• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Resurgen viejas glorias

Resulta curioso ver que, en la misma semana, tengamos noticias de dos de los grupos de creadores de virus mas conocidos en este mundillo desde hace mas de una década, mas aun si contamos que llevaban meses, si no años, sin dar signos de vida.

El primero de estos grupos es el conocido como “The cult of the Dead Cow”, creador hace 10 años del celebre troyano Back Orifice. Son noticia por haber presentado una nueva herramienta gratuita de seguridad, llamada Goolag, que aprovecha la potencia del buscador Google para detectar vulnerabilidades y archivos o documentos sensibles alojados en sitios web.

La forma de usarse es sencilla. El usuario tan solo ha de seleccionar las vulnerabilidades que desee buscar desde una lista predeterminada y, posteriormente, acceder a ese sitio web. Instantes después de haber procesado estas peticiones, se muestran los resultados.

Aunque esta herramienta pueda resultar controvertida, puede ayudar a muchos administradores web a detectar y corregir vulnerabilidades en sus sitios.

La otra noticia relativa grupos de creadores de malware veteranos, corresponde al grupo patrio 29A (correspondiente hexadecimal del número 666). Durante años, desde 1996, estuvieron en la cima en cuanto a la creación de códigos maliciosos de calidad, convirtiendose en un referente para todos aquellos creadores de malware de la época. Esta semana han anunciado oficialmente su retirada, con lo que cae un baluarte mas de la antigua escuela de creadores de códigos maliciosos.

Aun tratándose de creadores de códigos maliciosos, la gran calidad de estos hacen que merecieran el respeto de los analistas de malware, tantos los pertenecientes a las casas antivirus como a los independientes.

Nuestros compañeros de Hispasec han dedicado una entrada en su blog para todos aquellos usuarios que deseen ampliar la información.

Josep Albors

Ataques DDOS

Aunque los ataques DDOS (denegación de servicio distribuido) son frecuentes en estos días, esta semana pasada hemos notado un aumento de los mismos. Normalmente, el público general permanecemos ajenos a estos ataques ya que solo afectan a páginas web o servidores concretos y lo único que llegamos a visualizar es que el acceso a una web es, temporalmente, imposible.

Pero, ¿Qué ocasiona un ataque DDOS y quien esta detrás de los mismos? En anteriores entradas de este blog hemos hablado de las máquinas zombis que componen botnets de mayor o menor tamaño. Entre las funciones que se les ordena realizar a estas máquinas zombies se encuentra el envío de correo no deseado (Spam), envío de códigos maliciosos o, la que nos ocupa en este artículo, la realización de ataques DDOS.

Una vez el administrador de una botnet decide realizar un ataque DDOS, bien por motivos personales o bien porque ha sido contratado por alguien para realizarlo, este lanza la orden a todas las máquinas zombies que controla para que se conecten a una dirección especifica (la de la víctima) saturándola de peticiones de conexión y evitando que los usuario legítimos puedan acceder a la misma. Ante los ojos de los usuarios, la web, servidor o máquina a la que intentamos conectarnos, aparecerá como caída, ocasionando perdidas económicas importantes dependiendo del volumen de tráfico que generase normalmente.

Obviamente, el objetivo principal de realizar estos ataques es el chantaje a la victima, que pagará la cantidad estipulada para que su web vuelva a estar disponible. No obstante y, tal como observamos en otros artículos de este mismo blog, se están usando estos ataques como armas de una nueva cyber guerra fría para deshabilitar web y servidores vitales de ciertos países u organizaciones.

Por desgracia, debido a que las herramientas para infectar y gestionar máquinas zombies son cada vez mas simples y al alcance de cada vez mas gente, esperamos ver un aumento de este tipo de ataques. Recientemente se han desmantelado importantes redes botnet que controlaban cientos de miles de máquinas, estando estas redes controladas por personas cada vez mas jóvenes (incluyendo menores de edad).

La mejor solución para estos casos es la prevención para evitar que nuestro sistema forme parte de estas redes. Para ello, es indispensable contar con una solución antivirus avanzada y actualizada que evite que nos infectemos por códigos maliciosos que nos agregarían a una botnet. Asimismo, una buena protección cortafuegos evitaría que nuestro sistema recibiese ordenes externas, interrumpiendo la comunicación entre el controlador de la botnet y nuestra máquina.

Josep Albors

Resumen de vulnerabilidades

Esta semana hemos tenido dos vulnerabilidades importantes en diferentes escenarios. La primera de ellas fue una vulnerabilidad en el lector de documentos PDF Adobe reader, la cual ya ha sido solucionada en la última versión del programa (8.1.2) disponible para su descarga en el sitio web del fabricante.

Esta vulnerabilidad permitía la ejecución de código Javascrip en el sistema vulnerable, pudiendo descargarse y ejecutar código malicioso en el mismo, como por ejemplo gusanos de la veterana familia Bagle.

ESET NOD32 detecta esta vulnerabilidad con el nombre PDF/Exploit.Pidief.A, detectando el código malicioso en origen y bloqueando su descarga, independientemente del malware que intente aprovechar la vulnerabilidad.

