• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Como se blanquea el dinero del phishing

En anteriores ocasiones hemos comentado que el mayor incentivo para los creadores de códigos maliciosos en la actualidad es el dinero. Pero estafar a los usuarios o vaciarles las cuentas bancarias pueden dejar rastros que pueden ser usados para localizar a los creadores de este tipo de malware. ¿Cómo es posible entonces que se localicen y detengan a tan pocos de estos ciber estafadores?.

La respuesta a esta pregunta son los muleros, personas que, sin saberlo, realizan las transferencias desde las cuentas de los usuarios afectados por un caso de phishing hasta las de los creadores de estas amenazas, usando las suyas propias como paso intermedio.

Todo empieza cuando un inocente futuro mulero recibe uno de los cientos de spams que se envían cada día ofreciendo una oferta de trabajo muy difícil de rechazar. Estas ofertas de trabajo ofrecen un salario muy elevado por tan solo unas pocas horas de trabajo al día con los únicos requisitos de disponer de una cuenta bancaria apta para realizar transferencias y un ordenador con conexión a Internet.

Mucha gente cae ante estos reclamos pensando que el dinero fácil aun existe en la red y acepta la oferta de la supuesta empresa. Seguidamente, se le ingresará una cantidad de dinero en su cuenta bancaria que deberá transferir a otra cuenta usando algún sistema como PayPal o Western Union, quedándose el mulero con una pequeña comisión que normalmente oscila entre el 5 y el 10 por ciento.

Puede parecer un negocio perfecto. Dinero fácil por poco esfuerzo, pero si el usuario estafado se pone en contacto con las autoridades para rastrear el beneficiario del dinero que le desapareció de su cuenta, el mulero aparecerá como tal y no el creador del ataque por phising.

Para evitar pasar por un mal trago de estas características conviene desconfiar de los correos que recibamos ofreciendo dinero fácil a cambio de un trabajo comodo y sin agobios.

Josep Albors

Propagación de Nuwar aprovecha catastrofes naturales y JJ.OO.

Tal y como anunciábamos cuando hicimos las previsiones acerca de que caminos tomaría el malware en el presente año, los eventos deportivos juegan un papel importante en la propagación de códigos maliciosos. Sabedores de esto, los creadores de malware aprovechan el interés que despierta en el público estos eventos para lanzar oleada tras oleada de correos que apuntan a viejos conocidos.

En esta ocasión nos encontramos de nuevo con una variante de Nuwar (o Storm Worm según quien haga la referencia) que aprovecha la unión de una supuesta catástrofe natural que podría cancelar la celebración de los Juegos Olímpicos. Así reza el encabezado del mensaje que recibimos en nuestra bandeja de entrada, aunque también es posible que haga solamente referencia a un fuerte terremoto.

El mensaje suele ser bastante escueto y tan solo muestra un asunto impactante y una línea de texto que incita a la curiosidad del usuario para que pulse sobre el enlace proporcionado. Este enlace redirige a la víctima a una página especialmente preparada donde supuestamente se muestra un video que recoge imágenes de la catástrofe. Cabe destacar que estos enlaces cambian muy rápidamente, existiendo una gran cantidad de ellos.

Observamos como, al pulsar sobre el video para intentar reproducirlo, se intenta descargar un fichero ejecutable con extensión .exe, lo cual ya debería hacernos sospechar. Ese fichero contiene la nueva variante de Nuwar que convertirá nuestro ordenador en una máquina zombie si lo ejecutamos.

En conclusión, la novedad en este tipo de amenazas no es tanto el código malicioso en sí. Esta radica en el aprovechamiento de la ingeniería social para infectar maquinas que no estén lo suficientemente protegidas por lo que es necesario disponer de un antivirus actualizado para mantener nuestro sistema a salvo.

Josep Albors

Configuración de ESET Smart Security y P2P

Esta vez lo que nos trae hasta aquí es un pequeño “How To” para configurar el Cortafuegos de nuestra ESET SMART SECURITY con el cliente P2P Emule, asi que manos a la Obra.

