• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

MSN MESSENGER: Otro foco de infección

Una vez más, vamos a mostrar un nuevo malware que se aprovecha de la ingeniería social, para así intentar infectar al usuario. Este caso que nos ocupa afecta a la aplicación de mensajería instantánea “MSN Messenger”.

El funcionamiento de este malware, una vez el usuario se infecta, es el siguiente:

La máquina infectada envía mensajes personalizados, como el que mostramos en la imagen, a todos los contactos que tenemos agregados en MSN Messenger. Se trata de un enlace a una página web programada en PHP que muestra la dirección de correo del usuario al que se envía el falso mensaje de Messenger.

El usuario, confiado al ver su propia dirección de correo en el mensaje, decide pulsar sobre el hipervínculo. Al pulsar sobre el enlace desde un equipo bien protegido ocurre lo siguiente:

El Antivirus actualizado detecta un Troyano que, en este caso, tiene por nombre “IRC/SdBot Troyano”.
Otros usuarios sin antivirus no correrían la misma suerte y quedarían infectados a los pocos segundos, descargando el troyano en cuestión, “fxsteller.exe”.

La máquina infectada tratará de continuar la cadena, es decir, continuar distribuyendo la infección mediante la aplicación de mensajería instantánea.

Para ello dicha infección utiliza el Troyano descargado “fxsteller.exe”, que al mismo tiempo descarga otro tipo de malware. En nuestro caso se trataba del archivo “hidden.exe”, aunque existen diferentes versiones.

IXP000.TMP\ff.exe
IXP000.TMP\newz.exe
IXP000.TMP\testx.exe
IXP000.TMP\hidden2.exe
IXP000.TMP\NEWSPR~1.EXE
IXP000.TMP\hidor.exe
IXP000.TMP\hidden.exe

Éste se guarda en nuestra máquina dentro de los archivos temporales de Windows generando una carpeta nueva llamada “IXP00x.TMP”.

Todas estas versiones se dedican al envío masivo de mensajes mediante MSN Messenger, como hemos comprobado en la primera captura de pantalla, y, para eliminarlas, tendremos que “matar” el proceso que apunta hacia éstas.

Si tenemos instalado un cortafuegos, al tratar el proceso “fxsteller.exe” descargar el troyano “hidden.exe”, pasará lo siguiente:

El cortafuegos instalado en el sistema puede convertirse en una herramienta de seguridad muy eficaz, detectando en este caso el tráfico de red por parte de “fxsteller.exe”.

En el caso de no disponer de un cortafuegos, el proceso “fxsteller.exe” colapsará el tráfico de red, debido a que este mismo proceso no parará de hacer peticiones para descargar la aplicación “hidden.exe” o cualquiera de sus variantes.

Mientras, por su parte,”hidden.exe” una vez descargado, enviará mensajes a todos nuestros contactos continuando la cadena y colapsando los procesos activos de nuestro equipo.

Para eliminar la infección simplemente tenemos que seguir los siguientes pasos:

1.- Acceder a la configuración del sistema (Inicio – Ejecutar – msconfig – Aceptar), desactivar del inicio las siguientes entradas y reiniciar el sistema:

2.- Eliminar los archivos temporales, entre ellos “IXP000.TMP\hidden.exe”.

3.- Eliminar “fxsteller.exe” que se encuentra en C:\Windows\fxsteller.exe.

4.- Por último aconsejamos una limpieza del registro y archivos temporales con alguna herramienta. Existen múltiples herramientas para ello totalmente gratuitas, como Ccleaner, RegSeeker, etc.

Recomendaciones:
Desde el departamento técnico de Ontinet.com recomendamos preguntar siempre a nuestros contactos de Messenger sobre la autenticidad de los enlaces o archivos enviados, disponer de un buen antivirus actualizado y, a ser posible, un cortafuegos.

Javier Parra.

Nueva variante de Conficker prepara infección masiva

Casi todos los medios de comunicación hablan de él como de la nueva amenaza para los usuarios de Windows. Las últimas variantes del gusano Conficker tienen preparada una sorpresa para el próximo 1 de Abril (día de los inocentes en los países anglosajones). Supuestamente, ese día se publicará la lista de dominios (se calcula que más de 50.000) a los que el gusano intentará conectarse para poder infectar mas usuarios y descargar nuevas variantes.

