• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Falsos telegramas online propagan malware

En nuestros laboratorios siempre intentamos estar al día acerca de los vectores de infección que utilizan los creadores de malware para propagar sus creaciones. Uno de los mas recientes que hemos observado utiliza un correo donde se nos informa de un falso telegrama, tal que así:

Este email intenta simular un correo legítimo usando direcciones y anagramas reales para intentar engañar al usuario. Si pulsamos sobre el enlace que se nos proporciona para abrir el telegrama accedemos a la siguiente web:

Observamos como esta web simula casi a la perfección la original, ofreciendo la descarga de un flash player falso.

Al hacer la descarga observamos como el enlace desde el cual se realiza no tiene nada que ver con Adobe, lo cual debería hacernos sospechar, si no lo hubiésemos empezado a hacer ya. Si disponemos de un antivirus actualizado, el archivo será detectado y evitaremos que se descargue en nuestro sistema. En el caso de ESET NOD32, la amenaza es detectada como Win32/TrojanDownloader.Dadobra.FX Troyano.

Una vez más, la prudencia y el sentido común demuestran ser nuestra mejor defensa contra los códigos maliciosos. No debemos confiar ciegamente en aquellos correos o enlaces que supuestamente vienen de fuentes confiables sin antes verificar que contienen lo que estamos buscando.

Josep Albors.

Google corrige vulnerabilidades en Chrome

Dos son las vulnerabilidades importantes que se corrigen en el navegador Chrome tras la actualización realizada por Google.

La primera de ellas permite a un atacante hacerse con el control de un sistema vulnerable e incluso ejecutar código. Esta vulnerabilidad tenia como objetivo el motor JavaScript del navegador, por lo que, cuando el usuario accediese a una web especialmente modificada se cargaba código no autorizado desde la misma.

En cuanto a la otra vulnerabilidad, esta permitía la ejecución de código en el entorno virtualizado del navegador (sandbox) a la par que bloqueaba la pestaña afectada cuando intentaba abrir un fichero XML especialmente preparado.

Se recomienda actualizar a la última versión del navegador puesto que esta ya corrige las vulnerabilidades.

Con la llegada de Chrome al disputado mercado de los navegadores muchos vieron una aplicación mas segura que las ya existentes. No obstante, debemos recordar que, como programa, también es susceptible de contener errores y viendo que los creadores de malware están orientando sus creaciones para atacar a los navegadores de Internet, es mas que recomendable mantener estas aplicaciones actualizadas.

Josep Albors

Evitando infecciones por Autorun

De un tiempo a esta parte, las infecciones que usan la función Autorun activada por defecto en Windows, suponen uno de los mayores vectores de infección. Microsoft es consciente de ello y en Windows 7 ya ha tomado medidas para que esta opción no se active automáticamente.

Hasta ahora, los usuarios que quisieran estar a salvo del malware que utilizaba este método podían editar el registro de Windows para que no ejecutase de forma automática archivos ubicados en dispositivos extraíbles. Desde el pasado 24 de Agosto, Microsoft pone a disposición de todo aquel que lo desee, una serie de parches para desactivar el autorun en memorias USB. Si bien, no es una solución definitiva (medios extraíbles que pueden usar la función Autorun hay muchos más además de las memorias USB), mitiga en gran parte la propagación de este tipo de amenazas.

A continuación mostramos los enlaces de descarga de estos parches según el sistema operativo usado:

• Windows XP
• Windows Vista
• Windows Vista 64 bits
• Windows Server 2003
• Windows Server 2003 64 bits
• Windows Server 2003 Itanium
• Windows Server 2008
• Windows Server 2008 64 bits
• Windows Server 2008 Itanium

Nuestro agradecimiento a Randy Abrams, Director de educación técnica de ESET por habernos proporcionado los enlaces.

Josep Albors

Lanzado ESET Mobile Antivirus en español

Ayer fue presentada la versión en español de ESET Mobile Antivirus para teléfonos y dispositivos móviles. Esta solución traslada el reconocido y premiado motor de ESET NOD32 Antivirus a estos dispositivos cada vez más comunes, manteniendo su alta eficacia en la detección del malware, su rapidez en el análisis y su bajo consumo de recursos. Asimismo, incorpora un filtro antispam capaz de bloquear mensajes SMS no deseados y configurar listas blancas y negras.

