Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 31 de mayo de 2007

PIRATES OF THE CARIBBEAN: EL FIN DEL MUNDO Y EL COMIENZO DE UN TROYANO

Según la firma Antivirus Panda Software, en los últimos días se ha detectado la propagación masiva por medio del correo electrónico de un troyano detectado por la firma en cuestión bajo el nombre de "Trj/Pirabbean.A".

Este troyano simula ser un trailer de la película "Piratas del Caribe" que actualmente se encuentra en cartelera de cines y se presenta como archivo adjunto de los e-mails con el nombre de "Official_Trailer_Pirates_of_the_Caribbean_At_World's_End.exe".

Aparentemente la mayor cantidad de reportes al respecto reciden en Italia y al ejecutarse muestra la siguiente ventana:

Al mismo tiempo descarga y ejecuta un dialer, agregando al escritorio los accesos directos que se muestran en la imagen.

También manipula las configuraciones de Internet Explorer agregando dos URLs. Si se visita alguna de ellas descarga y ejecuta más dialers.

Ver más

BLUETOOTH: HERRAMIENTAS ESENCIALES

La gente de Security Hacks ha publicado un artículo en donde listan herramientas para probar la seguridad de los dispositivos que soportan Bluetooth.

Si bien esta tecnología es muy buena, ya por el hecho de no necesitar cables como también por la cantidad de alternativas de uso que tiene, no es muy fiable en cuanto a seguridad, y es un aspecto que muchos deberían tener en cuenta al usarla… pese a que no lo hacen.

La mayoría de los programas presentados funcionan bajo Linux, por lo cual deberán adecuarse a este sistema operativo para poder hacer pruebas.

  • BlueScanner - Busca dispositivos con Bluetooth habilitado, obteniendo la mayor cantidad de información posible sobre el mismo
  • BlueSniff - Utilidad con GUI que buscará y descubrirá dispositivos con Bluetooth
  • BTBrowser - Aplicación J2ME que permitirá explorar las especificaciones técnicas de dispositivos Bluetooth al alcance. Funciona en teléfonos con JSR-82
  • BTCrawler - Escáner para dispositivos con Windows Mobile y Bluetooth
  • BlueBugger - Explota vulnerabilidad BlueBug, permitiendo acceso a contactos, llamadas, y demás.
  • CIHWB - Framework de auditoria de seguridad para Windows Mobile 2005.
  • Bluediving - Suite de penetración a dispositivos Bluetooth. Maneja varios tipos de ataques.
  • Transient Bluetooth Environment Auditor - Plataforma de auditoría de seguridad, incluyendo herramientas para buscar, acceder y espiar.
  • Bluesnarfer - Descarga los contactos del objetivo (¿recuerdan Paris Hilton?)
  • BTcrack - Por medio de paquetes capturados, rompe el PIN del Bluetooth
  • Bloover II - Herramienta de Auditoría J2ME
  • BlueTest - Script en Perl para extraer información de dispositivos vulnerables
  • BTAudit - Varios programas de auditoría

¿Consejo?, luego de ver el amplio abanico de herramientas para romper la seguridad de esta tecnología… intenten mantenerlo desactivado cuando no lo usan, y actualizar cada vez que haya nuevos parches para su dispositivo.

Ver más

DISPONIBLE FIREFOX 2.0.0.4
Tal como preveíamos ayer, una nueva versión de Firefox (2.0.0.4) está ya disponible en los servidores de Mozilla, aunque aún no ha sido anunciada públicamente:

>> Firefox 2.0.0.4 Linux
>> Firefox 2.0.0.4 Windows
>> Firefox 2.0.0.4 Mac

Al parecer la nueva versión corrige más de 100 bugs, dos de ellos relativos a privacidad y doce de seguridad.

Ver más

VULNERABILIDAD EN EL MECANISMO DE ACTUALIZACION DE MULTIPLES EXTENSIONES DE FIREFOX
Christopher Soghoian ha descrito una vulnerabilidad en el mecanismo de actualización de múltiples extensiones de Firefox, incluyendo Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us Extension, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar, LinkedIn Browser Toolbar, Netcraft Anti-Phishing Toolbar y PhishTank SiteChecker, entre otras.

Según Soghoian, el mecanismo de actualización de estas extensiones es sensible a un ataque man-in-the-middle, ya que cada extensión incluye una dirección IP que Firefox consulta cada vez que arranca (o cada 24 horas, según otras versiones), para comprobar si existen actualizaciones. Como consecuencia, un atacante podría engañar al ordenador de la víctima haciéndose pasar por uno de esos sitios, para instalar cualquier software malicioso en lugar de la extensión. El problema sólo puede darse cuando la extensión se descarga mediante el protocolo http:// en lugar de https://, por lo que las extensiones alojadas en el servicio add-ons de Mozilla son en principio seguras...

Actualizado (23:42): Mozilla acaba de publicar un destacado aviso al respecto en su sitio para desarrolladores.

Fuente: http://www.kriptopolis.org

Ver más

miércoles, 30 de mayo de 2007

CORTAFUEGOS: TEST DE FUGAS
Es fácil disponer de un cortafuegos que evite que otros equipos inicien y establezcan conexiones al nuestro. Sin entrar en más detalles, cualquier cortafuegos es capaz de eso con más o menos grado de sofisticación y control. Sin embargo, esa funcionalidad básica del cortafuegos no evita que un software malicioso que haya logrado penetrar en nuestro equipo pueda establecer conexiones hacia el exterior, enviando a servidores extraños cualquier tipo de información de nuestra máquina (contraseñas, datos de navegación o configuración, etc). Es por eso por lo que los cortafuegos que no facilitan el bloqueo del tráfico saliente se nos quedan incompletos (es el caso del cortafuegos incluido en XP y, en menor grado, el de Windows Vista).

