Se ha encontrado una nueva vulnerabilidad en Clam AntiVirus que podría
ser aprovechada por un atacante remoto, o por ciertas muestras de
malware, para causar una denegación de servicio. 

ClamAV es un motor antivirus de código abierto muy popular en el mundo
del software libre, empleado con frecuencia en servidores de correo
derivados de UNIX a modo de defensa perimetral primaria y que además
permite el escáner en busca de virus en paquetes binarios Portables
Ejecutables (PE). 

El fallo está causado por una lectura fuera de límites en
'libclamav/petite.c' cuando se procesan archivos ejecutables
empaquetados con Petite. Un atacante remoto podría provocar una
denegación de servicio a través de un ejecutable especialmente
manipulado y empaquetado con el packer Petite. 

Petite es un compresor (packer) de archivos ejecutables Win32, como
pueden ser .EXE o .DLL. Está disponible en versiones con interfaz
gráfico o por línea de comandos aunque se trata de un software
actualmente en desuso. De hecho su última revisión disponible, a la
versión 2.3, data de febrero del año 2005. 

Esta vulnerabilidad reportada en la última versión de ClamAV no supone
una gran novedad, muchos de los fallos solventados últimamente en las
sucesivas actualizaciones del software han sido provocados por una mala
gestión de archivos PE comprimidos con distintos packers, como se puede
apreciar en los últimos boletines de seguridad publicados por Hispasec
acerca de este popular antivirus. 

Según el equipo de desarrolladores, aparte de solucionar el fallo de
seguridad también se han añadido mejoras en el manejo de archivos con
los formatos PDF, CAB, RTF, OLE2 y HTML. Y adicionalmente se han
corregido otros fallos de menor importancia encontrados en la versión
0.93. 

Se recomienda actualizar a la versión no vulnerable (ClamAV 0.93.1) tan
pronto como sea posible, disponible para su descarga desde:
http://www.clamav.net/
http://sourceforge.net/projects/clamav/ 

Más información

Bugzilla Bug 1000: Invalid memory access in petite
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=1000

Clam AntiVirus release 0.93.1
http://sourceforge.net/project/shownotes.php?release_id=605577&group_id=86638

Compártelo

Detectada una ola de troyanos bancarios que tienen como objetivo a los
clientes de ING Direct España (ingdirect.es). Los troyanos capturan
todos los datos necesarios para suplantar la identidad de los usuarios
legítimos, incluyendo la tarjeta de coordenadas para poder realizar
transferencias desde sus cuentas. 

Tradicionalmente INGDirect.es no ha sido objetivo de ataque por parte
de los phishers y troyanos bancarios, gracias en parte a la propia
naturaleza de sus productos que impedía realizar transferencias a
terceros de forma indiscriminada. Así la "Cuenta Naranja" se asocia
a una segunda cuenta del banco o caja habitual del cliente y sólo
permite realizar operaciones entre ellas. 

La oferta de otros productos por parte de INGDirect.es, como la "Cuenta
Nómina", que permiten una mayor libertad a la hora de hacer
transacciones, han convertido a los clientes de esta entidad en un
objetivo apetecible para las mafias dedicadas al fraude por Internet. 

En Hispasec hemos publicado un informe técnico que explica con detalle
el funcionamiento de estos troyanos bancarios dirigidos a clientes de
ING Direct España, incluyendo una descripción más funcional y visual que
permitirá a los usuarios detectar su presencia y prevenir el fraude. 

El documento, en formato PDF, puede ser consultado en la siguiente
dirección:
http://www.hispasec.com/laboratorio/troyano-ingdirect.pdf 

Se recomienda su lectura a todos los clientes de INGDirect.es. 

A modo de resumen, como norma básica y general para todos aquellos
servicios que utilizan tarjetas de coordenadas, se recuerda a los
usuarios que nunca, bajo ninguna circunstancia, deben introducir todas
o gran parte de las claves de su tarjeta. Su entidad sólo le solicitará
alguna clave de la tarjeta en el momento que esté realizando una
transacción que la requiera, como por ejemplo una transferencia. 

Más información:

Análisis de un troyano bancario que afecta a la sucursal española
de ING Direct
http://www.hispasec.com/laboratorio/troyano-ingdirect.pdf

Compártelo

El plugin del idioma vietnamita para Firefox 2, ha sido distribuido
desde el sitio oficial (y desde febrero) infectado con adware. Window
Snyder, responsable de seguridad de Mozilla, ha dicho “todo el que haya
descargado una copia del paquete de idioma vietnamita desde el 18 de
febrero, está infectado”.