Abrimos nuestro ESET Smart Security haciendo click sobre el icono que está en el área de notificación system tray (al lado del reloj del sistema). De no estar aquí, se puede iniciar desde Inicio > Todos los Programas > ESET > ESET Smart Security.

PASO 1.- Una vezabierto pulsamos Control+M para activar la vista “modo avanzado”, por defecto viene en el modo Estándar.

Tras esto vamos a Configuración -> Cortafuegos Personal y hacemos click sobre “Configuración avanzada del cortafuegos personal…”

PASO 2.- Entramos en el menú “Cortafuegos Personall” y aquí seleccionamos la opción “Modo Interactivo”.

PASO 3.- Seguimos en el mismo menú, pero esta vez hacemos clic sobre el árbol de configuración desplegado en “Reglas y Zonas” y tras esto en el apartado “Editor de Reglas y Zonas” y hacemos clic sobre “Configuración…” Hasta aquí los pasos descritos serian iguales para cualquier regla que queramos añadir a nuestro Cortafuegos Personal.

PASO 4.- Una vez hecho esto, nos aparecerá una ventana tal como la que aparece más abajo. Entonces, pulsamos sobre “Nuevo” para agregar la nueva regla.

PASO 5.- En el campo que nos aparecerá en “Nombre” escribimos por ejemplo: eMule (podemos escribir cualquier otra cosa: Ares , utorrent etc si fuésemos a configurar dichos programas ). En “Dirección” por defecto nos aparecerá “Ambos”, que es la que dejaremos, entrada y salida.

PASO 6.- Elegimos en el campo “Acción” la opción > PERMITIR. Tras esto si no está definido, elegimos en Protocolo: “TCP & UDP”.

PASO 7.- En esta misma ventana, hacemos click sobre la pestaña LOCAL, aquí debemos examinar para indicar la ruta en la que se encuentra el ejecutable de nuestro eMule, por defecto es: C:\Archivos de Programa\eMule\eMule.exe. En esta misma pestaña “local” podeos agregar los puertos que vamos a permitir al proceso eMule.exe, que por defecto son o eran 4662 y 4663.

PASO 8.- En la pestaña Remoto también agregaremos los puertos por la que la aplicación se conectará a través de internet con los servidores de eMule, los predeterminados en este caso son 4662 y 4663, aquí también podríamos agregar la dirección IP de a donde se contecta, esto está muy bien cuando la aplicación para la cual estamos creando la regla solo se conecta a una IP, pero en este caso nuestro P2P conecta con muchas IP’s, así que lo dejaremos en blanco.

Y si todo está correcto al darle a Aceptar nuestra regla quedará creada tal y como podemos ver en la siguiente imagen.

Así que ya tenemos nuestro cliente P2P configurado para empezar a descargar, habrá que tener en cuenta que habrá que abrir los puertos en el Router también si queremos que funcione al 100%, con los peligros que ello puede entrañar.
R.R

Lanzamiento beta pública ESET Mobile Antivirus

Tal y como anunciamos con anterioridad, ESET no olvida a los, cada vez mas abundantes, usuarios de teléfonos móviles que desean proteger sus terminales. El campo de la telefonía móvil y de los smartphones ha experimentado un crecimiento impresionante en los últimos años y son muchos los creadores de códigos maliciosos que han puesto sus ojos en estos dispositivos.

Es por eso que nos alegra presentar la beta pública de ESET Mobile Antivirus para que todos aquellos usuarios que deseen probarla en terminales de uso no crítico, lo hagan de forma gratuita. Tan solo han de descargar la que se corresponda con su plataforma desde los siguientes enlaces:

ESET Mobile Antivirus (SmartPhone)
http://download.eset.com/special/mobile/emav_wm_sp_enu.zip

ESET Mobile Antivirus (PocketPC)
http://download.eset.com/special/mobile/emav_wm_ppc_enu.zip

Recordamos que estas versiones tan solo están disponibles
en inglés para los siguientes sistemas:

• Microsoft Windows Mobile 5.0 for Pocket PCs Phone Edition
• Microsoft Windows Mobile 5.0 for Smartphones
• Microsoft Windows Mobile 6 Classic
• Microsoft Windows Mobile 6 Professional
• Microsoft Windows Mobile 6 Standard

Los requisitos técnicos para el funcionamiento del antivirus son:

• Procesador: 400Mhz CPU (mínimo 200MHz)
• RAM: 32MB disponibles (mínimo 16MB )
• Espacio libre: 1MB (mínimo 768KB)

Cabe recordar que se trata de una versión beta y, como todos los programas en esta fase de desarrollo, esta versión no está completamente libre de errores y no debe ser usada en terminales de uso crítico. Asimismo, aquellos usuarios de otros sistemas como Symbian tendrán una versión adaptada para ellos próximamente.

Josep Albors

Código malicioso clásico vuelve con mas fuerza

Durante el pasado fin de semana hemos observado la propagación masiva de una nueva variante de un código malicioso bien conocido por los que trabajamos en el campo de la seguridad informática. Fue tal la propagación del mismo que llegó a aparecer en algunos informativos y prensa escrita. El código malicioso al que hacemos referencia es el GpCode, cuya primera variante apareció en el 2005.

Se trata de un ransomware, o código malicioso extorsionador, que cifra cierto tipo de ficheros, obligando al usuario a pagar un rescate por los mismos si quiere volver a usarlos. La diferencia con anteriores variantes radica en el código de cifrado usado, que en esta ocasión se basa en el algoritmo RSA 1024. Harían falta cientos de ordenadores trabajando al unísono durante varios meses para poder descifrar un cifrado de ese tipo por lo que a efectos prácticos es como si el usuario hubiese perdido sus archivos. Asimismo, aunque se encontrase la clave para descifrar los archivos, esta puede ser cambiada fácilmente por lo que cualquier esfuerzo en esta dirección resulta inútil.

Para evitar caer en esta trampa se recomienda tener siempre copias de seguridad de nuestros archivos mas valiosos, no pagar nunca este tipo de rescates ya que se convertiría en una posible victima de futuras extorsiones (otorgando además la victoria a los creadores de este tipo de códigos maliciosos) y, sobre todo, disponer de una solución antivirus actualizada que evite la infección de los ficheros que guardamos en nuestros ordenadores.

Josep Albors.

Aplicaciónes Potencialmente Peligrosas

Las aplicaciones potencialmente peligrosas, son aquellas que, en si mismas, no son perjudiciales, pero pueden ser utilizadas de una forma mas ilegal para tareas que ponen en riesgo la seguridad del usuario y de sus sistema.

En la red existen un gran número de herramientas para administradores de sistemas que verdaderamente son de gran utilidad para los responsables de redes informáticas, pero también pueden ser utilizadas de una forma inversa para, claro está, otros fines mas oscuros. Entre dichas aplicaciones podemos encontrar sniffers, keyloggers, analizadores de puertos/servicios y controles remotos. Se denominan “aplicaciones potencialmente no deseadas” por fabricantes de software de seguridad , dado que pueden ser usadas tanto en forma legitima por administradores de redes como de una forma un tanto delictiva por atacantes o intrusos.

• Los keyloggers son aplicaciones que una vez instaladas en un equipo informático, monitorizan todo lo que se teclea en el mismo, lo almacenan y pueden remitirlo a una persona en forma remota a través de distintos medios como correo electrónico, FTP, etc. Un ejemplo es el perfectKeylogger

• Los Scanners de Puertos permiten monitorizar un equipo informático y detectar qué puertos y servicios están abiertos, para conocer así de qué manera es posible conectarse al mismo. Por ejemplo el NetScan

• Los Sniffers son programas capaces de monitorizar el tráfico de la red y pueden ser utilizados para extraer información como usuarios y contraseñas de servicios internos y externos de la empresa. Famosísimo Cain o el wireshark

• Los Controles remotos (Virtual Network Computing) son herramientas que, si están instaladas en un sistema cliente o servidor, brindan la posibilidad de administrarlos de forma remota, teniendo un control casi total sobre el equipo en cuestion. Ejemplos: Radmin, VNC, Etc..