Test de Fugas de Firewall I
Test de Fugas de Firewall II
Test de Fugas de Firewall III

Fuente: Kriptopolis

Ver más

sábado, 26 de mayo de 2007

BADBUNNY, UNA PRUEBA DE CONCEPTO QUE APROVECHA LAS MACROS DE OPENOFFICE
Se ha enviado directamente a los laboratorios de Sophos, una muestra de un malware cuando menos peculiar. Se trata de una macro creada para OpenOffice que descarga y ejecuta scripts "personalizados" según el sistema operativo en la que se encuentre. El malware trata de descargar una imagen JPG que representa a un señor vestido de conejo realizando un acto sexual.

Lo curioso de este malware es que se distribuye a través de un documento OpenOffice Draw (badbunny.ODG) que, según el sistema operativo donde se ejecute, intenta infectar de diferentes formas. Si se ejecuta con OpenOffice desde Windows, intenta descargar un fichero llamado drop.bad y borra system.ini de la carpeta del programa mIRC. También descarga y ejecuta badbunny.js, un virus en JavaScript que se replica en el sistema

Si se ejecuta desde Linux, descarga badbunny.py (python) como script para XChat y badbunny.pl (Perl). Este es un pequeño virus que infecta a otros ficheros Perl.

Si se ejecuta desde MacOS, descarga badbunny.rb o badbunnya.rb, dos scripts creados en Ruby.
Los scripts de clientes de IRC se utilizan para redistribuir el virus a través del envío del fichero badbunny.odg vía DCC a otros usuarios.

Desde VirusTotal.com hemos tenido acceso a una muestra de esta prueba de concepto enviada el día 22 de mayo. A fecha de 23 de mayo a las 13:00 hora española, es detectado como:

JS.Badbun.A (BitDefender), StarBasic/Bunbad.A (eTrust-Vet), IRC-Worm.StarOffice.Badbunny.a (F-Secure), IRC-Worm.StarOffice.Badbunny.a (Ikarus), StarOffice/Badbun.A (Kaspersky), StarOffice/Badbun.A (NOD32v2), SB/BadBunny-A (Sophos) SB.Badbunny (Symantec), Virus.JS.Prompt#1 (VBA32).

Este malware no representa un intento serio de infección. Sus creadores han enviado la muestra directamente a Sophos y su distribución resultará cuando menos discreta. Sus autores ya han escrito en el pasado malware de este tipo, pero esta muestra en concreto ha sido programada sin duda como prueba de concepto que demuestra la posibilidad de crear malware multiplaforma a través de OpenOffice, sin más pretensiones.

Los virus de macro que se ejecutaban a través de MSOffice pertenecen ya al pasado, si bien a finales de los 90 y principios de esta década representaban el método más popular de infección. Este malware no supondrá amenaza alguna, y es muy poco probable que futuros intentos en esta línea tengan éxito. En cualquier caso debería servir para que OpenOffice vigilara de cerca la ejecución indiscriminada de macros en su suite y no cometa los mismos errores que Microsoft en su día.

Fuente: http://www.hispasec.com

Ver más

martes, 22 de mayo de 2007

GUIAS DE PRUEBAS OWASP v2.0 EN ESPAÑOL
En nuestro intento por impulsar la divulgación de documentos sobre seguridad TI en castellano, hemos colaborado con la OWASP Foundation en la traducción de la guía de pruebas OWASP v2.0. Un extenso documento que contempla los procesos involucrados en la auditoría de aplicaciones Web.

Más de 300 páginas de valiosa información, fruto de la colaboración internacional de los expertos más reputados del sector. Ahora totalmente en castellano, que la disfrutéis.

http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_spanish_doc.zip
http://www.owasp.org/index.php/OWASP_Testing_Project

Fuente: http://www.hacktimes.com/?q=node/46

Ver más

UNA SENCILLA MANIOBRA PARA TUMBAR UNA WEB
El ciberataque que han sufrido los ordenadores estonios es uno de los más populares en Internet, por su eficacia y sencillez. Cualquier pirata malintencionado y bien formado puede tumbar una página web en cuestión de segundos, ya que el ataque es imposible de predecir y no se dirige contra la propia página sino contra un recurso difícilmente defendible: el ancho de banda.

Se llama ataque distribuido de denegación de servicio (DDoS, en sus siglas en inglés), y su objetivo es impedir el acceso a una página web, colapsándola con millones de peticiones. Para ello, los atacantes

envían un virus a miles de ordenadores de usuarios conectados a Internet, lo que les permite abrir una puerta trasera para controlar ese ordenador, al que denominan zombie. Según datos de la compañía estadounidense de antivirus Symantec, 21.707 ordenadores se convierten en zombies cada día. Madrid es, por cierto, la ciudad donde hay más PC infectados para el envío de correos electrónicos no deseados: un 6% del total.

Tras la infección de miles de ordenadores, el pirata puede ya utilizarlos a su antojo. En el caso de un DDoS, les ordena visitar la página que se quiere atacar al mismo tiempo, lo que provoca el colapso de la web. Google, Yahoo, Microsoft o la página del FBI son algunas de las empresas y organismos que han sufrido ataques DDoS. Según Symantec, cada día hay unos 5.200 ataques de este tipo, de distinta intensidad.

El caso de Estonia -uno de los países tecnológicamente más adelantados del mundo, cuyos 1.315.000 habitantes en más de un 50% están conectados a Internet- sería, de confirmarse, el primer ciberataque por denegación de servicio organizado contra un país del que se tiene noticia. Estados Unidos ha investigado en decenas de ocasiones intentos de espionaje electrónico que se originaban en servidores alojados en Rusia o China.

Fuente: http://www.elpais.com

Ver más

MSN CON BICHOS
Desde el viernes pasado se están propagando nuevas variantes de gusano por MSN. La particularidad de estos especímenes radica en que sus textos están en castellano habiendo gran cantidad de usuarios que están cayendo en la trampa de "mirá mis fotos que me saqué el fin de semana".