Xorer, el malware en cuestión, había incrustado su carga en el paquete
oficial de idioma vietnamita en febrero. Los responsables de Mozilla
tuvieron noticia del problema el martes pasado. Al parecer, la red local
del autor del plugin estaba infectada, y los archivos fueron subidos al
servidor oficial contaminados con los efectos de Xorer (estos efectos
son válidos bajo cualquier sistema operativo, no limitado a los usuarios
de Windows), y no con el malware en sí (que se dedica a distribuir los
scripts y es sólo para Windows). Al menos, esto impide en un principio
que los usuarios que hayan descargado el plugin puedan distribuir el
adware inmediatamente (a no ser que este cargue un nuevo módulo).

¿Cómo se infecta un plugin de Firefox? Xorer añadió JavaScript a los
ficheros de ayuda HTML del plugin. Esto ha permitido al malware
descargar y mostrar contenido web desde diversos servidores (publicidad
no deseada, normalmente), mientras el usuario navega. Xorer había
infectado (se supone que inconscientemente) la red interna del autor del
plugin, y buscaba archivos HTML almacenados en las unidades a su alcance
para añadirles estos scripts. Encontró la ayuda del plugin, la modificó
y el paquete se distribuyó así. En el momento de ponerlo a disposición
de todos, ningún sistema antivirus detectaba este HTML con los scripts
añadidos. Han pasado meses hasta que el escáner o método antivirus
concreto que use Mozilla ha podido dar con el problema.

Window Snyder ha declarado que “Mozilla analiza los archivos cuando
son subidos al servidor. En este caso, el antivirus no cazó el malware
hasta meses después de haberse subido”. En cualquier caso, promete que
analizarán más a menudo sus archivos para evitar que esto vuelva a
ocurrir. Además, han vuelto a escanear todos los plugins disponibles
de nuevo, sin detectar otros infectados.

Aunque no se conoce el número exacto de descargas del plugin infectado,
se sabe que ha sido descargado más de 16.000 veces desde noviembre de
2007.

Confiar exclusivamente en la detección en un momento concreto, y no
analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor
error por parte de la Fundación Mozilla. Hoy en día las firmas pueden
tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de
forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla
para analizar sus archivos, pero un solo antivirus tampoco es la
solución. De hecho, si hubiesen utilizado otros, el problema
posiblemente se hubiese detectado mucho antes. Quizás otra lección
importante es que no hay que relajarse por pensar que solo los archivos
ejecutables o binarios son susceptibles de estar infectados o de ser
específicamente malware. Los scripts maliciosos creados con JavaScript
son muy habituales hoy en día, y se ejecutan en cualquier navegador,
pues ya hemos advertido de que la industria vírica ha tomado la web en
todos los sentidos. Tanto para la su distribución, como para su
difusión.

Snyder ha añadido “estas cosas pasan”. Y es cierto. Tanto la
distribución oficial de archivos (o incluso hardware) contaminado,
hasta la troyanización de programas de código abierto han ocurrido en
numerosas ocasiones en el pasado. A finales de 2006 Apple distribuyó
Video iPods con un ejecutable (RavMonE.exe) infectado, a finales de
2007 Best Buy vendía marcos digitales con malware. En 2006 HP distribuyó
por error controladores infectados por el virus FunLove… Sendmail,
Wordpress, OpenSSH… han sido troyanizados en alguna ocasión y
ofrecidos desde el servidor oficial de descarga. También Microsoft
distribuyó en 2002 de forma involuntaria el virus Nimda en Corea del
Sur con su Visual Studio .Net.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3484/comentar

Más información:

Mozilla: Firefox Plugin Shipped With Malicious Code
http://www.pcworld.com/businesscenter/article/145617/mozilla_firefox_plugin_shipped_with_malicious_code.html

Compromised file in Vietnamese Language Pack for Firefox 2
http://blog.mozilla.com/security/2008/05/07/compromised-file-in-vietnamese-language-pack-for-firefox-2/
 

Compártelo

Un toque de atención para los usuarios de Skype, que aprovecharemos para extender también al resto de usuarios de otras redes de mensajería instantánea. Un troyano, de nombre Warezov/stration está utilizando la mensajería instantánea de Skype para intentar expandirse.

Para ello, una vez infectado un ordenador, envía un mensaje a todos los contactos con una dirección URL para que ellos la miren. Si alguno de nuestros contactos abre esa dirección y ejecuta el programa también se verá infectado por este troyano. Por suerte, parece que por ahora no realiza ninguna acción maliciosa aparte de intentar enviar un correo electrónico, cosa que no consigue ya que usa un servidor que no está activo.

El toque de atención va para todos los que usan la mensajería instantánea, ya que no es buena idea abrir direcciones que nos envíen nuestros contactos sin haber certificado previamente que han sido ellos los que nos lo han enviado. Más vale prevenir preguntando que tener que curar luego.

Vía | VNUNet.