Es normal que un administrador de red utilice alguna de estas herramientas en sus tareas cotidinas, como dar soporte remoto a sus usuarios o analizar el tráfico e la red local en busca de algún problema, por lo que no es para nada raro encontrarlas en una empresa. Sin embargo, no solo pueden ser utilizadas para fines administrativos. En manos de alguien con conocimientos dentro de una red local pueden ser mucho peores a virus, troyanos o cualquier malware de los que circula actualmente por la red, ya que con estas herramientas se puede extraer todo tipo de información, contraseñas incluso visualizar en tiempo real que hace un compañero del trabajo.

De ahí que los Antivirus los detecten como “Amenazas Potencialmente Peligrosas”

R.R

Nueva propagación de troyanos bancarios

Recientemente venimos recibiendo una serie de correos que nos avisan de la infidelidad de nuestra pareja, incluso con pruebas gráficas. Ante tan irrefutable prueba no tenemos otra opción que acceder a los enlaces que nos enseña. Aunque estemos solteros, el morbo es el morbo.

Al pulsar sobre uno de los enlaces aparecerá la ventana de nuestro navegador preguntamos que deseamos hacer con este archivo. Como buenos cornudos o voyeurs, procederemos raudos y veloces a descargar estas intrigantes fotos a nuestro ordenador.

Pero, si nos paramos a analizar con detalle el correo con los enlaces a los que apuntan las supuestas fotos, observaremos algo curioso:

Vaya, las fotos tienen una extensión .exe que corresponden a un archivo ejecutable. Esto empieza a oler mal, aunque bueno, también depende de si prefieres que te infecten tu sistema con un código malicioso o que tu pareja te sea infiel. Para gustos, los colores.

Supongamos que seguimos siendo curiosos y seguimos adelante con la descarga de las supuestas fotos. Si no disponemos de antivirus o este se encuentra desactivado, descargaremos el fichero sin problema alguno y veremos como este tiene el icono que representa las imágenes en Windows, pero si tenemos nuestro sistema configurado para que muestre las extensiones de los ficheros, observaremos que la extensión se corresponde con la de archivos ejecutables.

Por otra parte, si disponemos de ESET NOD32 instalado en nuestro sistema y actualizado veremos como se nos muestra la siguiente alerta al intentar descargar el archivo infectado.

Este tipo de troyanos bancarios es bastante común y fácil de realizar por los creadores de malware ya que aprovechan la ingeniería social para engañar al usuario y hacer que se descargue códigos maliciosos sin tener que aprovechar vulnerabilidades ni programar difíciles scripts. Simplemente apelando a la curiosidad del usuario pueden obtener cuantiosos resultados.

Resumiendo, no conviene fiarnos de correos que pongan en entredicho la fidelidad de nuestra pareja que, además de provocarnos un problema con el/ella, nos puede dejar sin dinero en nuestra cuenta corriente.

Josep Albors

Compartiendo mas de lo necesario

Como hemos visto en el artículo anterior, una configuración incorrecta en los recursos compartidos de Windows puede provocar que expongamos a miradas indiscretas ficheros confidenciales de nuestro sistema. Pero existe otra manera más fácil de compartir archivos sin darse cuenta y exponerlos al riesgo de que se filtren a cualquier usuario de Internet, simple y llanamente instalando una aplicación para compartir ficheros a través del protocolo P2P.

Pongamos por ejemplo Edonkey/Emule o cualquiera de sus derivados. Para poder descargarse ficheros más rápidamente los usuarios deben compartir una gran cantidad de ficheros. La forma mas fácil es compartiendo toda la unidad donde está instalado el programa (normalmente C:) pero esto supone compartir también una serie de ficheros que tal vez no queramos que estén al alcance de cualquiera.

