• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Nueva vulnerabilidad en Adobe Flash Player

Diversas webs de seguridad están informando de una nueva vulnerabilidad en el reproductor de ficheros swf Adobe Flash placer. Según los últimos datos, serían más de 15.000 los sitios webs infectados que estarían intentando ejecutar scripts en el equipo del usuario y, seguidamente, descargar códigos maliciosos.

Los desarrolladores de Adobe han hecho un seguimiento de esta vulnerabilidad y recomiendan actualizar a la última versión del programa que no se ve afectada.

Además del consejo de los desarrolladores, recomendamos usar alguna herramienta que evite la ejecución automática de scripts maliciosos al navegar por sitios webs. Si usamos el navegador Firefox, podremos instalar el complemento NoScript que bloqueará por defecto todo aquel script que desee ejecutarse, permitiendo activarlo o no, según nuestras preferencias.

Asimismo, la utilización de un antivirus con capacidad proactiva permite el bloqueo de los códigos maliciosos que intentan descargarse aprovechando vulnerabilidades como la comentada.

Por último, para evitar este tipo de amenazas, conviene revisar periódicamente nuestro sistema en busca de nuevas versiones de los programas que tenemos instalados. Una herramienta muy útil para este menester es la que proporciona la web Secunia.com a través de su aplicación Software Inspector.

Josep Albors

Troyano Made in Brazil

Estas últimas semanas veníamos con la mosca detrás de la oreja, buscando algún espécimen de una nueva familia de troyanos la cual se nos estaba escapando, empezábamos a ver alguna que otra infección y claro estaba, sin la muestra no había manera alguna de saber quien, como y que estaban haciendo en las maquinas infectadas.

Así se cuece un troyano bancario Win32/Spy.Agent.CNX “Made in Brazil”

Suele venir en links falsos a tarjetas de felicitación, drivers, codecs de audio y video etc En el caso de la novia de un amigo, llegó por email, el asunto del cual decia que era una tarjeta de felicitación de un amigo.

Por desgracia o “desconocimiento “ se acepto el archivo html adjunto al correo que la llevo hasta la web de los creadores del troyano.

Como vemos en la imagen la postal en cuestión nos invita a descargar un plug-in de Flash, ya que sin el no podremos ver tan bonita postal. Gran error, al descagar el supuesto plug-in lo único que hacemos es descargarnos el troyano y con toda la confianza del mundo ejecutarlo, como no.

Cuando se ejecuta cltmon.exe, aparece una ventana de error con el mensaje “CRC error”, en un intento de hacer creer al usuario de que el ejecutable no se ha podido ejecutar correctamente por algún tipo de error. Buen engaño.

La realidad es que el troyano se ha ejecutado correctamente y comienza su proceso de instalación, todo en segundo plano. En primer lugar crea tres ficheros en la carpeta de sistema de Windows, por defecto:

C:\WINDOWS\system32\cltmon.exe
C:\WINDOWS\system32\onfy_.dll
C:\WINDOWS\system32\otxt16.cfg

También crea los siguientes directorios:

C:\WINDOWS\system32\smdata32
C:\WINDOWS\system32\smdata32\fxddsk
C:\WINDOWS\system32\smdata32\remdsk

Incluye la típica entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “cltmon” = “C:\WINDOWS\system32\cltmon.exe”

El análisis de dicho ejecutable revela que ha sido desarrollado en Visual C++ 6.0, y se observa en él funciones de keylogger genérico. Sin embargo este troyano esconde un objetivo más concreto, que se activa al descargar desde un servidor web un archivo txt aparentemente sin ningún sentido.

Este archivo de texto es en realidad un archivo de configuración cifrado que el troyano descifra e interpreta, y le indica que direcciones webs (URL) debe monitorizar en Internet Explorer para, en caso de coincidir, redirigir al usuario a un sitio web de phishing.

En concreto esta muestra redirige a los usuarios de banca electrónica de La Caixa a un sitio web de phishing donde, además del número de identificación y pin de acceso solicita en una segunda pantalla que se introduzcan todas las claves de la tarjeta de coordenadas.

Hay que indicar que el troyano mantiene un control total sobre Internet Explorer, de forma que aunque el usuario esté visitando los contenidos del sitio de phishing hospedado en otro servidor, en la barra de direcciones de Internet Explorer continuará apareciendo la URL legítima de la entidad bancaria.