Un Saludo
“EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad”
http://wwww.ayudaprogramacion.net/

Compártelo

Esta madrugada del sábado a domingo, antes de que acabe esta segunda semana de mes (la oficial de Microsoft para publicar parches de actualización) ya se han detectado ejemplares de malware que explotan una de las vulnerabilidades solventadas por estos.

El pasado martes, y dentro del marco de su famosa política de publicación mensual de parches, Microsoft publicó una larga lista de boletines que solventaban una lista aún mayor de vulnerabilidades, muchas de ellas clasificadas como críticas. Entre estos boletines nos
encontrábamos con uno que, con solo echar un vistazo al contenido, clamaba a gritos ser convertido en vector de ataque para malware: MS06-040.

Este boletín describe una vulnerabilidad en el servicio Server utilizado en los sistemas 2000, XP y 2003. Afectaba a todos ellos, incluso en el caso de XP con su Service Pack 2 instalado, o2003 con el SP1. Microsoft clasificó la gravedad del impacto sobre todas estas plataformas como crítica, por lo que puede dar a priori una idea de la peligrosidad del asunto.

El servicio Server ofrece un interface RPC (Remote Procedure Call: llamadas a procedimientos remotos) para soporte de impresión de archivos y compartición de pipes con nombre en entornos de
red. El problema en sí se debe a un desbordamiento de buffer dentro de este servicio, que en principio podía ser explotado para provocar denegaciones de servicio o incluso para provocar la ejecución remota de código arbitrario.

El propio boletín de Microsoft ya avisaba sobre la especial propensión a sufrir este ataque por parte de plataformas Windows 2000, debido a la naturaleza en sí de la vulnerabilidad. No han pasado más que unos días para ver hecho realidad lo que todos temíamos: ya hay confirmación de la existencia de malware en la red que hace uso de la vulnerabilidad descrita para infectar sistemas afectados.

Ha sido Swa Frantzen, handler del Internet Storm Center de SANS, el encargado de avisar de la presencia de este malware que, en esta ocasión, viene en forma de bot que de momento se ha visto
con el nombre ‘wgareg.exe’ y con un valor hash md5 de 9928a1e6601cf00d0b7826d13fb556f0.

Frantzen utilizó nuestro servicio VirusTotal para comprobar que tal se estaban portando las soluciones antivirus para detectar esta amenaza. Tras enviarlo al servicio, comprobó que sólo 9
de los 27 motores incluidos en el servicio eran capaces de detectarlo, y todos ellos mediante heurísticas.

No hay que confiarse de todas formas sobre este perfil, ya que la gente de LURHQ ha comentado que han detectado la existencia de una variante diferente, con nombre ‘wgavm.exe’ y valor hash
md5 de 2bf2a4f0bdac42f4d6f8a062a7206797 que también está haciendo de las suyas. Dado que usa los mismos servidores de control que el anteriormente nombrado, se sospecha que esta otra variante es una versión precursora de la detectada con nombre ‘wgareg.exe’.

Este malware está diseñado para formar parte de una red de bots de los utilizados para, por ejemplo, realizar ataques de denegación de servicio distribuidas (DDoS). Se cree que es una evolución de Mocbot, ejemplar que apareció a finales del año pasado y que explotaba la vulnerabilidad del servicio PNP descrita en el boletín MS05-039. Esta nueva versión es controlada también desde servidores IRC localizados en China. Al igual que los profesionales del Phishing, los creadores de este ejemplar de malware aprovechan la falta de cooperación de las entidades de dicho país a la hora de actuar contra sitios que hospedan contenido malicioso.

No podemos dejar de remarcar la importancia de mantener los sistemas parcheados de forma adecuada, no sólo como protección puntual contra este tipo de amenazas, sino como algo que debe
formar parte de las buenas prácticas de seguridad en cualquier entorno corporativo o casero. Los creadores de malware aprovechan la desidia de los administradores y usuarios a la hora de aplicar esta regla para infectar decenas de miles de ordenadores con sus creaciones.

Es muy importante también aplicar una política de defensa en profundidad a la hora de utilizar tecnologías antivirus en entornos corporativos. La planificación y aplicación de políticas y procedimientos sólidos y coherentes con cada entorno particular es uno de los puntos importantes que destacamos durante nuestras actividades de auditoría y consultoría en este campo. Es recomendable, por ejemplo, el uso de al menos dos soluciones antivirus de casas diferentes para complementar las capacidades de ambas y así minimizar en lo posible el riesgo de una infección
dentro de las redes.

Para luchar contra esta amenaza en concreto, también existen firmas de SNORT que detectarían la presencia de la amenaza en entornos infectados. Hay ya unas escritas y disponibles para su uso,
y que pueden ser encontradas en el enlace que incluimos al pie de este una-al-día, concretamente
en el aviso de LURHQ.