Las amenazas orientadas a dispositivos móviles son un peligro latente que afectarán, cada vez más a los usuarios de estos terminales. La evolución de la tecnología ha hecho que sea habitual usar de forma cotidiana este tipo de teléfonos y que estos se parezcan más a un ordenador portátil que a un simple teléfono, con todas las ventajas que esto supone. Pero también existen desventajas y es que, los creadores de malware, sabedores de que este es un mercado creciente han empezado a preparar amenazas que afecten a estos usuarios.

Para proteger a los usuarios de estos dispositivos se ha lanzado este producto que integra las funcionalidades antimalware necesarias pero adaptadas a este nuevo entorno.

Aquellos usuarios que deseen obtener más información acerca de este producto lo pueden hacer en la web preparada para tal efecto.

Josep Albors

Malware afecta a desarrollos en Delphi

Hace unos días, los laboratorios de ESET lanzaron una actualización que detectaba una nueva amenaza con la nomenclatura Win32/Induc.A. Esta actualización permite detectar un malware que tiene la particularidad de infectar únicamente proyectos desarrollados en Delphi (versiones 4 a 7).

Desde hace unos meses se venían detectando ciertas piezas de malware como troyanos, spyware o cualquier otro programa cuya finalidad era el robo de datos o identidad, pero únicamente se detectaba esa parte de la infección y no la que es detectada ahora. Este hecho nos hace pensar que esta infección es más una prueba de concepto que una infección real puesto que no hemos observado que realice acciones maliciosas aparte de infectar archivos desarrollados con Delphi.

Otras compañías antivirus han comenzado a detectar también esta amenaza por lo que el peligro real es la mala imagen que puedan dar las compañías desarrolladoras que usen este lenguaje de programación cuando sus usuarios comiencen a detectar amenazas en el software en el que confiaban. En este caso, no se trataría de un falso positivo puesto que realmente el software está infectado por un código que, aunque inocuo, no debería estar allí.

Aunque esta amenaza no suponga un riesgo actualmente para el usuario medio, no destacamos que en un futuro evolucione y comience a actuar de forma maliciosa por lo que, todos aquellos usuarios que cuenten con una solución antivirus capaz de detectar este malware pueden estar tranquilos.

Josep Albors

Apple aplica varios parches a sus sistemas

Que un sistema operativo reciba actualizaciones que corrigen varias vulnerabilidades es algo habitual. Microsoft, por ejemplo, lo hace periódicamente. No obstante, si hablamos del sistema operativo Mac OS X de Apple, la situación cambia. Esta compañía se caracteriza por aplicar grandes parches cada varios meses que solucionan múltiples vulnerabilidades de su sistema operativo, siendo la última de estas actualizaciones (conteniendo 19 parches) la realizada el pasado 5 de Agosto, o eso pensábamos…

Tan solo una semana después y debido a una nueva variante del Mac OS X DNS changer (también conocido como OSX_JAHLAV), Apple se ha visto obligada a sacar una actualización de carácter urgente para corregir esta vulnerabilidad.

Si bien es cierto que la gran mayoría del malware sigue teniendo como objetivo a Windows, la creciente comunidad de usuarios de otros sistemas operativos hace que, cada vez más, sean víctimas de estos ataques.

Cada sistema operativo tiene su calendario de aplicación como por ejemplo el segundo martes de cada mes en el caso de Windows, de forma casi constante en la mayoría de distribuciones GNU/Linux o cada ciertos meses en el caso de Mac OS X. Aparte de los sistemas operativos comentados, cada vez más, ciertas aplicaciones de uso extendido, empiezan a aplicar esta política de actualizaciones periódicas (caso de Adobe, por ejemplo).