Veamos de que se trata. Nos llega un mensaje proveniente de un amigo (ya infectado) a nuestro MSN diciendo que nos bajemos sus fotos:


Como podemos ver en la imagen, el gusano también funciona en el Windows Messenger que instala Windows por defecto ya que sólo se utiliza el protocolo de envío de MSN independientemente del cliente de mensajaría utilizado (también funciona con Gaim, trilliam, etc).

El lugar desde donde se descarga el gusano http://usuarios.lycos.es/shark***/*******.zip ya ha sido dado de baja pero seguramente aparecerán otras versiones del gusano con otras direcciones.

Luego de ello, si caemos en la trampa, descargamos y ejecutamos el archivo, seremos infectados y ayudaremos a la propagación de este gusano.


Como podemos ver el gusano, que ha sido desarrollado en Visual Basic 6.0, se asegura su ejecución la próxima vez que se inicie Windows grabandose a sí mismo como "C:\WINDOWS\System32\sp2.exe".


Curiosidad: El autor del gusano parece hacerse llamar "FireAngel" y guarda sus creaciones en
C:\Documents and Settings\FireAngel\Mis documentos\Folders\códigos vb6\other infeccion worm\Project1.vbp
Luego de ejecutado "sp2.exe", deshabilita el administrador de tareas para evitar que el usuario pueda ver los procesos activos:

Esto lo logra modificando la clave del registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr al valor "1"

Se puede eliminar el gusano manualmente eliminando la clave Run del registro, modificando el valor del "DisableTaskmgr" a 0 y por último borrando el archivo "sp2.exe" mencionado.

Algunos Antivirus aún no lo detectan y esto puede deberse a la cantidad de variantes que hay actualmente.

Por eso NO ejecutes nada que no conozcas.

Fuente: www.segu-info.com.ar

Ver más

viernes, 18 de mayo de 2007

CUIDADO CON LO QUE EJECUTAS
La primera vez que toqué un Unix fue en la escuela de informática para una asignatura que se llamaba Sistemas Abiertos. Lo primero que descubrimos era que podías hablar con la gente con una cosa que se llama talk. Después nos lo caparon, junto con el write, así que lo que nos quedaba era el famoso cat > /dev/tty para escribir directamente en la pantalla de otro. Era bastante divertido.

Una de las cosas que nos llamaba al principio a todos es que el directorio . no estaba en el path y lo achacábamos a dejadez, así que nada, todos a crearnos nuestro .login con el $PATH=$PATH:. Para que así no tener que poner el ./programa.

Al final tenía su lógica, ya que es la forma que tiene el sistema de proteger los comandos auténticos, es decir, cuando un usuario root utiliza un comando como vi, lo que quiere es que se le ejecute el autentico vi. Si el root se encuentra en una carpeta trabajando donde ha podido escribir otro programa podría crear un programa vi, que lanzara el vi autentico y creara una copia de la sh con el permiso de setuid activo. Cuando el root llamara a vi desde esa carpeta entregaría sus permisos a una shell que permitiría a cualquier usuario que la utilizase ser root.

Una idea similar ha publicado Roberto Paveza para engañar a los usuarios y “saltarse” el UAC en Vista.

El objetivo de UAC es prevenir y alertar de cualquier ejecución que requiera privilegios. Para el sistema se basa en aprovecharse de programas no firmados que haya instalados en el sistema y que estén configurados en el entorno de usuario. A la hora de crearse la barra de programas del menú de inicio se mezclan los programas de entorno de usuario y los del sistema, es decir, los accesos directos que están en All Users: C:\ProgramData\Microsoft\Windows\Start Menu y en los del usuario concreto : C:\Users\User Name\AppData\Roaming\Microsoft\Windows\Start Menu

El proceso es el que tienes en el gráfico.


1.- Te bajas un programa y lo ejecutas sin privilegios.
2.- Como el programita corre sin privilegios solo puede escribir en la carpeta de datos de usuario.
3.- El programa busca todos los accesos directos en el entorno de usuario. Si apunta a un programa firmado o a un programa de Windows no hace nada debido a que esto generaría una nueva alarma que avisaría al usuario, así que busca programas que no estén firmados o que no sean de Windows.
4.- Genera un programita que lanzará el programa original y el malware.
5.- Sustituye el acceso directo en el entorno de usuario por un nuevo acceso directo que llama al nuevo programa lanzadera.
6.- Cuando el usuario ejecuta el programa a través del acceso directo se comprueba si el usuario está corriendo como administrador para lanzar el malware. Si no lo está no hace nada y ejecuta el programa normalmente.

Este engaño está pensado para atacar entornos principalmente domesticos, donde el número de programas que se ejecutan es grande y sin un control especial. Encontrar aplicaciones que corran en entornos de usuario de estas características no es lo normal en el entorno profesional, pero el autor apunta a una muy famosa en las casas, el cliente del World of Warcraft.

Tienes el Whitepaper completo en este link, junto con una prueba de concepto.

En este caso se busca no alertar al usuario con mensajes "extraños" pero el verdadero problema sigue siendo aquellos que desactivan el UAC o que directamente hacen click a cualquier cuadro de dialogo que va a permitir que el malware siga campando a sus anchas. ¿Por qué montar todo esta arquitectura esperando encontrar programas en entorno de usuario no firmados que se ejecuten con privilegios de administrador si puedo pedirle los permisos de administrador al usario para jugar este juego tan chulo que soy yo?

Fuente: http://elladodelmal.blogspot.com

Ver más

jueves, 17 de mayo de 2007

ATAQUES POR CORRUPCION DE LA TABLA ARP EN WINDOWS
Se ha publicado más información sobre una vulnerabilidad del tipo denegación de servicio que afecta a todas las versiones de Windows Vista y Windows XP. Esta vulnerabilidad es conocida por lo menos desde marzo de 2007.

El problema se produce porque es posible sobrescribir la tabla de entradas del protocolo ARP, corrompiéndola.