Más información:
- ———-
Vulnerability in Server Service Could Allow Remote Code Execution (921883)
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx

MS06-040 exploit in the wild
http://isc.sans.org/diary.php?storyid=1592

Mocbot/MS06-040 IRC Bot Analysis
http://www.lurhq.com/mocbot-ms06040.html

Microsoft Security Advisory (922437): Exploit Code Published Affecting the Server Service
http://www.microsoft.com/technet/security/advisory/922437.mspx

VirusTotal
http://www.virustotal.com
Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/ 

Compártelo

Se ha descubierto una vulnerabilidad en Clam Antivirus que puede ser explotada por atacantes remotos para provocar denegaciones de servicio
o incluso el compromiso de sistemas afectados.

La vulnerabilidad, descubierta por el investigador Damian Put, se debe a un problema en el tratamiento de archivos ejecutables PE empaquetados con UPX.

Clam AntiVirus es un motor antivirus gratuito y de código abierto.
Mayormente utilizada en entornos UNIX, fue diseñada para su uso integrado con servidores de correo, analizando los mensajes que éstos procesan, incluyendo los adjuntos que éstos puedan llevar consigo.

El formato PE (Portable Executable) es el nativo de las plataformas Windows para ejecutables y DLLs. Básicamente, se trata de una estructura de datos  que encapsula la información necesaria para que las distintas versiones de Windows puedan ejecutar el código propiamente dicho.

UPX (Ultimate Packer for eXecutables) es un empaquetador de ejecutables Open Source que soporta una buena cantidad de formatos de archivo. Si bien su funcionalidad es neutra, suele ser bastante frecuente encontrar malware empaquetado con diversas versiones de esta potente herramienta.

La vulnerabilidad en sí se debe a un error en la función ‘pefromupx()’, localizado en el archivo fuente ‘libclamav/upx.c’. Esta función es la encargada de extraer el archivo Win32 PE del original empaquetado con  UPX. Un error de comprobación de tamaños de variable utilizadas durante este proceso puede ser explotado - mediante la construcción de un archivo UPX especialmente formado a tal efecto - para provocar un desbordamiento  de búffer basado en heap. Este desbordamiento puede llevar a una condición de denegación de servicio (cese de la ejecución del servicio en sí) o
incluso a la ejecución de código arbitrario en el sistema afectado.

La vulnerabilidad, que fué detectada en las versiones 0.88.2 y 0.88.3, ha sido solventada en la 0.88.4, disponible para su descarga en la
siguiente dirección: http://www.clamav.net/stable.php#pagestart

Más información sobre la vulnerabilidad y otros temas asociados en las siguientes direcciones:

Security advisory: 0.88.4
http://www.clamav.net/security/0.88.4.html

Clam AntiVirus Win32-UPX Heap Overflow
http://www.overflow.pl/adv/clamav_upx_heap.txt

Portable Executable
http://en.wikipedia.org/wiki/Portable_Executable

UPX
http://en.wikipedia.org/wiki/UPX
Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/ 

Compártelo

Hasta la fecha la mayoría de gusanos para teléfonos móviles estaban dirigidos a la plataforma mayoritaria, Symbian. Además actuaban de forma similar a los gusanos de correo electrónico: para infectar un sistema requerían de la intervención del usuario, quién debía aceptar el mensaje, abrirlo y ejecutar el adjunto.

Durante la DefCon de este año hemos podido ver una novedad en este terreno de la mano de Collin Mulliner, quién ha demostrado, entre otros ataques, como es posible desarrollar un gusano que infecta los dispositivos móviles de forma automática y transparente, sin la necesidad de que el usuario intervenga.

La prueba de concepto ha sido posible gracias a una vulnerabilidad
en el procesamiento de mensajes MMS (Multimedia Messaging Service) en la plataforma Windows CE. En concreto aprovecha un desbordamiento de buffer en el procesamiento de archivos SMIL (Synchronized Multimedia Integration Language) que permite ejecutar código arbitrario.

A efectos prácticos, el usuario puede ser infectado al visualizar
un mensaje MMS, sin necesidad de que ejecute ningún archivo adjunto.

Symantec, tras el aviso de Cullin, se ha apresurado a anunciar que a
finales de 2005 su equipo de analistas también detectaron diversos
desbordamientos de buffer en Windows CE 5 / Windows Mobile, y que
en breve presentarán los resultados de su investigación.

La realidad es que, de momento, los gusanos que han tenido cierta
repercusión en la telefonía móvil han estado diseñados para la
plataforma Symbian. La presentación en la DefCon, aunque demuestra el riesgo potencial existente, no deja de ser una prueba de concepto,un experimento de laboratorio.

Sin embargo el aumento de dispositivos móviles basados en Windows CE y la publicación de estas vulnerabilidades podría ser el caldo de
cultivo para el comienzo de una nueva generación de gusanos para la
plataforma móvil de Microsoft.