Como en otros casos similares, se recomienda actualizar Adobe Reader a la última versión o bien utilizar un lector de PDF alternativo como Foxit Reader.

Con respecto a la segunda vulnerabilidad importante de la semana, esta afectaba al kernel de GNU/Linux. Aunque no se tratase de un código malicioso propiamente dicho, este exploit permitía obtener permisos de root (administrador en GNU/Linux) a un usuario que se conectase de forma local, permitiendo instalar cualquier tipo de programa a continuación (sea o no malicioso). Este exploit afectaba prácticamente a todas las versiones mas recientes del kernel (de la 2.16.17 hasta la 2.6.24.1) por lo que, en apenas un par de horas se lanzo una versión del kernel que corregía este error. Asimismo, la mayoría de distribuciones mas usadas, lanzó actualizaciones, demostrando, una vez mas, la rapidez del software libre a la hora de solucionar vulnerabilidades.

A pesar de la gravedad del exploit, el hecho de tener que ejecutarse de forma local y la rapidez en lanzar una solución hace que, un fallo que podría catalogarse como crítico, haya pasado como anecdótico. No obstante, no conviene bajar la guardia puesto que es probable que este tipo de ataques a sistemas GNU/Linux se incremente en un futuro aunque, debido a la estructura del sistema operativo y a la comunidad que lo soporta, nunca lleguen a ser tan graves como los que sufre Windows.

ESET NOD32 detectó este exploit como Linux/Exploit o problaby a variant of Linux/Exploit (detectado por heurística). Recomendamos a los usuarios actualizar a la ultima versión del kernel, bien usando los actualizadores incluidos en sus respectivas distribuciones o bien descargándolo desde el sitio oficial.

Josep Albors

Analizando ficheros enviados usando MSN

Como hemos visto en entradas anteriores de nuestro blog, uno de los vectores de ataque mas populares actualmente es la mensajería instantánea, especialmente el servicio de Microsoft Live Messenger. Es por eso que, en este artículo, enseñaremos como configurar nuestro MSN para que todos los archivos recibidos usando este programa sean analizados por ESET NOD32 Antivirus.

Para ello debemos acceder al apartado Herramientas > Opciones > Transferencia de archivos y marcar la casilla “Examinar los archivos en busca de virus usando:”, tal y como se muestra en la captura de pantalla a continuación:

La ruta y el fichero a especificar en esa casilla dependerá de la ubicación en nuestro sistema del antivirus y de la versión del mismo que estemos usando. Así pues si usamos la ruta de instalación por defecto y la versión 2.7 de ESET NOD32 Antivirus. La ruta será:

“C:\Archivos de programa\ESET\nod32.exe”

Mientras que si estamos usando ESET NOD32 Antivirus versión 3 la ruta será la siguiente:

“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe”

Además, en esta nueva versión del antivirus, es posible obtener un registro de los ficheros analizados (almacenados en un fichero de nombre “log.txt”), agregando los parámetros “-log-file=log.txt” al final de la línea, quedando el comando de la siguiente forma:

“C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ecls.exe” “-log-file=log.txt

Configurando nuestro sistema de mensajería instantánea MSN de esta forma añadiremos una capa de protección mas a nuestro sistema, ya que los archivos detectados de esta forma serán detenidos antes de que puedan almacenarse en nuestro disco duro.

Josep Albors

Malware con amor

Aprovechando una de las fechas donde mas tarjetas de felicitación se envían como es San Valentín (o día de los enamorados), los creadores de códigos maliciosos han empezado un envío masivo de spam.

Uno de los correos de los que mas copias hemos recibido es el que mostramos a continuación:

En este correo se nos invita a enviar unas divertidas postales virtuales realacionadas con esta festividad con tan solo pulsar sobre un enlace. El enlace se repite varias veces a lo largo del mensaje, tal vez con la finalidad de que el usuario pulse accidentalmente en uno de ellos. Una vez pulsemos sobre el enlace se nos mostrará la siguiente web:

Una vez pulsamos sobre el enlace indicado se nos abre una nueva página invitándonos a instalar un control ActiveX. Como, por defecto, tenemos configurado nuestro navegador para que nos pregunte si deseamos instalar este tipo de controladores, los creadores de la web nos indican los pasos a seguir para poder instalarlos.

Cuando hayamos indicado a nuestro navegador que deseamos descargar este ActiveX, se nos mostrará una ventana solicitando la instalación de un software de los creadores de esta web.

Si aceptamos la petición anterior se empezará a descargar el software que contienen el código malicioso, mostrando una barra de progreso durante el tiempo que dure la descarga.

Una vez está descargado, el código malicioso intenta instalarse en nuestro sistema. Es entonces cuando nuestra solución antivirus detecta la intrusión y la bloquea.

Este método de infección aprovecha la ingeniería social ya que requiere del consentimiento del usuario para poder instalarse. Es por eso que recordamos desconfiar de este tipo de mensajes, sobretodo cuando se acerquen fechas señaladas como la que nos atañe.

Por último, hemos comprobado como una buena solución antivirus nos protege cuando el sentido común falla por lo que, invitamos a quien no disponga aun de un software de seguridad, instale ESET NOD32.

Josep Albors