ARP (Address Resolution Protocol), es un protocolo de resolución de direcciones electrónicas en números IP que corre en redes locales. Forma parte de los protocolos TCP/IP, y es utilizado para crear una tabla de direcciones IP relacionadas con las correspondientes tarjetas de red de cada equipo (direcciones MAC). También se utiliza para detectar máquinas en la misma red en IPv6.

Un atacante puede explotar esta vulnerabilidad enviando solicitudes ARP maliciosas a un equipo vulnerable. Cómo resultado, la interfase de red deja de responder, perdiendo conectividad.

Sin embargo, para obtener éxito, el atacante debe tener acceso a un segmento local de la red. Este tipo de ataque puede ser molesto en un escenario local, por ejemplo un cibercafé, y por supuesto en entornos corporativos donde no se sigan los procedimientos mínimos de seguridad sugeridos.

El riesgo a la seguridad puede considerarse mínimo, ya que los ataques contra estos protocolos son limitados a la red local.

Windows Vista agrega nuevas características a su implementación de redes, firewall, etc., pero no resuelve satisfactoriamente el problema de este tipo de ataque, según se explica en el documento ahora publicado por investigadores de Symantec.

Una prueba de concepto está disponible.

Software vulnerable:
- Windows Vista y Windows XP

Referencias:
CVE-2007-1531 (Common Vulnerabilities and Exposures project)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1531
Microsoft Windows Vista ARP tables denial of service vulnerability
http://www.ca.com/cl/securityadvisor/vulninfo/vuln.aspx?id=35184
Microsoft Windows Vista ARP Table Entries Denial of Service Vulnerability
http://www.securityfocus.com/bid/23266
Windows Vista Network Attack Surface Analysis (PDF)
http://www.symantec.com/avcenter/reference/Vista_Network_Attack_Surface_RTM.pdf

Créditos:
Dr. James Hoagland
Matt Conover
Tim Newsham
Ollie Whitehouse

Fuente: http://www.vsantivirus.com/vul-cve-2007-1531.htm

Ver más

martes, 15 de mayo de 2007

AMENAZAS DE MUERTE A LA NIGERIANA
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Recibir un mensaje con una amenaza de muerte, parece ser la nueva técnica de los estafadores en línea que así encuentran otra manera de obtener dinero al estilo de la estafa (o scam) "a la nigeriana" (ver "SCAM: Estafa a la nigeriana (4-1-9 SCAM), http://www.vsantivirus.com/scam-nigeria.htm").

Algunos ya lo llaman "419 death threat", o "amenaza de muerte 419". Recordemos que "Four-One-Nine" (4-1-9), se refiere al número de la ley nigeriana contra el fraude.

En este caso, las víctimas reciben un correo anónimo, en donde el autor informa al destinatario que alguien lo ha contratado para asesinarlo.

El texto (hasta ahora reportado solo en inglés), dice lo siguiente:

"Hola, deseo hacerte saber que alguien me ha pagado para asesinarte, y ayer firmé un contrato por 650,000 dólares. No te conozco, pero me dieron una descripción completa de tu identidad y contacto junto con tu fotografía, la cual mis hombres han utilizado para identificarte. La razón por la que ellos quieren que mueras no me fue revelada y no fue permitido que lo supiera.

Mis empleados están vigilándote constantemente, ellos te siguen a casa, a tu oficina y a todos lados a donde vayas y están esperando por mi instrucción para matarte. Ellos realizarán el ataque cuando yo lo ordene.

ESTE ES MI MENSAJE-

ESCUCHA MUY BIEN!!!! La policía no puede hacer mucho para ayudarte, porque mis hombres te están vigilando, cualquier intento será muy riesgoso para que nos induzcas a terminar con tu vida sin alguna opción. Tus llamadas no son seguras, de hecho, te rastreamos. El negocio no es contigo, pero puedes tener una oportunidad para vivir, si me contactas en menos de 24 horas después de haber recibido este mensaje.

Buena Suerte!!!"

Existen algunas variantes, pero básicamente todas se basan en lo mismo.

En todos los mensajes se incluye alguna dirección electrónica para realizar el contacto. Esta dirección generalmente se encuentra en algún servidor gratuito, difícil de rastrear.

De responder, el usuario puede ser víctima de una variante sofisticada del mencionado "Scam a la nigeriana". Es decir, la estafa puede darle al delincuente jugosas ganancias.

Si no responde, de todos modos es probable se siga recibiendo spam (correo no deseado). Pero de responder, esta clase de gente buscará todos los medios para seguir intimidando al usuario, y en algunos casos, lograr que este les entregue dinero de alguna forma (regularmente recibimos testimonios de personas que han caído en la estafa a la nigeriana, así que es fácil presumir que esta nueva técnica también puede llegar a dar sus frutos).

¿Que es lo que debemos hacer?. Simplemente ignorar los mensajes. Cualquier intento de responder, puede traernos más molestas complicaciones, y seguramente aumentará enormemente el spam recibido.

Recuerde que este tipo de estafa se basa en la ingeniería social. Es decir, la habilidad del atacante está en hacernos decir o hacer cosas que en realidad el delincuente ignora, pero que al final terminamos revelándole nosotros mismos (responder es el primer paso en esa cadena de engaños).


Más información:
SCAM: Estafa a la nigeriana (4-1-9 SCAM)
http://www.vsantivirus.com/scam-nigeria.htm

Ver más

MALWARE USANDO BITS PARA DESCARGAR FICHEROS
Gracias a los cortafuegos que se instalan en el propio ordenador (en contraposición a los externos, que funcionan en el router) el malware lo tiene un poco más difícil para conectarse a Internet y descargarse ficheros. Muchos cortafuegos ofrecen acceso solo a determinados programas a los que nosotros hayamos dado permiso, como puede ser el navegador o el cliente de correo.

Pero los programadores de malware no paran de investigar y descubrir nuevas técnicas para conseguir introducir software malicioso en nuestro ordenador sin que nos demos cuenta. La última de la que se tiene conocimiento es el uso del servicio BITS, Background Intelligent Transfer Service, el mismo que hace servir Windows Update para descargar sus actualizaciones.