Más información:

Advanced Attacks Against PocketPC Phones or getting 0wnd by MMS
http://www.mulliner.org/pocketpc/CollinMulliner_defcon14_pocketpcphones.pdf

Remote Code Execution on Windows Mobile Demonstrated
http://www.symantec.com/enterprise/security_response/weblog/2006/08/remote_code_execution_on_windo.html
Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/ 

Compártelo

Un banner de publicidad alojado en MySpace ha conseguido infectar a más de un millón de usuarios de Windows gracias a una vulnerabilidad para la que existe parche desde enero de 2006. No es la primera ni la última vez que esto ocurre. Los anuncios en las páginas puede convertir a una web de confianza en una fuente de código no deseado.

Durante este mes de julio, quien navegase a través de MySpace.com con Intenet Explorer no parcheado y privilegios de administrador, quedaba infectado automáticamente por algún tipo de adware. Al contrario de lo que pueda parecer, la página MySpace no tiene, en principio,responsabilidad directa sobre el incidente. Normalmente contratará servicios de publicidad a terceros que se encargan de seleccionar, alojar y hacer visible la publicidad en su página, y ha sido a través de este sistema (no se conocen exactamente las causas originales, si el servidor de publicidad fue comprometido o no) que se ha llegado a infectar a más de un millón de personas.

El malware se ejecutaba sin permiso, a través de la vulnerabilidad WMF, parcheada por Microsoft en enero de 2006. Es curioso que se detectara el problema al visitar la página con Firefox, pues el navegador pedíaconfirmación para descargar un archivo en formato wmf que no se había solicitado. Fue así como se descubrió el pastel. Las versiones actualizadas de Internet Explorer evitan también la instalación del virus. Investigaciones posteriores hacen pensar que este ataque permanecía activo en otras webs desde principios de julio.
Bernardo Quintero, en septiembre de 2005, ya analizó una situación
parecida en una entrada del blog de Laboratorio de Hispasec: “Dilbert
intenta infectarme”. La historia se repite pero de una forma todavía más ruin y taimada. En aquella ocasión, al visitar la (muy re comendable) tira cómica diaria de Dilbert aparecía una ventana emergente donde se informaba de errores de registro o del sistema de archivos. Obviamente era falsa, pues el mismo aviso aparecía independientemente del sistema operativo con que se visitara. La ventana sugería la instalación de un tal WinFixer 2005 de forma gratuita, de lo contrario el sistema no funcionaría correctamente. Al intentar declinar la oferta y pulsar en “cancelar”, el programa pretendía instalar un ActiveX, que sin duda no tenía muy buenas intenciones y donde seguro se alojaba el código
necesario para infectar la máquina. Tras varias tentativas e
insistencias, se conseguía convencer al programa de que realmente no se quería instalar el dudoso programa. El adware pretendía, no sólo infectar el sistema, sino que tuviese que pagar 40 dólares por ello. Para colmo, no todos los antivirus detectaban como peligrosa esta supuesta herramienta.

Esta violenta, intrusiva y fraudulenta campaña de mercadotecnica
destinada a infectar sistemas es conocida desde hace tiempo en Internet.
Lo que no es tan habitual es que el ataque se produzca al visitar
páginas de confianza como puede ser la tira cómica de Dilbert o páginastan populares como MySpace.com, donde incluso las defensas pueden verse más relajadas, tanto a nivel técnico (quizás a estas páginas, desde las opciones del navegador, se les permitan más licencias que al resto) como a nivel personal (muchos recelarán menos de mensajes que provengan de páginas a las que son asiduos).

Pero en el caso de MySpace no había opción. No se pretendía convencer al visitante para que instalase su propio troyano sino que, directamente, se intentaba aprovechar una vulnerabilidad para ejecutar el código de forma absolutamente inadvertida para el usuario. Y todo esto, no desde páginas de dudoso contenido e intenciones, sino desde una reputada página como MySpace, visitada por millones de usuarios al día. No en
vano Alexa califica a MySpace.com como la sexta página más visitada en Internet. En realidad la técnica es realmente efectiva para los que intentan infectar sistemas. Consiguen de esta forma, al colar una infección indirecta a través de publicidad, muchas más visitas que si tuviesen que convencer a todas esas personas de que visitaran cualquier enlace llegado a través de spam. El impacto numérico es mucho mayor, y además, los usuarios acuden por su propia voluntad al foco de infección.

De la “anécdota” con la página de Dilbert se pueden sacar las
conclusiones que ya conocemos. No hay límite para la codicia de algunas “empresas” y no dudan en emplear todo tipo de técnicas engañosas para captar clientes o víctimas. Con respecto a MySpace, además de aprender a no fiarnos de ninguna página, sea de confianza o no, podemos concluir que existen todavía más de un millón (y más de dos, y de tres…) de personas navegando con Internet Explorer desactualizado (al menos desde enero) y con privilegios de administrador. Parece que ningún consejo o advertencia sobre los peligros de Internet hace mella en estos
usuarios.