Los datos robados son enviados a los atacantes, que a partir de ese momento pueden suplantar la identidad de la víctima en la banca electrónica y realizar operaciones y transferencias en su nombre.

ESET NOD32 detecta este troyano con el nombre de Win32/Spy.Agent.CNX

Para eliminar el troyano de un equipo infectado, deberemos:

1. Desactivar la restauración automática en Windows XP/ME.
2. Reiniciar en Modo a prueba de fallos.
3. Eliminar los archivos:

C:\windows\system32\cltmon.exe
C:\windows\system32\onfy_.dll
C:\windows\system32\otxt16.cfg

4. Eliminar la carpeta (incluyendo subcarpetas y contenido): C:\WINDOWS\system32\smdata32
5. Desde Inicio, Ejecutar, escribir REGEDIT y pulsar Enter para acceder al Registro del sistema.
6. Eliminar bajo la columna “Nombre” la entrada “Windows32″ según la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run cltmon = C:\WINDOWS \system32\cltmon.exe
7. Cerramos el editor del Registro del sistema.
8. Reiniciar el equipo y ejecutar un antivirus actualizado para eliminar cualquier otra forma de malware existente en el sistema.

R.R

Los códigos maliciosos y los eventos deportivos

Con todas las selecciones nacionales participantes en esta cita deportiva preparándose para este evento, los cibercriminales también preparan sus métodos para hacer su particular agosto. Sabiendo de la importancia que tiene este evento deportivo los aficionados europeos al futbol empiezan a ver correos no deseados ofreciendo entradas para diferentes partidos. Si bien esta estrategia sigue siendo la mas extendida, últimamente ha perdido eficacia y los ciberdelincuentes lo saben.

Es por eso que la amenaza mas peligrosa es la inyección de código malicioso en sitios webs y foros que visiten los aficionados para compartir sus experiencias. Este tipo de webs están especialmente activas estas fechas y son una tentación demasiado grande como para que los creadores de código malicioso se resistan.

Por tanto, cuando mas cerca nos encontremos del comienzo de esta cita deportiva, mas correo no deseado empezará a invadir nuestra bandeja de entrada y veremos mas ataques a sitios webs especificados en temas deportivos.

No olvidemos tampoco que, nada mas terminar la Eurocopa, empiezan los Juegos Olímpicos de Pekín por lo que muchos códigos maliciosos pueden ser aprovechado para ambos eventos o, peor aun, aquellos que fueron detectados y neutralizados durante la celebración de la Eurocopa pueden ser revisados para hacerlos mas peligrosos de cara a los Juegos Olímpicos.

Para protegernos de estas amenazas, aconsejamos desconfiar de aquellos correos que tengan estos temas como asunto y nos ofrezcan entradas gratis o a precios reducidos y, sobretodo, andar con mucho cuidado al visitar las webs y foros que cubran el evento. El uso de un navegador fiable como Firefox con los complementos adecuados (NoScript) nos puede ahorrar mas de un disgusto. Todo esto combinado con una protección integral unificada harán que disfrutemos de estos eventos deportivos son tener que preocuparnos por ser infectados.

Josep Albors

Botnet lanza ataque SQL masivo

Siguiendo con las noticias relacionadas con las botnets, una de las mas activas últimamente, Asprox, dedicada a enviar correos de phishing, esta ahora lanzando ataques de inyección SQL a sitios legítimos con el fin de engrosar sus filas de máquinas zombies.

Esta botnet hace que los ordenadores que forman parte de su botnet descarguen el fichero “msscntr32.exe”, utilizado para instalar unas herramientas diseñadas para lanzar ataques SQL. Estos ordenadores infectados insertan palabras clave en el buscador Google para encontrar sitios web .asp vulnerables.

Cuando se han identificado sitios vulnerables entonces se procede a realizar un ataque SQL para intentar controlarlas. Es entonces cuando los sitios atacados empiezan a dirigir a todo aquel que los visite a otra web que intenta infectarlos con múltiples códigos maliciosos, incluyendo el propio Asprox, aprovechando vulnerabilidades no corregidas en el sistema del usuario. Este otro sitio maliciosos responde al dominio banner82.com que cambia constantemente de IP para evitar ser desactivado como podemos ver en la imagen adjunta tomada en un intervalo de 10 horas:

Además, se intenta instalar la aplicación WinFixer, programa que intenta estafar a usuarios incautos vendiéndoles un programa antivirus falso que soluciona infecciones inexistentes. Mas grave aun, los usuarios infectados con Asprox también acaban ingresando en las filas de otra botnet conocida como Cutwail.