Este servicio dispone de permisos por defecto para acceder a Internet, ya que es parte del sistema operativo, por lo que es posible usarlo con una simple llamada para pedir que descargue los ficheros que necesita el malware. De esto modo, el cortafuegos ni siquiera se da cuenta de que una aplicación se está descargando ficheros y no puede impedirlo.

El servicio BITS, además, solo usa el ancho de banda “sobrante”, de forma que tampoco el usuario se dará cuenta porque la conexión le vaya lenta, aumentado aun más la fiabilidad de este método.

Lo malo es que, por ahora, este método puede ser difícil de parchear para impedir que este tipo de aplicaciones lo utilicen, ya que no está pensado para discriminar dependiendo de que programa lo llame y, dado que Windows Update se basa en este servicio, no es nada recomendable detenerlo para impedirlo.

¿Hará algo Microsoft para impedir su uso? Parece poco probable, ya que ahora mismo el riesgo tampoco es excesivamente elevado, teniendo en cuenta que para poder usarlo el malware ya tiene que haber conseguido introducir un ejecutable en nuestro sistema.

Como siempre, un buen antivirus actualizado a la última versión debería bastarnos para protegernos de esta amenaza. También, un navegador más seguro que Internet Explorer facilitará la labor de tener nuestro ordenador libre de esteos especímenes.

Fuente: http://www.genbeta.com/2007/05/14-malware-usando-bits-para-descargar-ficheros

Ver más

lunes, 14 de mayo de 2007

EL 70% DE LOS ORDENADORES DOMÉSTICOS CONTIENE VIRUS O PROGRAMAS
ESPIAS Más de la mitad del 'malware' detectado es de alto riesgo porque puede dañar los equipos o derivar en un engaño o fraude


Por RAMÓN MUÑOZ

Internet sigue siendo seguro y, sobre todo, insustituible. Pero hay que poner cada día más cuidado con lo que llega al ordenador a través de la Red. Y es que en siete de cada diez ordenadores domésticos con acceso a Internet (el 72%) se ha introducido algún tipo de programa de software malicioso no solicitado por el usuario (denominado en argot malware). No sólo ni principalmente se trata de los famosos virus informáticos, sino de todo tipo de programas que buscan obtener información o datos personales del usuario con fines espurios.

El informe del Inteco se ha hecho con el rastreo por sensores de 3.500 equipos
Los 'hackers' ya no persiguen notoriedad, sino sacar provecho económico

Éstas son las principales conclusiones del informe del Instituto Nacional de Tecnologías de la Comunicación (Inteco), el organismo del Ministerio de Industria que vigila la seguridad en la Red, tras rastrear una muestra de 3.500 ordenadores donde ha instalado sensores para detectar estos programas.

Además, en más del 50% de esos ordenadores esos programas son de alto riesgo, bien porque pueden causar un daño irreparable en el equipo, bien porque pueden derivar en algún tipo de engaño o fraude.

La importancia y la novedad del dato es que no proviene de una encuesta (generalmente realizadas por las propias empresas antivirus), sino que se trata del primer estudio oficial con datos reales recogidos de una muestra donde el Inteco ha instalado sensores, con el fin de estudiar los discos duros, y detectar y catalogar las principales amenazas.

El informe pone de manifiesto que los piratas informáticos o hackers han cambiado mucho sus hábitos. Ahora ya no buscan notoriedad ni que su nombre figure en el top ten de los creadores de virus. Se han vuelto anónimos porque su objetivo es el robo o la explotación con fines lucrativos o delictivos, con la utilización de la capacidad y ancho de banda.

Ésa es la razón de que haya descendido notablemente la presencia de virus informáticos que sólo persiguen causar daños en el disco duro. Sólo el 18,4% de los ordenadores presentaban virus.

La estrella ahora son los programas que despliegan ventanas emergentes o barras en la pantalla con publicidad no solicitada de distintos servicios o productos y que, en algunos casos, se convierten en instrumentos de engaños o fraude porque recopilan datos sobre los hábitos del usuario o le dirigen hacia sitios de compras online (casinos, coches, relojes, medicamentos) inexistentes.

La investigación de Inteco ha detectado que el 42,7% de los ordenadores estaba infectado por adware. Le siguen en importancia los troyanos, programas que se introducen en las computadoras con el fin de permitir el acceso desde el exterior para controlar la máquina o conseguir información, deshabilitando antivirus, y que se han detectado en el 41,5% de los programas.

Muy relacionado con los troyanos están los programas herramienta que intentan captar datos, generalmente bancarios, y que se han encontrado en el 13% de los ordenadores.

Y a mucha distancia de todos estos están las bromas; los marcadores (dialers), programas que marcan un número de tarificación adicional (los que comienzan por 800 y 900); programas espía que consiguen datos de tipo comercial a través de descargas gratuitas; los que aprovechan las vulnerabilidades de seguridad del sistema (exploit); los que permiten captar las pulsaciones del teclado; los que se alojan en lenguajes de programación (script) o los que se ocultan para obtener información (rootkits).

El Inteco ha catalogado estos programas en tres categorías: alto riesgo, como troyanos, captadores de pulsaciones o marcadores; de riesgo medio como el adware; o de riesgo bajo como las bromas (ver gráfico). El 52% de los equipos sufre riesgo alto; el 18%, medio y el 2%, bajo.
El antivirus es insuficiente
Una de las conclusiones del informe es que la instalación de un antivirus no es suficiente, sino que son necesarias además otras medidas como tener hábitos de seguridad y realizar políticas públicas de concienciación.

Pero el hecho de que por Internet circulen programas maliciosos no le resta fiabilidad, ni disuade de su uso. Una encuesta realizada por el propio Inteco arroja que los usuarios perciben la seguridad en la Red con una nota de 76,4 puntos sobre 100.

Es decir, que aun en el caso de que el ordenador esté lleno de correos sospechosos, el ciudadano no deja de utilizar Internet.