Si este dato hace que muchos se lleven las manos a la cabeza, hay que recordar que otros cuantos se las estarán frotando, al comprobar con este ejemplo práctico lo elevado de su “potencial cuota de mercado” en sus “negocios” particulares.

Las páginas, por su parte, no deben confiar sus servicios de publicidad a terceros con dudosa reputación. Incluso estos a veces revenderán sus servicios o incrustarán banners alojados en páginas que escapen a su control. No está claro cómo ha llegado hasta ahí una publicidad tan dañina.
En cualquier caso, cae otro mito que ya costó inculcar a los usuarios en su momento. Si habían comprendido que existía una parte “peligrosa” en Internet (páginas pornográficas, juego online, archivos en redes p2p, adjuntos ejecutables…) donde eran conscientes de que podían correr algún riesgo y por ello tomaban algunas precauciones, si se ha acuñado el término “mal uso” de Internet, como una práctica en la que se visitan páginas “inapropiadas”, este aprendizaje ya no es válido, queda desfasado e incompleto. Hoy, más que nunca a través de este tipo de ataques indirectos, cualquier página puede ser fuente de problemas e infecciones. Toda web, ya sea de música, pornografía, juego en línea o humor, se convierte en un hostil campo de batalla, donde los sistemas Windows se convierten es el objetivo preferido y ningún usuario puede ni debe sentirse seguro.

Ante este panorama, no cabe más que tomar todas las precauciones
posibles sin distinción, en páginas “amigas” o no, e intentar que el
negocio de la “publicidad infecciosa”, no les funcione a estos
desaprensivos.

Más información:

Hacked Ad Seen on MySpace Served Spyware to a Million
http://blog.washingtonpost.com/securityfix/2006/07/myspace_ad_served_adware_to_mo.html

Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/ 

Compártelo

Este fraude cibernético se utiliza para conseguir información financiera y personal Como ya lo reportó Virusprot.com hace unas semanas, se está comenzando a difundir una nueva modalidad de Phishing. Esta se lleva a cabo aprovechando la tecnología VoIP o, últimamente VoWIP - Voz sobre WiFi-IP. Es importante que los usuarios estén prevenidos y alertas pues ambas están adquiriendo un importante volúmen. “Los consumidores deben estar conscientes de esta nueva amenaza” dijo Paul Henry, vicepresidente de cuentas estratégicas de Secure Computing. “Como otros métodos de Ingeniería Social, el Vishing se basa en el “hacking” de un procedimiento común que se encuentra dentro de la zona de confort de la víctima”. El Vishing, generalmente se realiza de la siguiente manera: El atacante configura un “Dialer” para que llame a números de una zona permanentemente. Cuando un teléfono contesta, una grabación automática lo alerta de algún “inconveniente” con su tarjeta de crédito y le indica comunicarse inmediatamente a otro número, supuestamente de la compañía de tarjetas o su banco, con la dirección IP falseada. Si la víctima llama a ese nuevo número, le contestará una voz de computador que le indicará que debe teclear en el teléfono los números de su tarjeta de crédito u otro dato financiero “delicado”.

Como en todos los casos de Phishing, los consumidores deben estar alertas y tener mucho cuidado antes de entregar datos sensibles a desconocidos.

Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/

Compártelo

A pesar de los siete Security Bulletins publicados esta semana por Microsoft, los peligros para la seguridad informática, aún subsisten. Acaba de aparecer en Internet, un nuevo virus informático, más específicamente un Troyano, que llega oculto en un archivo PPT de Power Point y que, entre otras “maravillas”, desactiva los antivirus instalados en el computador de la víctima.

El archivo de Power Point que contiene al virus, está en chino y contiene comentarios humorísticos y filosóficos sobre las relaciones amorosas entre un hombre y una mujer. Por supuesto, este troyano aprovecha una vulnerabilidad, no parcheada aún por Microsoft y que seguramente deberá esperar un mes completo, hasta los próximos “Boletines de Seguridad” de Microsoft, el segundo Martes de Agosto.

“Los hackers que están explotando este hueco sin parchear en Power Point parecen haber elegido el timing de la difusión de este código maligno para una fecha inmediatamente posterior a la publicación de los Security Bulletins”, dijo Graham Cluley, senior technology consultant de Sophos.

El troyano Edepol-C, tiene funciones de Keylogging, o sea que espía las actividades del teclado en la máquina infectada por el virus.

Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/

Compártelo

 Una empresa del Reino Unido ha publicado una estadística sobre correo basura y virus en junio de 2006. Al margen de la exactitud de los números y los métodos para conseguirlos, el estudio refleja lo estático del mundo del malware en general, instalado cómodamente en constantes variaciones de código vírico que ha demostrado su eficacia desde hace más de dos años.