Tal y como hacen los gusanos informáticos, estas nuevas máquinas zombies intentarán infectar otos sistemas con lo que se rea un circulo vicioso. La diseminación de esta botnet puede observarse parcialmente en este otro gráfico:

En el momento de redactar esta entrada, este ataque ha conseguido infectar cerca de 1000 páginas web legítimas, páginas que, a su vez, ponen el peligro a todo aquel que las visita. Resulta preocupante comprobar como algunos de los sitios infectados se encuentran controlados por el Departamento de Seguridad Nacional de los Estados Unidos por lo que recomendamos que los usuarios no bajen la guardia y protejan sus sistemas con una solución eficaz contra este tipo de amenazas.

Josep Albors

Sobre Seguridad Informatica

Actualmente uno de los mayores problemas de la seguridad informática reside en el hecho de que los usuarios no tenemos conciencia de lo que nos llevamos entre las manos, porque creemos que no nos puede pasar nada malo, hasta que… desgraciadamente nos pasa. La verdad es que puede suceder lo peor y también es verdad que se produce con más frecuencia de la que nos podemos imaginar.

Muchos por no decir casi todos los propietarios de pequeñas empresas u autónomos creen que no se tienen que preocupar de la seguridad de sus sistemas informáticos . “Si total”, piensan, ” quién va a atacarme si hay otras empresas más grandes y que ganan mas”. Aunque es cierto que a las pequeñas empresas no se les ataca directamente con la misma frecuencia que a las grandes, hay alguno errores en esta afirmación.

El primer motivo es que las pequeñas empresas normalmente acaban formando parte de ataques a gran escala muy genericos, es decir no son ataques centralizados contra la empresa en cuestión, tales como amenazas por infección de gusanos worms o esfuerzos por recopilar números de tarjeta de crédito mediante troyanos keyloggers.

El segundo motivo es que, debido a que la seguridad se está reforzando cada vez más en las grandes empresas, las redes de las pequeñas empresas resultan más tentadoras para los piratas informáticos.

Y el tercer motivo es que se supone que todos los ataques proceden desde exterior, cuando actualmente no es así, la fuga de información a través de dispositivos de almacenamiento tipo USB Cd etc… es cada vez mas grande, y desgraciadamente muy difícil de controlar.

Indistintamente del modo en que se haya atacado a la empresa y del motivo por el cual se ha hecho, la recuperación de dicho “desastre” normalmente conlleva la inversión de mucho tiempo y dinero. Imaginemos por un momento que nuestros sistemas informáticos no pudieran estar disponibles durante una semana. Imaginemos que perdemos la información almacenada en los equipos de nuestra empresa.

Imaginemos que nuestra “competencia” puede obtener un listado de nuestros clientes, junto con las cifras y las notas de ventas. ¿Cuánto tardaríamos en darnos cuenta? ¿Cuánto le costarían a nuestra compañía estos ataques? ¿Podríamos permitirnos estas pérdidas?.

Parece de sentido común, a que sí . ¿A que no dejaríamos la puerta de la oficina abierta por la noche? Lo mismo se aplica a la seguridad de nuestros ordenadores, por pocos que estos sean. Con unos pocos pasos y otro tanto de sentido común podemos hacer que sean mucho menos vulnerables. Desde aquí os queremos recordar que proteger vuestro negocio es mucho más sencillo de lo que se cree, la simple instalación de una suite de seguridad con un Antivirus, un cortafuegos y Sistema AntiSpam, estoy seguro que nos ahorraría más de un quebradero de cabeza.

Por supuesto que no hay modo de garantizar la seguridad total de dicha información porque al fin y al cabo el que está sentado entre el ordenador y la silla es un usuario el cual acude a su puesto de trabajo trabajo a realizar sus tareas, sin quizas tener la ninguna consciencia de lo que lleva entre manos, con sus virtudes y sobre todo con sus defectos.

R.R

En las entrañas de una botnet

En otras entradas de este blog ya hemos informado acerca del peligro actual que representan las redes de máquinas zombies o, como se las conoce comúnmente, botnets. Uno puede pensar que los creadores de estas redes son gurús de la informática con amplios conocimientos de redes, sistemas operativos y programación de códigos maliciosos.