Pero, ¿Qué hay de verdad tras este panorama desalentador?. Ciertamente, Conficker ha sido un código malicioso mediático desde sus comienzos a finales de Octubre del pasado 2008, aumentando su popularidad al anunciar una fecha en concreto para lanzar un ataque masivo (a la antigua usanza, tal y como hacían los virus clásicos). No obstante, para que Conficker pueda actuar se han de cumplir una serie de factores que ya tratamos anteriormente en este blog.

El primero de ellos es que nuestro sistema operativo se encuentre desactualizado desde, al menos, Octubre del 2008. Microsoft lanzó el parche que solucionaba la vulnerabilidad aprovechada por este gusano para infectar sus sistemas Windows por lo que, solo los sistemas desactualizados se verían afectados. A día de hoy, usar un sistema desactualizado durante mas de 6 meses es prácticamente un suicidio informático y muy probablemente se vea afectado no solo por el Conficker si no por muchísimos otros códigos maliciosos. Así pues, la primera máxima para evitar este tipo de infecciones es (y no nos cansaremos de repetirlo) aplicar los parches de seguridad tanto del sistema operativo como de las aplicaciones que tengamos instaladas. Aplicaciones gratuitas como las que proporciona Secunia nos pueden ayudar a descubrir vulnerabilidades en nuestro sistema y aplicaciones.

Otro factor importante para evitar ser infectado es disponer de un antivirus capaz de detectar proactivamente el malware y sus variantes. A pesar de que las últimas versiones de Conficker están preparadas para desactivar diversos sistemas de seguridad, si el gusano es detectado antes de entrar al sistema no podrá realizar sus funciones. Es mucho más eficaz impedir que un código malicioso entre en nuestro sistema que limpiar un sistema ya infectado. No obstante, para aquellos usuarios que ya se encuentren infectados también hay solución con alguna de las múltiples herramientas que los diversos fabricantes de antivirus han ido sacando.

Por último, comentar que si algo bueno podemos sacar de esta amenaza es que tanto los usuarios como los administradores de red afectados por esta infección deberían haber aprendido nociones básicas de seguridad que esperamos se mantengan para evitar futuras amenazas.

Josep Albors

Gestionando direcciones web desde EAV y ESS 4.0

Una de las características mejoradas en esta nueva versión de los productos ESET es la posibilidad de gestionar de forma total el acceso a las direcciones web. De esta forma, se puede controlar en un entorno corporativo que únicamente se acceda a aquellas webs esenciales para realizar nuestro trabajo, a la vez que podemos evitar que los menores que se conectan a Internet puedan acceder a contenidos inadecuados.

Esta característica puede localizarse en la configuración avanzada de ESET NOD32 o ESET Smart Security (pulsando la tecla F5 cuando nos encontremos en la interfaz del programa) y una vez allí, accediendo al apartado Antivirus y antiespía > Protección del tráfico de Internet > HTTP, HTTPS > Gestión de direcciones.

Desde ese apartado podemos configurar el programa para que solo se permita el acceso a determinadas páginas web. La introducción de estas direcciones puede hacerse manualmente una a una como se muestra a continuación.

Para facilitar la introducción de la lista de webs permitidas esta puede importarse desde un fichero de texto simple usando la opción pertinente.

En el fichero de texto deberán estar introducidas las webs a las que queremos permitir el acceso.

Una vez configurado este filtrado web, cada vez que intentemos acceder a una web que no se encuentre incluida en nuestra lista blanca se nos mostrará una pantalla en blanco. Por otra parte, podremos acceder a todas las webs permitidas, donde se nos mostrará un aviso donde se explica que se trata de una dirección excluida del filtrado.

Es importante recordar que se pueden utilizar comodines para especificar las direcciones permitidas o bloqueadas (“*.es” nos permitiría/bloquearía el acceso a todos los dominios .es).

Las instrucciones que hemos presentado sirven para permitir el acceso únicamente a aquellas webs que nosotros decidamos pero también se puede configurar el programa para que acceda a todas las direcciones webs excepto a aquellas que definamos.

Con esta nueva versión, el usuario tiene las herramientas necesarias para realizar un filtro eficaz de las páginas web dependiendo de sus necesidades.

Josep Albors

Spam masivo con múltiples infecciones

No es extraño recibir spam continuamente con ficheros adjuntos infectados o enlaces a web desde las cuales se intentan descargar códigos maliciosos. No obstante, en los últimos días venimos recibiendo una serie de muestras con asuntos de lo mas diverso y varios tipos de malware en su interior, al contrario que normalmente, donde se intenta propagar una o varias variantes de una misma amenaza.