Sólo cuando el internauta registra más de tres incidencias repetidas empieza a pensar que conectar su ordenador no es tan seguro como pensaba, y comienza a tomar medidas proactivas como no abrir correos dudosos o pinchar en links de dudosa credibilidad.

Fuente:http://www.kriptopolis.org/monocultivos-y-epidemias

Ver más

sábado, 12 de mayo de 2007

Index.dat. ASEGURANDO NUESTRA PRIVACIDAD

Como ya muchos saben, la manera más rápida y sencilla de borrar la información que se almacena en la computadora con relación a nuestra navegación (caché, cookies, historial, etc.) al utilizar Internet Explorer, es hacerlo desde el mismo navegador:

Ahora bien, existe un archivo llamado Index.dat que es propio del sistema y permanece oculto en el mismo, éste archivo contiene un índice de referencia que guarda las direcciones de todas las páginas web que visitamos.

Eliminando los archivos de la forma convencional antes mencionada, la información contenida en el Index.dat no se borra, por ende, quien pueda localizar y leer este archivo podrá ver absolutamente todos los sitios que hayamos visitado, sin importar que hayamos, previamente, eliminado el historial del IE y demás información. Si bien no se trata de un archivo critico, toma relativa importancia al ser propenso a comprometer uno de los principios básicos de la Seguridad Informática, nuestra privacidad.

Y es aquí cuando surge la siguiente pregunta: ¿es paranoico pensar que este archivo puede comprometer nuestra privacidad?. Yo creo que si, que no constituye una amenaza grave, pero también creo que evidentemente no deja de ser una amenaza y por tal motivo debemos conocerla y tenerla en cuenta sin darle un nivel de importancia más allá del que realmente se merece y sin hacer del tema una cuestión extremadamente paranoica.

De todas maneras es importante tenerlo en cuenta a la hora de querer eliminar las huellas que dejamos al manipular un sistema, además es un archivo a examinar a la hora de realizar un análisis sobre un sistema comprometido.

Veamos ahora algunas herramientas de las cuales disponemos para poder manipular este archivo y eliminar completamente su contenido.

En primer lugar debemos saber que este archivo puede estar alojado en diferentes sectores de nuestro sistema dependiendo del sistema operativo que usemos, por ejemplo:

Windows 9x > Windows ME

\Windows\Cookies
\Windows\History\history.ie5
\Windows\History\History.ie5\sub-folders
\Windows\Temporary Internet Files
\Windows\Temporary Internet Files\Content.IE5\
\Windows\Temporary Internet Files\Content.IE5\sub-folders


Windows NT > Windows Server 2003


\Documents and settings\
\cookies
\Documents and settings\
\Local Settings\History
\Documents and settings\
\Local Settings\Temporary Internet Files
\Documents and settings\
\Local Settings\Temporary Internet Files\Content.IE5
\Documents and settings\
\Local Settings\Temporary Internet Files\Content.IE5\sub-folders
\Documents and settings\All Users\cookies
\Documents and settings\All Users\Local Settings\History
\Documents and settings\All Users\Local Settings\Temporary Internet Files
\Documents and settings\All Users\Local Settings\Temporary Internet Files\Content.IE5
\Documents and settings\All Users\Local Settings\Temporary Internet Files\Content.IE5\sub-folders
\Documents and settings\Default User\cookies
\Documents and settings\Default User\Local Settings\History
\Documents and settings\Default User\Local Settings\Temporary Internet Files
\Documents and settings\Default User\Local Settings\Temporary Internet Files\Content.IE5
\Documents and settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\sub-folders


También en


\windows\system32\config\systemprofile\cookies \windows\system32\config\systemprofile\local settings\history \windows\system32\config\systemprofile\local settings\history\sub-folders \windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5

Como ya se mencionó anteriormente, el Index.dat se encuentra oculto y con privilegios de ser un archivo necesario para el sistema, por tal motivo no podremos eliminarlo de la manera en que estamos acostumbrados a hacerlo con cualquier otro archivo.

Existen varios programas, tanto en línea de comando como para entorno gráfico, que nos permiten manipular, ver y borrar el contenido de estos archivos. Veamos algunos métodos y usos.

Find
Para poder visualizarlo podemos recurrir al DOS, bajo línea de comandos escribimos en C:\Documents and Settings\[Usuario]\Configuración local\Historial\History.IE5 (ruta donde se aloja el archivo) el siguiente comando:

find /i “http://” index.dat | sort > C:\cont-index-dat.txt

Con el comando find le pedimos que busque dentro del archivo Index.dat cadenas de texto, en este caso los caracteres “http://”, el parámetro /i omite mayúsculas y minúsculas al buscar; y con el comando sort le decimos que ordene lo encontrado en forma alfabética y que lo guarde como cont-index-dat.txt en la raíz del disco C.

De esta manera obtendremos un archivo .txt llamado cont-index-dat.txt con el contenido de todas las páginas web visitadas.

Pasco
Una segunda opción para visualizar su contenido, podría ser utilizando una herramienta llamada pasco de la firma Foundstone. Pasco, que significa “navegar” en latín, es una herramienta gratuita que se utiliza en análisis forense y nos permite generar un archivo .CVS que podremos visualizar, por ejemplo, en una planilla de cálculo de Excel.

Para ejecutarlo debemos escribir en el prompt de DOS un simple comando:

C:\>pasco –d –t index.dat > index.csv

De esta manera podremos generar un archivo con extensión .csv que podremos exportar a una planilla de cálculo.

InUse
Si lo que queremos hacer es directamente borrar el archivo Index.dat, podemos utilizar una herramienta de Microsoft llamada
InUse, ésta herramienta nos permite cambiar archivos que no se pueden manipular mientras son usados por el sistema, es rápida, pesa 40 Kb y se utiliza bajo línea de comando. Su sintaxis es sencilla.