Según la compañía SoftScan, los cinco primeros puestos de familias de virus en junio y su porcentaje de presencia en correos infectados es:

1.- Phishing: 48.05%
2.- Netsky: 16.69%
3.- Mytob: 15.05%
4.- Bagle: 5.94%
5.- Mydoom: 3.44%

Si se visita la página en la que la empresa hace públicos estos datos,
se puede observar además su evolución cada 24 horas, así como un estudio pormenorizado mensual del espectacular incremento del correo basura en los últimos años.

El primer puesto lo ocupan los virus (o malware en general) destinados al phishing. En esta categoría se englobaría todo tipo de código destinado a robar credenciales bancarias, ya sea registrando teclas, robando información, engañando al usuario… pero siempre desde el punto de vista de la rentabilidad y el lucro. Nada menos que casi la mitad del malware que circuló en junio correspondía a este tipo de basura.

En segundo puesto y a distancia, encontramos a Netsky, un famoso virus que lleva desde febrero de 2004 dando guerra. Hoy, decenas de versiones después, sigue siendo de los virus más populares. Los tataranietos de su primera versión siguen infectando muchos sistemas operativos Windows.

Mytob es un poco más joven. Lleva desde febrero de 2005 llegando a los buzones de sus víctimas. Sus primeras versiones pertenecían a la familia del MyDoom y aprovechaban una vulnerabilidad del proceso LSASS de Microsoft Windows para propagarse. También se ha difundido y mantenido activo a través de innumerables versiones y variantes.

Bagle, de los más veteranos, lleva acechando sistemas desde enero de 2004. Tuvo un importante impacto en su momento y hoy su descendencia sigue ahí como uno de los virus con más representación en el correo.
MyDoom también se descubrió en enero de 2004, y en un principio, se habló mucho de él por tener programado en su código un ataque de denegación de servicio en a la dirección web www.sco.com.

Estas cuatro últimas familias de virus están muy relacionadas entre sí y tienen muchos puntos en común. Se han ido perfeccionando con el tiempo, sufriendo gran cantidad de variaciones que le han permitido propagarse de manera más efectiva y pasar desapercibidos para los antivirus. Todos tienen en común una abundante descendencia. En algunos casos, el código se hizo público, lo que contribuyó a una frenética aparición de variantes casi a diario. También, como si se tratara de mafias dispuestas a defender su territorio, algunos de estos virus intentaban desactivar las acciones del resto, en lo que se convirtió en una verdadera guerra tanto técnica como dialéctica (a través del código fuente) entre los creadores. Se podían permitir el lujo de tomar el sistema de su víctima como un campo de batalla, donde peleaban impunemente por los recursos, burlándose de los antivirus y los usuarios.

Por último, además, estos virus han contribuido en gran medida a la
aparición de botnets y sistemas zombie, debido a que muchas de sus
versiones incluyen funcionalidades de puerta trasera.

Las conclusiones de esta lista son claras. Los creadores de virus son
prácticos y no innovan ya más allá de lo necesario para seguir pasando más o menos inadvertidos. No buscan notoriedad, sino eficacia en su código. Han encontrado algunas familias de virus efectivas que sirven eficazmente a sus propósitos y trabajan constantemente sobre ellas para mejorarlas.

Pero sobre todo, triunfa el phishing como método lucrativo de las nuevas mafias organizadas. A juzgar por el número de estafas consumadas y los niveles de persistente infección, parece que han tomado el camino más adecuado a sus intereses.

Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/

Compártelo

La empresa de seguridad McAfee advirtió que una gran cantidad sitios de Internet asociados con equipos de fútbol que participan en el Mundial pueden resultar una amenaza. De acuerdo con la compañía, muchas de estas páginas son capaces de instalar spyware y adware sin que los usuarios lo adviertan.

Según BBC News, McAfee analizó las páginas de protectores de pantalla asociadas a los 32 equipos que compiten en el Mundial. Se investigaron cuatro millones de sitios web para averiguar si eran seguros o, por el contrario, instalarían spyware y adware en las computadoras de los usuarios.

De acuerdo con la empresa, los sitios más peligrosos son aquellos relacionados con Angola, Brasil y Argentina. Según McAfee, el 24% de los sitios web asociados a la selección angoleña resultaron ser peligrosos, seguidos por los asociados con Brasil con el 17%, Portugal, Argentina y Estados Unidos

El análisis analizó también resultados de 736 futbolistas que participan en el Mundial. Nuevamente Angola ganó esta competición, con el 45% de los sitos web asociados con el jugador Luis Mamona Joao (alias Lama) calificados como peligrosos.

