• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (27)
  • adware (3)
  • Anuncios (15)
  • Botnets (13)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (39)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (7)
  • Ingenieria social (57)
  • Malware (161)
  • Phishing (32)
  • Piratería (4)
  • Productos (27)
  • redes sociales (28)
  • rogue (14)
  • Scam (2)
  • scareware (2)
  • seguridad (20)
  • Spam (69)
  • telefonía (3)
  • Tutoriales (18)
  • Vulnerabilidades (127)

• Archivos

  • Septiembre 2010 (7)
  • Agosto 2010 (24)
  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Aprovechando vulnerabilidades de Adobe

Desde el día de ayer se están recibiendo multitud de correos no deseados, los cuales adjuntan un archivo con extensión PDF aparentemente normal:

Al ejecutar el archivo adjunto, Adobe nos muestra el siguiente mensaje, donde se puede comprobar que va a ejecutarse un archivo llamado script.vbs, el cual provoca la infección que aprovecha una vulnerabilidad ya conocida de Adobe para colocar un script dentro de un PDF y ejecutarlo:

Si analizamos este script, vemos que se ejecutan los siguientes archivos:
game.exe, batscript.vbs y script.vbs.

En esta ejecución, el archivo game.exe se copia en C:\program files\microsoft common\svchost.exe y modifica el registro. De esta forma, asegura su ejecución cada vez que se inicia el proceso explorer.exe. Además de ello, el propio script borra las posibles huellas que halla podido dejar en el sistema para hacer más difícil su detección.

Para evitar infectarnos a través de esta vulnerabilidad, desde Ontinet.com, aconsejamos realizar los siguientes pasos, además de disponer de una protección antivirus actualizada:

Dentro de la aplicación Adobe, acceder al menú Edición – Preferencias… – Administrador de confianza y, una vez allí, desmarcar la opción “Permitir la ejecución de archivos adjuntos no PDF con aplicaciones externas”, tal y como se observa en la imagen:

Además de ello, en el campo Javascript de esta misma ventana, hay que desactivar la opción “Activar Javascript para Adobe”.

David Sánchez

Google Talk también se usa para propagar malware

Cuando hablamos del envío de malware a través de mensajería instantánea, automáticamente nos viene a la cabeza la ventana del Windows Live Messenger y alguno de nuestros contactos invitándonos a pulsar un enlace sospechoso. No obstante, a pesar de que sea el servicio de mensajería instantánea más usado, Windows Live Messenger no es el único utilizado por los creadores de malware para propagar sus creaciones.

Veamos a continuación como recibimos un mensaje sospechoso de uno de nuestros contactos usando el servicio de mensajería Google Talk:

El mensaje en inglés y el enlace a un sitio desconocido ya nos debería hacer sospechar de la finalidad maliciosa de ese enlace. A modo de prueba, decidimos pulsar sobre el enlace, abriéndose la ventana del navegador Internet Explorer. Cuando el navegador intenta acceder al sitio web, el antivirus nos avisa de que se está intentando acceder a un sitio inseguro y bloquea el acceso.

Con la finalidad de investigar un poco más acerca de este malware, decidimos acceder a este enlace usando una distribución GNU/Linux Ubuntu 9.10, con el navegador Firefox y el antivirus desactivado. Accedemos a una web donde se nos invita a descargar una barra de herramientas con supuestas funciones de personalización de nuestro perfil de la red social MySpace.

Al pulsar sobre el botón de descarga, aparece una nueva web que nos indica los pasos a seguir para descargar el fichero ejecutable. Estas instrucciones son comunes para los navegadores Internet Explorer y Firefox (sobre cualquier plataforma).

Decidimos probar con otro navegador para ver si se repiten los mismos pasos y usamos Konkeror. Observamos como la web detecta que no usamos Internet Explorer (curioso, ya que en el paso anterior usamos Firefox y no nos mostró esta alerta) y nos invita a descargar directamente el instalador de esta barra de herramientas para que lo ejecutemos en nuestro sistema.

En esta ocasión, decidimos activar el antivirus ESET NOD32 para GNU/Linux en fase beta que tenemos instalado en el sistema, y vemos como detecta la descarga de una aplicación potencialmente peligrosa identificada como Win32/Toolbar.MyWebSearch.K.