Por ejemplo, si hacemos una búsqueda de listados de clientes nos puede salir un resultado como el siguiente:

Esto puede suponer una fuga de información importante, sobretodo si se realiza desde un ordenador de una empresa. Para evitarlo, debemos aislar los ficheros que debamos compartir en la configuración del programa de la siguiente manera:

Como podemos observar la solución es muy fácil y, con esa simple configuración evitaremos que nuestros datos más valiosos estén al alcance de cualquiera.

Josep Albors

¿Son seguros los recursos compartidos en Windows?

Uno de los principales problemas de seguridad que nos encontramos con los Sistemas Operativos Windows es la facilidad con la cual podemos compartir archivos e impresoras. Si no nos tomamos las debidas precauciones, esa misma facilidad para compartir, se puede convertir en un serio problema al estar conectados a Internet.

Cualquiera que descubra la dirección IP con la que estamos conectados (sobre todo los que tenemos conexión permanente con ADSL y dirección IP estática) podría acceder a partes de nuestro sistema para realizar cualquier acción, desde acceder a tus ficheros, pasando por introducir virus o troyanos, o usar nuestro ordenador como plataforma para ataques a otros ordenadores, además del robo de información almacenada en el.

Cuando instalamos Windows, este, por defecto crea una serie de recursos compartidos por defecto que están ocultos para cualquier persona pero que en realidad pueden ser accesibles por cualquiera con un mínimo de conocimientos de informática.

Estos recursos compartidos suelen apuntar a todas las unidades de disco que tengamos en el ordenador y al directorio de Windows. Esto quiere decir que cualquiera que pueda tener acceso a nuestro ordenador a través de la red (bien Local o a través de internet) podría acceder prácticamente a cualquier carpeta de nuestro ordenador y no sólo a las que hayamos compartido nosotros. Como comprenderéis esto es un despropósito y en la mayoría de los casos carece de sentido alguno.

Vamos a hacer una prueba de ello, con una pequeña aplicación para escanar IPs establecemos un rango de IPs publicas, es decir de las que se conectan a internet, tan sencillo como coger nuestra IP y hacer un escanner de las del mismo rango. De la 211.44.55.1 a la 211.44.55.255 por ejemplo.

Podemos ver que la aplicación ha hecho un barrido mostrando todas las IP de las maquinas encontradas con los recursos compartidos.

Ahora Para tener acceso a dicha maquina y con ello a su información es tan fácil como ir a INICIO ejecutar y poner ipdelamaquina\recursoCompartido y ya estamos dentro como si de nuestra propia maquina se tratara.

La desactivación de los recursos compartidos que habilita Windows se realiza a través de una clave de registro. Para ello nos vamos a Inicio, Ejecutar, escribimos regedit y le damos a Aceptar. En el panel izquierdo debemos navegar hasta encontrar la siguiente clave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters

Una vez que lleguemos ahí debemos crear un valor DWORD en Parameters con el nombre AutoShareWks y cuyo valor sea 0. Cerramos todo y ya debe funcionar, aunque es posible que no lo haga hasta que cerremos sesión y la volvamos a abrir.

Ahora nuestro ordenador estará un poco más seguro. Aunque hay que tener en cuenta que algunas aplicaciones de bases de datos o servidores de correo trabajan con estos recursos así que tenedlo en cuenta antes de hacerlo.

R.R.

Premio Virus Bulletin numero 50

Siempre se agradecen los premios recibidos y, en esta ocasión, no podemos mas que alegrarnos al recibir el premio VB100 número 50 que otorga el organismo independiente Virus Bulletin.

Este premio convierte a ESET NOD32 en el antivirus mas premiado en la historia de este organismo desde que se presentó por primera vez en febrero de 1998. Cabe destacar que tampoco ha fallado ni una sola evaluación desde Abril de 2002.

Desde el departamento técnico de Ontinet.com nos alegramos de este nuevo premio y apostamos por muchos mas en el futuro.

Josep Albors