Así pues, encontramos asuntos clásicos ya usados con anterioridad:

Otros menos comunes pero que también pueden engañar a usuarios desprevenidos:

Y otros que no tienen ni pies ni cabeza:

En esencia, todos estos correos persiguen lo mismo. Hacer que la curiosidad del usuario le tiente a abrir los ficheros adjuntos e infectar su sistema. Por suerte, estas amenazas suelen ser reconocidas por un antivirus actualizado:

Como hemos observado en los correos anteriores, aun existen creadores de malware que no usan estrategias tan sofisticadas como las que hemos visto en los últimos meses. Aun así, la mayoría de correos enviados provenían de cuantas reales de correo de varios dominios a la vez, en vez de múltiples cuentas creadas únicamente para el envío de spam desde un único proveedor de servicios de email (Hotmail, Gmail, Yahoo, etc).

Una explicación para que se sigan usando estos métodos podría ser que, a pesar de no resultar tan efectivas como otros vectores de infección, el número de usuarios infectados que se consigue, unido al poco esfuerzo que supone preparar y enviar masivamente este tipo de spam, aun justifica usar estas estrategias.

Como siempre, las recomendaciones que damos para este tipo de correos son desconfiar de los correos no solicitados (aunque provengan de fuentes confiables), no pulsar en enlaces web sospechosos que podamos encontrar dentro de esos correos y evitar abrir adjuntos sin antes haberlos analizado a conciencia con un antivirus actualizado.

Josep Albors

Ontinet.com/ESET en el Evento IDC 2009

Durante los pasados días 24 y 26 de Febrero Ontinet.com y representantes de ESET acudimos al evento de seguridad ’09 organizado por IDC. Fue una oportunidad para exponer nuestra visión sobre el malware que en el futuro cercano afectará a los usuarios y presentar las soluciones de ESET para eliminarlo.

Desde Ontinet.com acudimos las representantes de marketing Inmaculada Pastor y Rosana Pascual, nuestro director de educación Fernando de la Cuadra y un servidor como responsable del departamento técnico.

También contamos con la inestimable ayuda de Miriam Mondekova como responsable de canal de ESET para la región sur de Europa y con Miroslav Majtaz como especialista técnico de marketing y que ya nos ayudo con la realización de los Roadshow el pasado Noviembre

En estos eventos coincidimos con otros proveedores de seguridad para compartir conocimientos, experiencia y, sobretodo, trasladar nuestros conocimientos y previsiones para este año a los asistentes.

Esperamos que las charlas realizadas fueran interesantes para los asistentes. Desde Ontinet.com seguiremos buscando nuevas formas de comunicación con nuestros distribuidores y clientes.

Josep Albors

ESET Lanza nuevas versiones de sus productos

En el día de hoy, ESET ha lanzado las nuevas versiones 4.0 de sus productos mas aclamados ESET NOD32 Antivirus y ESET Smart Security. Entre los beneficios de estas nuevas versiones destacamos los siguientes:

• Mayor protección ante amenazas desconocidas
• Diseñado para ser rápido
• Bajo impacto en los recursos del sistema
• Sencillo para el usuario

Asimismo, se incluyen una serie de nuevas características que mejoran las ya existentes en las anteriores versiones:

• Sistema de autodefensa para evitar ser desactivado por códigos maliciosos

• Posibilidad de crear un CD de autoarranque con la opción SysRescue

• Control de acceso a medios extraibles tales como memorias USB, CDS, DVDS, etc

• Posibilidad de controlar comunicaciones cifradas

• Se añade la integración con el cliente de correo Thunderbird

• Posibilidad de usar una interfaz de usuario no gráfica para aquellos usuarios con discapacidades visuales
• Optimización inteligente del análisis

• Integración de la herramienta de diagnosis ESET SysInspector

• Soporte para Network Admission Control (NAC) de Cisco

Aquellos usuarios con licencia vigente ya pueden descargar sin ningún cargo adicional estas nuevas versiones desde nuestra web de descarga. Asimismo, aquellos usuarios que deseen evaluarlas pueden hacerlo desde el siguiente enlace:

http://demos.eset.es/

Esperamos que la confianza depositada en anteriores versiones se mantenga también en las que se acaban de lanzar.

Josep Albors