Esta barra de herramientas es conocida por ser uno de los Adware (publicidad no deseada) y, en alguna de sus variantes, Spyware (software espía) mas propagadas actualmente, por lo que desaconsejamos su instalación.

Sirva este ejemplo para demostrar que Windows Live Messenger no es el único sistema de mensajería instantánea usado para propagar malware ya que, tal y como ocurre con los sistemas operativos, si la mayoría de ataques de este tipo van dirigidos hacia él es por la gran cantidad de usuarios que lo usan.

Josep Albors.

ESET España también en Twitter

Les informamos que, a partir de hoy, pueden seguirnos también en Twitter, donde haremos referencia a noticias, novedades, entradas al blog y demás información destacable acerca de ESET España.

Como pueden observar, hemos añadido un complemento en la columna derecha que les mostará en tiempo real las actualizaciones de nuestro Twitter. Además, accediendo al enlace que les mostramos, podrá seguirnos a través de este servicio:

http://twitter.com/ESET_ES

Departamento técnico de Ontinet.com

Malware orientado a Mac OS

A pesar de que Microsoft sigue dominando con autoridad el mercado de los sistemas operativos con las diferentes versiones de Windows que actualmente están instaladas en millones de ordenadores alrededor del mundo, no debemos olvidarnos de las alternativas. Sistemas como GNU/Linux en sus diferentes distribuciones o el Mac OS de Apple son los máximos exponentes de aquellos sistemas que hacen frente al gigante que representa Windows. Sabedores de que Microsoft domina el mercado y de que la cantidad de usuarios es mucho más grande que en otros sistemas, los creadores de malware dirigen casi todos sus ataques a los usuarios de Windows. No obstante, tal y como hemos visto en otras ocasiones, ningún sistema operativo está libre de vulnerabilidades que pueden ser aprovechadas (o de usuarios inconscientes).

Nuestro compañero Jorge Mieres de ESET Latinoamérica, experto analista de seguridad, consiguió analizar una muestra de un troyano que afecta a sistemas Mac OS programado con RealBasic y que ESET detecta como OSX/HellRTS (también conocido como Pinhead, en homenaje al personaje creado por Clive Barker y llevado al cine en la saga Hellraiser).

Este troyano tiene una estructura cliente/servidor similar a otros ejemplares habituales en plataformas Windows como, por ejemplo, Bitfrost o Poison Ivy, y se compone de cuatro partes:

• Servidor: el troyano en sí mismo que infecta el sistema

• Cliente: aplicación usada para controlar y gestionar el ordenador infectado

• Configurador: utilizado para cambiar los parámetros del servidor

• SMTP Grabber: motor SMTP para poder enviar correos electrónicos con información obtenida desde el cliente

Este tipo de troyanos permiten al atacante controlar totalmente la máquina infectada, pudiendo robar cualquier tipo de información que el usuario tuviese almacenada en su sistema o introdujese estando infectado. A efectos prácticos, el atacante tiene acceso total a la máquina infectada.

Como hemos comentado, este tipo de troyanos es muy frecuente en sistemas Windows, existiendo unas cuantas familias bastante conocidas de este tipo de software también conocido como RAT (Remote Administration Tool). Aunque las herramientas de control remoto no son maliciosas por sí mismas, muchos troyanos las incorporan por las posibilidades de control que ofrecen. Asimismo, existen varios niveles de complejidad a la hora de crear un troyano de este tipo, existiendo variantes con sistemas anti-análisis para evitar ser detectadas.

En resumen. Por mucho que varios expertos en marketing nos quieran vender sus sistemas como impenetrables, no hay que olvidar que estamos hablando de software escrito por personas y, como tal, tendrá errores y vulnerabilidades (más o menos difíciles de encontrar). Por eso, nunca está de más añadir una capa de protección adicional en forma de antivirus a nuestro sistema. Con esa finalidad, ESET ha puesto a disposición de sus usuarios versiones beta de sus productos orientados a sistemas GNU/Linux y Mac OS, aunque, como medida de precaución, recomendamos no instalarlos en sistemas críticos en producción.

