• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Nuevo rootkit afecta al sector de arranque

Cuando pensábamos que los códigos maliciosos que afectaban al sector de arranque (a partir de ahora MBR) de nuestro ordenador pertenecían al pasado, nos ha sorprendido la detección reciente de uno de ellos. Concretamente es un rootkit que afecta a sistemas operativos Windows y que se oculta en el MBR del disco duro, justo donde se almacenan las entradas de la partición primaria de su tabla de particiones.

El rootkit sobrescribe el MBR original, haciendo muy difícil su detección. Por suerte, el porcentaje de sistemas infectados es bastante bajo, especialmente si los usuarios tienen instalados todos los parches de seguridad de Windows.

La primera detección de este código malicioso fue informada a mediados del pasado mes de diciembre siguiendo activo en el momento de escribir esta nota.

Este rootkit parece estar basado en dos pruebas de concepto de rootkits con capacidad de ofuscación. Dichas pruebas fueron presentadas en sendas conferencias de seguridad informática y en principio afectaban a sistemas Windows NT y Vista. La infección ocurre cuando el usuario visita una página web infectada que contiene un iframe enlazado a un servidor que alberga varios exploits. El sistema del usuario se infectará si es vulnerable a cualquiera de los siguientes exploits:

• Microsoft JVM ByteVerify (MS03-011)
• Microsoft MDAC (MS06-014)
• Microsoft Internet Explorer Vector Markup Language (MS06-055)
• Microsoft XML CoreServices (MS06-071)

ESET NOD32 Antivirus detecta, gracias a su tecnologia Antistealth, este rootkit con el nombre Sinowal.nbj por lo que nuestros usuarios pueden estar tranquilos. Aun así volvemos a recalcar la importancia de mantener el sistema actualizado, aplicando todos los parches y actualizaciones de seguridad, tanto del sistema como de los programas instalados.

Josep Albors

Falsos codecs que descargan códigos maliciosos

En las últimas semanas venimos observando un incremento bastante importante de casos de infección mediante descargas de falsos codecs de video. Uno de los usos mas frecuentes que le damos a Internet en estos tiempos es la visualización de vídeos, ya sea mediante el uso de servicios como Youtube o bien usando la descarga de contenido audiovisual para después reproducirlos en nuestra máquina. Estos archivos normalmente requieren una serie de codecs para poder visualizarlos, ya que vienen comprimidos para reducir su tamaño y poder ser descargados rápidamente.

Sabedores del uso masivo de estos códecs, los creadores de códigos maliciosos han invadido multitud de páginas con falsos archivos de video que, cuando se intentan reproducir, solicitan la instalación de un codec, tal y como se observa en la imagen:

Tanto si el usuario pulsa sobre el botón Aceptar como en el de Cancelar, el código malicioso intentará descargarse en el sistema, hecho que conseguirá a menos que un antivirus con heurística proactiva como NOD32 lo intercepte.

La mayoría de códigos maliciosos distribuidos de esta forma son variantes de gusanos o troyanos ya conocidos como el Zlob, que, una vez infectada nuestra máquina, procederán a incorporarla a una Botnet.

Aconsejamos a los usuarios que desconfien de sitios web que les ofezcan instalar codecs sin garantías, descargando estos siempre desde la web del desarrollador, mantener actualizado su sistema para evitar que se aprovechen vulnerabilidades conocidas y, sobretodo, disponer de un sistema de seguridad que incorpore un antivirus con capacidad heurística, un cortafuegos y sentido común para evitar caer en las trampas de la ingeniería social.

Josep Albors