Sin embargo, aunque las compañías desarrolladoras se esfuercen en solucionar sus agujeros de seguridad, de nada sirve si luego el usuario no aplica las actualizaciones correspondientes. Recordemos el caso del Conficker cuyas primeras variantes se aprovecharon de una vulnerabilidad descubierta y corregida semanas antes de que este malware empezase a extenderse de forma masiva.

Resumiendo, observamos como, cada vez más, los desarrolladores de software se toman muy en serio la solución de vulnerabilidades. Así pues, queda en manos de los usuarios aplicar debidamente estos parches tan pronto como se encuentren disponibles.

Josep Albors

Ataques a redes sociales

Durante el día de ayer, dos de las redes sociales mas usadas como son Twitter y Facebook vieron como eran víctimas de ataques de diversa índole.

Por una parte, Twitter tuvo que suspender su servicio durante unas horas al ser el objetivo de un ataque de denegación de servicio (DoS), tal y como se informaba desde el sitio web de la compañía donde se anuncia el estado del servicio:

Debido a la naturaleza del ataque, es mas que probable que el administrador de una botnet haya indicado a sus miles de equipos zombies que realizasen peticiones de acceso hasta que el servidor de Twitter se colapsó.

Casi al mismo tiempo, una nueva variante del gusano Koobface aparecía de nuevo usando nuevas técnicas de propagación. Si en el pasado vimos como, mediante falsos comentarios de usuarios, se redirigía a falsos videos de Youtube desde los que se descargaba el malware, en esta ocasión los enlaces aparecían en mensajes de Twitter tal y como podemos observar:

Todos esos enlaces apuntaban a una supuesta dirección de Facebook en la que se pretendía mostrar un video. No obstante, para la visualización de este video se solicitaba la instalación de una actualización de Adobe Flash Player. Si el usuario descarga y ejecuta este fichero, lo que realmente se habrá instalado es una falsa solución antivirus (rogue) que intentará convencer al usuario para que compre una falsa herramienta de desinfección, mientras muestra mensajes de alerta informando de infecciones inexistentes en su sistema.

La estrategia de infección usada esta vez es realmente elaborada y muestra que los creadores de malware evolucionan constantemente con tal de conseguir sus fines. Debido a que estos vectores de infección aun son relativamente nuevos, prevemos un aumento de los ataques usando las redes sociales como medio de propagación. Es por eso que los usuarios deben estar atentos para poder detectar a tiempo estas amenazas y no caer en la trampa.

Josep Albors

Detección de tcpip.sys como amenaza

Desde hace unos días, concretamente desde la actualización de la base de firmas de virus 4293 de día 31 de Julio de 2009, venimos recibiendo consultas de algunos usuarios acerca de la detección por parte de ESET NOD32 del fichero tcpip.sys como una amenaza de nombre Win32/Patched.XX. Este fichero no supondría ninguna amenaza en un sistema operativo Windows original, sin embargo, la variante detectada ha sido modificada e incluida en algunas distribuciones ilegales del sistema de Microsoft (Unattended Edition, Black Edition, Wolf, etc.).

En esta ocasión, la detección de este fichero por parte del antivirus es totalmente correcta, ya que el fichero original ha sido modificado para permitir mas conexiones de las recomendadas y expone al usuario a un riesgo importante. Al usar un sistema operativo modificado que no ha sido verificado por el fabricante para asegurar la máxima integración y compatibilidad entre todos los elementos que lo componen, se rompe un principio básico de la seguridad, ya que tampoco sabremos que otras “aplicaciones” habrán sido incluidas (rootkits, troyanos, keyloggers, etc.).

Este riesgo se aplica también a aquellos programas que los usuarios descargan de sitios ajenos al fabricante o corresponden a versiones crackeadas para poder usar el programa sin abonar su coste. Resulta especialmente curioso el caso de los falsos antivirus que prometen seguridad a aquellos usuarios que los usan cuando realmente están infectando su sistema, o los antivirus de marcas reconocidas que han sido modificados para ser usados sin abonar el coste de la licencia que no tienen todas las funciones de la versión original.

Ante estas amenazas lo mejor es descargar y usar los programas proporcionados directamente del fabricante para evitar sorpresas indeseables.

Josep Albors