C:\>inuse [origen] [destino]

Veamos un ejemplo. En primer lugar tenemos que crear, mediante el block de notas, un archivo llamado Index.dat y guardarlo, por ejemplo, en la misma carpeta donde esta el InUse.exe (lo mas práctico es guardar ambos en la raíz del C). Una vez que tengamos el archivo, bajo DOS escribimos los siguiente:

C:\INUSE> inuse index.dat C:\Documents and Settings\Mi Pistus\Configuración local\Historial\History.IE5

Luego de reiniciar la computadora, Internet Explorer creará un nuevo archivo vacío llamado Index.dat, con lo cual nos aseguramos de haber borrado todo el rastro que haya guardado en su índice de referencia.

Si no se sienten cómodos utilizando herramientas bajo línea de comandos, existen muchas otras que nos permiten manipular el Index.dat bajo un entorno gráfico. Veamos algunas de ellas.

Index.dat Scanner
Si bien todas las herramientas mostradas son sencillas de utilizar, ésta tiene la particularidad de que no necesita instalación, es decir, con solo hacer doble click sobre el ejecutable es suficiente para que nos muestre todo el contenido del Index.dat, brindándonos la opción de guardar el resultado en un log con extensión .txt o escanear un archivo Index.dat en particular, por ejemplo, alguno que hayamos extraído de otra/s computadoras.

Si nuestro objetivo es visualizar el contenido del archivo, ésta es una herramienta ideal ya que solo pesa 87 Kb, con lo cual podremos transportarla en un disquete. Aquí tienen una captura del log generado con este programa.


Index.dat Analyzer
Index.dat Analyzer no solo nos permite visualizar el contenido del archivo sino que también nos permite eliminar aquellas entradas que no son de nuestro interés.

Una buena característica de este programa es que nos deja interactuar entre el contenido del caché, las cookies y el historial, pudiendo seleccionar de cada una de ellas las entradas que queremos eliminar. Al igual que el anterior, es muy sencilla de utilizar y a diferencia requiere ser instalado en el disco rígido.


Para poder guardar su contenido, tendremos que seleccionar todos los items, o seleccionar aquellos que luego queremos analizar, y elegir la opción FileSave Selected Items, de esta forma obtendremos un archivo .txt con las entradas que hayamos seleccionado.

Index.dat Suite
Por ultimo, veamos ésta herramienta que nos sirve para eliminar no solo el index.dat sino que también cualquier otra información que se haya almacenado después de nuestra actividad en una computadora. Posee muchas mas herramientas que las dos mencionadas anteriormente y requiere instalación.

Entre sus funciones se encuentran:

  • Ver, borrar y hacer copias de seguridad de los archivos Index.dat

  • Ver y borrar archivos temporales de Internet

  • Ver y borrar coockies, historial, archivos temporales y documentos recientes

  • Borrar URL’s que no nos interese
  • Borrar el contenido de la carpeta Prefetch, entre otras


Para eliminar nuestras huellas, primero debemos asegurarnos de escanear todos los discos (Search in: ALL DRIVERS), luego seleccionar la opción “Find”. Por último, Seleccionar del menú Tools la opción CleanupCoockies (History, Temp., etc)Delete Contents.


Y por ultimo, para eliminar el Index.dat debemos, previo escaneo, seleccionar los archivos index.dat que queremos eliminar, tal como lo muestra la captura.


Una vez hecho esto, tendremos que generar un archivo .bat, para lo cual haremos clic sobre el botón con el dibujo de una consola DOS.
Esto generará el archivo run.bat en la raíz del C que nos permitirá eliminar el Index.dat. Bajo línea de comando tipear simplemente run.bat y el índice de referencia del Index.dat se eliminará por completo.


InUse
http://download.microsoft.com/download/win2000platform/inuse/1.0/NT5/EN-US/inuse.exe
Pasco

http://www.foundstone.com/resources/termsofuse.htm?file=pasco.zip
Index.dat Scanner
http://soft.em-tnt.com/files/IdatScan.exe
Index.dat Analyzer
http://www.systenance.com/download/indexdat-setup.exe
Index.dat Suite

http://support.it-mate.co.uk/?mode=Products&act=DL&p=index.datsuite&g=idsuite.exe

Versión PDF


jam

Ver más

lunes, 7 de mayo de 2007

TROYANO. NUEVA VERSION DE IE 7 BETA
Hoy me encontré en mi correo, nuevamente, con una versión Beta del Internet Explorer. El correo es enviado por spam masivamente y contiene una imagen haciendo alusión a una nueva version beta del explorador de Microsoft.
El correo falsea la dirección de origen para hacer creer al usuario que proviene de admin@microsoft.com:
Si verificamos la cabecera del correo es fácil verificar que en realidad el correo proviene de un servidor ruso:
Si observamos el código fuente del correo verificamos que la imagen mencionada se encuentra alojada en un servidor ajeno a Microsoft por supuesto y ubicado en una empresa de viajes que seguramente aún no sabe que sus servidores sirven de hosting de esta amenaza:
También verificamos que al hacer clic sobre la imagen se nos solicita deascargar un archivo ejecutable "update.exe" alojado en el mismo servidor que la imagen:

Si descargamos el ejecutable y lo verificamos por codigo dañino en VirusTotal podemos verificar que en realidad se trata de un troyano encargado de descargar otros malware. Estos programas reciben el nombre de downloaders.
Si analizamos (sin demasidos detalles) el código podemos ver que en el mismo se hace referencia a otro sitio ruso para descargar un nuevo ejecutable "proba.exe":
También se descarga un nuevo troyano "0.exe" y un "/HVyiFiFofYdYIdYIDy/update.exe". Este último nombre se encuentra ofuscado en su código fuente:
Este último se copia a sí mismo al perfil del usuario como "winlogon.exe" y se agrega automáticamente a la clave RUN del registro para asegurar su arranque la proxima vez que se inicie el sistema:
También descargan y ejecutan los archivos "sys.bat" y "p2hhr.bat" que se encargan de borrar las "huellas":
Una vez activo el programa no permite finalizar el proceso dando un error como se ve a continuación:
También hay que notar que el proceso recibe el nombre del otro "winlogon" original del sistema. Para identificarlos sólo hay que ver el usuario que lo ha ejecutado.

