User\Local Settings\History
\Documents and settings\Default User\Local Settings\Temporary Internet Files
\Documents and settings\Default User\Local Settings\Temporary Internet Files\Content.IE5
\Documents and settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\sub-folders

También en

\windows\system32\config\systemprofile\cookies \windows\system32\config\systemprofile\local settings\history \windows\system32\config\systemprofile\local settings\history\sub-folders \windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5

Como ya se mencionó anteriormente, el Index.dat se encuentra oculto y con privilegios de ser un archivo necesario para el sistema, por tal motivo no podremos eliminarlo de la manera en que estamos acostumbrados a hacerlo con cualquier otro archivo.

Existen varios programas, tanto en línea de comando como para entorno gráfico, que nos permiten manipular, ver y borrar el contenido de estos archivos. Veamos algunos métodos y usos.

Find
Para poder visualizarlo podemos recurrir al DOS, bajo línea de comandos escribimos en C:\Documents and Settings\[Usuario]\Configuración local\Historial\History.IE5 (ruta donde se aloja el archivo) el siguiente comando:

find /i “http://” index.dat | sort > C:\cont-index-dat.txt

Con el comando find le pedimos que busque dentro del archivo Index.dat cadenas de texto, en este caso los caracteres “http://”, el parámetro /i omite mayúsculas y minúsculas al buscar; y con el comando sort le decimos que ordene lo encontrado en forma alfabética y que lo guarde como cont-index-dat.txt en la raíz del disco C.

De esta manera obtendremos un archivo .txt llamado cont-index-dat.txt con el contenido de todas las páginas web visitadas.

Pasco
Una segunda opción para visualizar su contenido, podría ser utilizando una herramienta llamada pasco de la firma Foundstone. Pasco, que significa “navegar” en latín, es una herramienta gratuita que se utiliza en análisis forense y nos permite generar un archivo .CVS que podremos visualizar, por ejemplo, en una planilla de cálculo de Excel.

Para ejecutarlo debemos escribir en el prompt de DOS un simple comando:

C:\>pasco –d –t index.dat > index.csv

De esta manera podremos generar un archivo con extensión .csv que podremos exportar a una planilla de cálculo.

InUse
Si lo que queremos hacer es directamente borrar el archivo Index.dat, podemos utilizar una herramienta de Microsoft llamada InUse, ésta herramienta nos permite cambiar archivos que no se pueden manipular mientras son usados por el sistema, es rápida, pesa 40 Kb y se utiliza bajo línea de comando. Su sintaxis es sencilla.

C:\>inuse [origen] [destino]

Veamos un ejemplo. En primer lugar tenemos que crear, mediante el block de notas, un archivo llamado Index.dat y guardarlo, por ejemplo, en la misma carpeta donde esta el InUse.exe (lo mas práctico es guardar ambos en la raíz del C). Una vez que tengamos el archivo, bajo DOS escribimos los siguiente:

C:\INUSE> inuse index.dat C:\Documents and Settings\Mi Pistus\Configuración local\Historial\History.IE5

Luego de reiniciar la computadora, Internet Explorer creará un nuevo archivo vacío llamado Index.dat, con lo cual nos aseguramos de haber borrado todo el rastro que haya guardado en su índice de referencia.

Si no se sienten cómodos utilizando herramientas bajo línea de comandos, existen muchas otras que nos permiten manipular el Index.dat bajo un entorno gráfico. Veamos algunas de ellas.

Index.dat Scanner
Si bien todas las herramientas mostradas son sencillas de utilizar, ésta tiene la particularidad de que no necesita instalación, es decir, con solo hacer doble click sobre el ejecutable es suficiente para que nos muestre todo el contenido del Index.dat, brindándonos la opción de guardar el resultado en un log con extensión .txt o escanear un archivo Index.dat en particular, por ejemplo, alguno que hayamos extraído de otra/s computadoras.

Si nuestro objetivo es visualizar el contenido del archivo, ésta es una herramienta ideal ya que solo pesa 87 Kb, con lo cual podremos transportarla en un disquete. Aquí tienen una captura del log generado con este programa.

Index.dat Analyzer
Index.dat Analyzer no solo nos permite visualizar el contenido del archivo sino que también nos permite eliminar aquellas entradas que no son de nuestro interés.

Una buena característica de este programa es que nos deja interactuar entre el contenido del caché, las cookies y el historial, pudiendo seleccionar de cada una de ellas las entradas que queremos eliminar. Al igual que el anterior, es muy sencilla de utilizar y a diferencia requiere ser instalado en el disco rígido.

Para poder guardar su contenido, tendremos que seleccionar todos los items, o seleccionar aquellos que luego queremos analizar, y elegir la opción File→Save Selected Items, de esta forma obtendremos un archivo .txt con las entradas que hayamos seleccionado.

Index.dat Suite
Por ultimo, veamos ésta herramienta que nos sirve para eliminar no solo el index.dat sino que también cualquier otra información que se haya almacenado después de nuestra actividad en una computadora. Posee muchas mas herramientas que las dos mencionadas anteriormente y requiere instalación.

Entre sus funciones se encuentran:

• Ver, borrar y hacer copias de seguridad de los archivos Index.dat

• Ver y borrar archivos temporales de Internet

• Ver y borrar coockies, historial, archivos temporales y documentos recientes

• Borrar URL’s que no nos interese

• Borrar el contenido de la carpeta Prefetch, entre otras

Para eliminar nuestras huellas, primero debemos asegurarnos de escanear todos los discos (Search in: ALL DRIVERS), luego seleccionar la opción “Find”. Por último, Seleccionar del menú Tools la opción Cleanup→Coockies (History, Temp., etc)→Delete Contents.