De acuerdo con la empresa de seguridad, un 30% de los sitios asociados con el futbolista británico, David Beckham, y la estrella brasileña, Ronaldinho Gaucho, también deberían evitarse o al menos ser visitados tomando todas las precauciones posibles.
 

Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/

Compártelo

Las variantes JP y JQ tratan de pasar desapercibidos para las soluciones antivirus tradicionales escondiéndose en archivos .zip con contraseña.

 En los últimos días PandaLabs ha detectado la puesta en circulación de 4 nuevas variantes de la conocida familia de gusanos de correo electrónico Bagle (JN, JO, JP y JQ). Aunque, en general, son similares a otros ejemplares de la misma familia, puede destacarse que las variantes JP y JQ tratan de escapar a la acción de las soluciones de seguridad que puedan estar instaladas en el sistema escondiéndose en el interior de archivos comprimidos en formato .zip con contraseña. Debido a ello, los e-mails en los que Bagle JP y JQ se propagan contienen dos ficheros: uno es el gusano propiamente dicho, mientras que el otro es un archivo de texto que contiene la contraseña necesaria para abrir el fichero .zip.

Si bien ninguna de las 4 variantes detectadas ha provocado incidencias considerables, el dato más preocupante es el aumento de actividad de los autores de estos códigos maliciosos, que ya demostraron ser capaces de provocar epidemias de importancia con variantes anteriores del mismo gusano.

Según Luis Corrons, director de PandaLabs, “según los datos que hemos recogido, los 4 nuevos gusanos son obra de los mismos autores. Parece que, una vez más, estos delincuentes están tratando de poner en circulación el mayor número de ejemplares posible, con el objetivo de que la probabilidad de que un equipo pueda verse afectado por alguno de ellos sea muy elevada. Por ello, no sería de extrañar que durante los próximos días sigan apareciendo nuevos Bagle, por lo que es muy conveniente asegurarse de tener instalado en el sistema un solución de seguridad perfectamente actualizada. Asimismo, es muy aconsejable tener instaladas en el sistema tecnologías de detección proactivas como TruPreventTM, capaces de detectar malware sin necesidad de actualizaciones”.

Los gusanos Bagle, además de poseer una gran capacidad de propagación a través de correo electrónico, son capaces de desactivar aquellas soluciones de seguridad que se encuentren instaladas en el equipo afectado. “De esta manera, los autores de los gusanos Bagle tratan de preparar el terreno con vista a futuros ataques, ya que saben que las máquinas infectadas difícilmente podrían hacer frente a otra nueva amenaza”, añade Luis Corrons.

Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/

Compártelo

El gusano BlackAngel.B, que fue descubierto por PandaLabs hace unos días y que se ha distribuido por países hispanohablantes, es capaz de modificar la configuración de los sistemas afectados por él, de forma que los usuarios no pueden volver a arrancar su PC. BlackAngel.B, una vez ha infectado a un equipo, se activa al cuarto día desde la infección comenzando una cuenta atrás de 10 segundos. Al agotar este tiempo, y sin conocimiento del usuario, cambia entradas críticas del registro de Windows que afectan al normal funcionamiento del sistema operativo y desactiva los servicios de recuperación del mismo. Finalmente, apaga el equipo provocando la pérdida de cualquier documento no guardado previamente.

Cuando el usuario intenta reiniciar de nuevo su PC, el gusano impide arrancar el equipo. Al haber desactivado previamente funciones de Windows como la utilidad de Restaurar Sistema o el Editor de registro, al usuario sólo le queda la posibilidad de reinstalar el sistema operativo desde el CD para poner en funcionamiento su PC y tener acceso a sus datos.

BlackAngel.B fue descubierto hace sólo unos días y se distribuye a través de MSN Messenger. Llega en un mensaje aparentemente enviando desde los contactos del usuario, es decir, desde una fuente fiable, y trae adjunto un fichero ejecutable que aparenta ser un vídeo, con el nombre “fantasma.exe”, que muestra una imagen con un texto amenazante: “En el 1er día te espantas, en el 2º te desesperas, en el 3º buscas ayuda y en el 4º mueres”.

En declaraciones de Luis Corrons “a pesar de que los creadores de virus buscan beneficios económicos y ocultan sus creaciones de forma que pasen totalmente desapercibidas, todavía existen algunos que elaboran y distribuyen nuevos ejemplares de gusanos, como BlackAngel.B, que intentan llamar la atención y hacer que los usuarios piquen movidos por el misterio, el morbo, etc. Además, en este caso concreto, el usuario recibe el gusano de un conocido, lo que hace más fácil que confíe en el mensaje. Por ello, la mejor forma de evitar cualquier perjuicio es disponer de una solución antivirus actualizada que nos proteja de ficheros potencialmente dañinos, independientemente de la fuente de la que provengan”.

Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://wwww.ayudaprogramacion.net/

 

Compártelo