Nada mas lejos de la realidad. La mayoría de administradores de una botnet no tienen mas conocimientos que un usuario común pero tienen a su disposición herramientas con una interfaz muy simple que les permiten realizar sus actividades delictivas. A continuación vemos la interfaz del centro de control de una botnet cualquiera:

Como podemos observar, no difiere mucho de cualquier otro programa que usamos habitualmente. No hay que escribir complicados comandos en una consola, tan solo marcar y desmarcar opciones según las ordenes que queramos dar a nuestras maquinas zombies.

Este tipo de herramientas suelen adquirirse a un módico precio en los foros underground y permiten a cualquiera con unos conocimientos básicos de informática convertirse en un administrador de una botnet. Esto, por desgracia, hace que el número de las mismas vaya en aumento.

Es tal el nivel de especialización de estas herramientas que incluso se traducen a varios idiomas para comodidad de los que las adquieran. Por ejemplo, aquí vemos otra pantalla de la herramienta anterior pero traducida al chino:

Con toda esta propagación de redes botnet y, viendo que la posibilidad de crear nuevas redes esta al alcance de casí cualquiera, es altamente recomendable usar soluciones que impidan que nuestra máquina forme parte de ellas.

Josep Albors

Cazando ballenas

A pesar de que el titular de esta entrada pueda sonar polémico, con él nos estamos refiriendo a una variante del phishing dedicada a embaucar a gente influyente, directivos de empresas o altos cargos del gobierno. Si con phishing nos referimos a los peces pequeños (usuarios de banca online con pequeños ahorros) el whaling está orientado a los peces gordos.

Una de las formas usada para engañar a estas personas influyentes es mediante el envío de correos electrónicos supuestamente remitidos por tribunales de justicia. En estos mensajes se incluyen enlaces donde la víctima debe pulsar para recibir una citación judicial.

Una vez pulsado este enlace, se muestra un documento de apariencia oficial pero que esconde código malicioso capaz de robar información del sistema de la víctima así como asumir el control del mismo.

Cabe destacar que este tipo de mensajes suelen estar bien redactados, tienen un aspecto oficial e incorporan datos reales del usuario, tales como su nombre, dirección estado civil, etc. Este nivel de personalización los hace diferentes de los mensajes habituales de phishing, bastante más genéricos y peor preparados.

Ante este nivel de especialización, se recomienda aumentar la guardia y desconfiar de este tipo de mensajes, igual que hacemos con los casos de phishing.

Josep Albors

Piramides en la Red

Los últimos días recibimos unas cuantas muestras de un ejecutable remitido por usuarios a los cuales les parecía un tanto extraño que alguien pueda pagar una cantidad de dinero por tan solo instalar dicho ejecutale, al cual no le encontrábamos malware por ningún lado, asi que nos dispusimos a hacernos ricos y lo instalamos, una vez residiendo en una de nuestras maquinas descubrimos el autentico funcionamiento de este “PTC”. Que cosa rara… no es bicho, no lleva ningún código malicioso, pero como bien se dice nadie da duros a 4 pesetas.

Por lo visto (algo habíamos escuchado pero nunca nos habíamos puesto a mirarlo), hay servicios que se dedican a pagar a los usuarios por ver anuncios, hacer clicks en banners, recibir emails, etc. Tiene cierta lógica puesto que hay mucho dinero en publicidad en Internet que se cobra por click o visualización, así que entiendo que estos servicios se aprovechan de ello (no sabemos si son legales o no, éticos esta claro que no lo son, porque el anunciante está pagando por que sus anuncios lo vea gente que no está interesada).

Por lo visto, investigando nos hemos enterado ahora, de que este tipo de servicios se denominan PTC (Pay To Click). Si buscamos en google “PTC pay to click” podes obtener más información, por lo visto hay mucha gente que se dedica al tema, por lo tanto hay dinero de por medio.

Por lo que hemos leído las ganancias son ridículas, en un día pueden sacar $0,11 o así, de modo que no nos podemos hacer ricos Pero todas tienen un sistema en plan timo piramidal, de forma que si conseguimos que otros usuarios entren a este servicio recomendados por nosotros , nos llevaremos una comisión de lo que facturen esa gente. Es lo que llaman los “referidos”. Si conseguimos que mucha gente entre al servicio, y se dediquen a hacer clicks, puedes que al final ganes dinero sin hacer nada.

Como los usuarios saben que clickeando lo tienen crudo (solo unos céntimos al día), parece que la batalla en Internet es conseguir el máximo de adeptos que sean referidos. Así que es normal que cualquier web o enlace que nos encontremos en Internet sobre este tema no sea un simple link a la página del servicio, sino que lleve un parámetro con el código de la cuenta del usuario para que si entras te cuenten como referido.