Y por ultimo, para eliminar el Index.dat debemos, previo escaneo, seleccionar los archivos index.dat que queremos eliminar, tal como lo muestra la captura.

Una vez hecho esto, tendremos que generar un archivo .bat, para lo cual haremos clic sobre el botón con el dibujo de una consola DOS.

Esto generará el archivo run.bat en la raíz del C que nos permitirá eliminar el Index.dat. Bajo línea de comando tipear simplemente run.bat y el índice de referencia del Index.dat se eliminará por completo.

InUse
http://download.microsoft.com/download/win2000platform/inuse/1.0/NT5/EN-US/inuse.exe
Pasco
http://www.foundstone.com/resources/termsofuse.htm?file=pasco.zip
Index.dat Scanner
http://soft.em-tnt.com/files/IdatScan.exe
Index.dat Analyzer
http://www.systenance.com/download/indexdat-setup.exe
Index.dat Suite
http://support.it-mate.co.uk/?mode=Products&act=DL&p=index.datsuite&g=idsuite.exe

Versión PDF

jam

Ver más

TROYANO. NUEVA VERSION DE IE 7 BETA
Hoy me encontré en mi correo, nuevamente, con una versión Beta del Internet Explorer. El correo es enviado por spam masivamente y contiene una imagen haciendo alusión a una nueva version beta del explorador de Microsoft.
El correo falsea la dirección de origen para hacer creer al usuario que proviene de admin@microsoft.com:
Si verificamos la cabecera del correo es fácil verificar que en realidad el correo proviene de un servidor ruso:
Si observamos el código fuente del correo verificamos que la imagen mencionada se encuentra alojada en un servidor ajeno a Microsoft por supuesto y ubicado en una empresa de viajes que seguramente aún no sabe que sus servidores sirven de hosting de esta amenaza:
También verificamos que al hacer clic sobre la imagen se nos solicita deascargar un archivo ejecutable "update.exe" alojado en el mismo servidor que la imagen:

Si descargamos el ejecutable y lo verificamos por codigo dañino en VirusTotal podemos verificar que en realidad se trata de un troyano encargado de descargar otros malware. Estos programas reciben el nombre de downloaders.
Si analizamos (sin demasidos detalles) el código podemos ver que en el mismo se hace referencia a otro sitio ruso para descargar un nuevo ejecutable "proba.exe":
También se descarga un nuevo troyano "0.exe" y un "/HVyiFiFofYdYIdYIDy/update.exe". Este último nombre se encuentra ofuscado en su código fuente:
Este último se copia a sí mismo al perfil del usuario como "winlogon.exe" y se agrega automáticamente a la clave RUN del registro para asegurar su arranque la proxima vez que se inicie el sistema:
También descargan y ejecutan los archivos "sys.bat" y "p2hhr.bat" que se encargan de borrar las "huellas":
Una vez activo el programa no permite finalizar el proceso dando un error como se ve a continuación:
También hay que notar que el proceso recibe el nombre del otro "winlogon" original del sistema. Para identificarlos sólo hay que ver el usuario que lo ha ejecutado.

Me queda averiguar cual es el objetivo de este último que no debe ser otro que el robo de contraseñas o clic automáticos. Se los debo para la próxima.

cfb

Ver más

TROYANO QUE SIMULA LA ACTIVACION DE WINDOWS

La imaginación que gasta la gente con los troyanos no tiene límites. Véase si no este ejemplo:

El invento en cuestión se llama Kardphisher, y como podéis ver, simula una falsa activación de Windows, muy lograda por cierto, en la que misteriosamente, hay que introducir nuestros datos de tarjeta de crédito. Nombre, número de tarjeta de crédito, PIN, fecha de expiración y código CVV2. Casi nada. Ni que decir tiene que en una activación real de Windows jamás se solicitan estos datos.

Precisamente ayer me quejaba un poco de que los medios sólo suelen hablar del robo de credenciales de e-banking, y no prestan mucha atención a otras amenazas que al menos son igual de importantes, lo que crea una falsa sensación de que sólo corremos peligro si nos roban las credenciales de banca electrónica. El robo de datos de tarjeta de crédito ha sido, es y seguirá siendo una fuente de emolumentos ilegítimos jugosa y ampliamente practicada, y éste es sólo un ejemplo.

Los consejos que os puedo trasladar desde estas líneas son los siguientes:

• Entregad los datos de tarjeta sólo en comercios online consolidados, fiables y si es posible, amparados por legislación. En España por ejemplo, el comercio electrónico está ampliamente regulado, y las empresas registralmente constituídas en territorio nacional están sujetas a muchos controles que favorecen nuestra tranquilidad.

• Vigilad el estado de actualización de vuestro sistema y protecciones, y si podéis, haced las compras y las operaciones que impliquen entregar este tipo de datos con live cds Linux o similares, que son 100% seguros, y no están expuestos a contaminaciones por troyanos.

• Solicitad a vuestra entidad una tarjeta adicional con crédito limitado para vuestras operaciones en Internet. Así, en el caso indeseable de robo de datos, el crédito a disponer estará limitado, y se minimizará el daño sobre nuestro patrimonio. La gran mayoría de las personas no necesitamos 6000 euros de crédito mensual para compras por Internet.

Fuente: http://www.sahw.com

Ver más