Me queda averiguar cual es el objetivo de este último que no debe ser otro que el robo de contraseñas o clic automáticos. Se los debo para la próxima.

cfb

Ver más

domingo, 6 de mayo de 2007

TROYANO QUE SIMULA LA ACTIVACION DE WINDOWS

La imaginación que gasta la gente con los troyanos no tiene límites. Véase si no este ejemplo:

kardphisher

El invento en cuestión se llama Kardphisher, y como podéis ver, simula una falsa activación de Windows, muy lograda por cierto, en la que misteriosamente, hay que introducir nuestros datos de tarjeta de crédito. Nombre, número de tarjeta de crédito, PIN, fecha de expiración y código CVV2. Casi nada. Ni que decir tiene que en una activación real de Windows jamás se solicitan estos datos.

Precisamente ayer me quejaba un poco de que los medios sólo suelen hablar del robo de credenciales de e-banking, y no prestan mucha atención a otras amenazas que al menos son igual de importantes, lo que crea una falsa sensación de que sólo corremos peligro si nos roban las credenciales de banca electrónica. El robo de datos de tarjeta de crédito ha sido, es y seguirá siendo una fuente de emolumentos ilegítimos jugosa y ampliamente practicada, y éste es sólo un ejemplo.

Los consejos que os puedo trasladar desde estas líneas son los siguientes:

  • Entregad los datos de tarjeta sólo en comercios online consolidados, fiables y si es posible, amparados por legislación. En España por ejemplo, el comercio electrónico está ampliamente regulado, y las empresas registralmente constituídas en territorio nacional están sujetas a muchos controles que favorecen nuestra tranquilidad.
  • Vigilad el estado de actualización de vuestro sistema y protecciones, y si podéis, haced las compras y las operaciones que impliquen entregar este tipo de datos con live cds Linux o similares, que son 100% seguros, y no están expuestos a contaminaciones por troyanos.
  • Solicitad a vuestra entidad una tarjeta adicional con crédito limitado para vuestras operaciones en Internet. Así, en el caso indeseable de robo de datos, el crédito a disponer estará limitado, y se minimizará el daño sobre nuestro patrimonio. La gran mayoría de las personas no necesitamos 6000 euros de crédito mensual para compras por Internet.
Fuente: http://www.sahw.com

Ver más

sábado, 5 de mayo de 2007

ESET DETECTA NUEVO GUSANO DE MSN PROPAGANDOSE EN ESPAÑOL
Según la compañía desarrolladora de ESET NOD32 Antivirus, el malware Win32/VB.NHI está distribuyéndose a través de mensajería instantánea, utilizando textos en idioma español.

ESET, proveedor global de protección antivirus de última generación y desarrollador de ESET NOD32 Antivirus, advierte sobre la detección de un nuevo gusano de MSN Messenger o Windows Live Messenger. El gusano en cuestión es el Win32/VB.NHI y ESET NOD32 es uno de los primeros antivirus en detectar la amenaza.

Este gusano envía un mensaje con un enlace a una supuesta animación que aludiría a George W. Bush, actual presidente de los Estados Unidos. Hacer referencia a personajes famosos es una técnica de Ingeniería Social ampliamente utilizada por los creadores de malware.

Si el usuario hace clic en la dirección, se descarga el archivo ejecutable malicioso, continuando la propagación del mismo. El archivo es llamado “bush.exe” de 122 Kb de tamaño y es el gusano propiamente dicho.

El gusano se propaga a través de mensajes en español que incentivan al usuario a pulsar sobre el enlace, como se muestra a continuación:



Una vez ejecutado, el malware inicia ventanas de conversaciones con todos los contactos del usuario infectado que estén conectados en ese momento y se envía automáticamente de la misma forma.

Además, el código malicioso agrega claves en el registro del sistema para asegurar su ejecución en cada reinicio y realiza copias ocultas de si mismo bajo los siguientes nombres:

C:\windows\strad.exe
C:\windows\zser.exe
C:\windows\system32\xsfr.exe
C:\windows\system32\xeyu.exe

Cada vez son más los gusanos de MSN que actúan con estos mismos métodos de propagación, incluso en idioma español como este caso, por lo que es muy importante que el usuario considere si realmente su contacto es quien está enviando el enlace o archivo, y antes de hacer clic en el mismo, lo confirme consultando si realmente la otra persona fue quien se lo envió. Nunca hay que hacer clic en una dirección web desconocida y más si apunta a un archivo ejecutable como los que tienen extensión .exe.

"La gran mayoría de estas infecciones suceden por curiosidad y por el pensamiento de que es un amigo quien le envía el enlace, pero lamentablemente los usuarios tenemos que ser más cautos cuando nos envían mensajes dudados porque podía tratarse de un malware", dijo Ignacio Sbampato, Vicepresidente de ESET para Latinoamérica.

"Es importante que los usuarios cuenten con antivirus actualizados periódicamente, con capacidades heurísticas y proactivas de detección, como ESET NOD32, dado que les permitirá protegerse ante nuevas amenazas que estén en circulación.", añadió Sbampato.

ESET además recomienda la constante actualización del sistema operativo y demás aplicaciones utilizadas a fin de evitar cualquier tipo de vulnerabilidad existente en los mismo.

También es primordial la capacitación de los usuarios, ya que un usuario con conocimientos sobre estos temas, siempre actuará de forma más segura que uno que no lo está.

"En ESET siempre hacemos hincapié en la importancia de la capacitación, por eso desarrollamos nuestra propia Plataforma en Línea Educativa sobre seguridad informática y seguridad antivirus, con cursos para que todos los usuarios puedan aprender a usar Internet en forma segura", cerró Sbampato.

Fuente: http://www.eset-la.com

Ver más