Por ejemplo, alguien ha creado un blog del tema, con banners para que la gente pueda ganar dinero. http://rastauy.blogspot.com/

Que buena gente debe ser… pero realmente lo que busca es conseguir referidos, si ves los enlaces de los banners todos llevan el mismo parámetro “rastauy”, que es su código:

http://www.advercash.net/signup.php?ref=rastauy

http://bux.to/?r=rastauy

http://www.xclix.net/register.php?r=rastauy

http://www.titanclicks.com/index.php?ref=rastauy

Pues lo del programa éste en cuestión parece ser más de lo mismo. Pueden ayudar a “automatizar” que la gente pueda ganar unos céntimos al día. Pero al mismo tiempo, y eso es lo que parece ser que no dicen, se están llevando ellos su porcentaje porque las altas las hacen con su código de referencia. En el caso del programa éste, el código es “reycd9″.

Dejo que saquéis vuestras propias conclusiones, como podemos ver Internet sigue siendo una gran fuente de sabiduría y negocios.
R.R

Lanzamiento herramienta ESET SysInspector

Después de anunciar en este mismo blog el desarrollo de la utilidad ESET SysInspector, ha llegado el momento de anunciar la versión final de esta aplicación. Para ello, hemos preparado un apartado especial en nuestra web, accesible desde el siguiente enlace:

http://www.nod32-es.com/download/download_esi.htm

Esta aplicación cuenta con versiones para sistemas de 32 y 64 bits y esta pensado para ayudar a los usuarios finales y a los administradores de redes a analizar los procesos del sistema en busca de códigos maliciosos. Asimismo, se usa la Heurística avanzada lo que le permite detectar código malicioso antes de que este sea incluido en las bases de firmas de virus.

Invitamos a todo aquel que desee utilizar esta herramienta a descargarla gratuitamente desde nuestra web.

Josep Albors

Virus & Rapidez

Esta mañana recibíamos una muestra de un usuario el cual decía que le había aparecido un proceso extraño en su máquina, Al recibir la muestra la enviamos a Virus Total para así tener una primera impresión de lo que nos deparaba.

Aparentemente ningún motor antivirus lo detectaba en ese momento

Por experiencia ya que hace pocas semanas tuvimos un caso parecido, la hemos enviado a nuestro destripador de amenazas y cual a sido nuestra sorpresa:

Es uno de esos gusanos que se propaga por dispositivos removibles, como USBs, didcos duros extraibles o unidades/carpetas compartidas, etc.

Para eliminarlo, debemos:
* Matar el proceso smcc.exe desde el administrador de tareas Ctrl+Alt+Supr
* Eliminar los ficheros:
WINDOWS\system32\cmdll.dll
WINDOWS\system32\smcc.exe
* Eliminar la entrada en el registro de Windows que hace referencia a smcc.exe, en HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run

Ya con esta certeza la muestra se ha enviado a los laboratorios de ESET y en el corto plazo de una hora se ha agregado a la base de firmas de virus, consiguiendo con ello una satisfacción personal por un trabajo bien hecho.

Para prevenir este tipo de gusanos (y que se pueda volver a propagar), debemos desactivar todos los arranques automáticos. Podemos hacerlo a través del administrador de políticas de grupo.

Suponiendo que tenemos el sistema operativo Windows XP:

1) Inicio -> Ejecutar -> gpedit.msc

2) Configuración del equipo -> plantillas administrativas -> sistema -> Desactivar reproducción automática

3) Activar “Habilitada” -> seleccionar “Todas las unidades” -> pulsar “Aceptar”

4) Inicio -> Ejecutar -> gpupdate

En ell paso 4 no se verá nada (parpadeará la ventana de msdos), pero este comando sirve para actualizar la política y que esté activa desde ese momento.

Con eso previene que Windows ejecute los autorun.inf al introducir un USB, CD, etc., y este tipo de gusanos no se podrán ejecutar automáticamente. Una práctica simple que también nos ayudará a mantenernos a salvo es el tener una cuenta que no sea de administrador del sistema, con lo cual no se permite la instalación de aplicaciones, dos consejos muy útiles y muy fáciles con los cuales nos podremos ahorrar más de un disgusto.
Gracias B.

R.R.

Artículos Anteriores »