Josep Albors

Plugin de Firefox para detectar el Pharming

El Pharming es una técnica muy común actualmente para secuestrar datos de acceso de redes sociales, banca, juegos online y otra serie de páginas que necesitan de un registro previo. Esta técnica consiste en aprovechar una vulnerabilidad de los servidores DNS, la cual permite al atacante redirigir un dominio específico a una máquina distinta. De esta forma un usuario infectado creería que accede correctamente a la página web deseada cuando realmente está accediendo al servidor del atacante.

A continuación un gráfico explicativo:

Desde el departamento técnico de Ontinet.com aconsejamos actuar con cautela a la hora de visitar sitios web críticos, comprobando que se requiera el protocolo seguro HTTPS en los que normalmente necesiten de este protocolo. Por otra parte puede utilizar herramientas de análisis web como Test Pharming, es un plugin del navegador Firefox, el cual detecta si la página a la que accedemos es legítima o no. De esta forma este complemento nos ayuda a la hora de protegernos ante este tipo de amenazas.

En el siguiente video, creado por Juan David Urrea propietario del blog de seguridad http://juanito0437.blogspot.com/, se puede ver el proceso completo de como puede afectar este malware a los usuarios, y el funcionamiento de dicho plugin.

David Sánchez

¿Amazon vendiendo viagra?

No, no es la nueva línea de negocio de la mayor tiendo online del mundo. Se trata de un nuevo caso de spam enviado a millones de direcciones de correo de todo el mundo usando la imagen de Amazon. Si observamos el correo recibido, vemos que sigue el diseño usado por los emails enviados desde Amazon.com pero cambiando el contenido habitual por algo más sugerente:

Resulta curioso observar cómo, en la parte inferior del correo se siguen incluyendo los productos habituales de esta tienda (libros, música, películas y complementos principalmente) pero si pulsamos en cualquiera de esos enlaces se nos enviará a alguno de los múltiples dominios registrados para albergar webs de farmacias online como la que mostramos a continuación:

Como vemos, este tipo de engaños tratan de usar la buena imagen de empresas con una reputación exquisita entre sus clientes para sus propios fines. En este caso utilizan la imagen de Amazon.com para promocionar farmacias online (del mismo modo que hicieron la semana pasada usando correos supuestamente remitidos desde el servicio de soporte de Twitter) pero cualquier empresa puede verse afectada.

Recomendamos a los usuarios de este tipo de comercios online, desconfiar de este tipo de correos cuando los productos ofrecidos no correspondan con los que ofrece habitualmente la tienda. Asimismo, recordamos que los productos adquiridos en estas farmacias online no han pasado ningún control de calidad y pueden resultar dañinos para su salud.

Josep Albors

Amenazas en Twitter

Las redes sociales y los servicios de lo que ya se conoce comúnmente como web 2.0 ofrecen un amplio abanico de posibilidades para intercambiar información. Servicios como Facebook, Tuenti o Twitter, forman parte ya de la vida cotidiana de millones de usuarios. Es lógico, por tanto, que sean uno de los objetivos de los ciberdelincuentes. En esta ocasión, repasaremos una serie de ataques que afectan al servicio de micro-blogging Twitter.

En los últimos días venimos observando cómo se están enviando una serie de correos electrónicos con el siguiente mensaje:

Aparentemente, el remitente del mensaje es el servicio de soporte de Twitter pero, si pulsamos sobre el enlace proporcionado, se nos redirecciona a una de las múltiples farmacias online existentes. Si observamos atentamente, vemos como el enlace al que nos lleva no tiene nada que ver con el original y, al mismo tiempo que nos redirige a una farmacia online, también puede usarse para descargar malware para que nuestro sistema forme parte de una botnet, instalar un falso antivirus o cualquier otro fin malicioso.

Otro método usado con bastante frecuencia consiste en falsos usuarios que nos agregan para seguir nuestros mensajes, sabiendo que, muchas veces, los usuarios les agregarán a ellos también  pura cortesía. No obstante, estos falsos usuarios se dedican a lanzar spam promocionando algún artículo en concreto o enviando enlaces maliciosos para que pulsemos sobre ellos y nuestro sistema se vea infectado. En este punto hay que prestar bastante importancia a los enlaces cortos ya que no sabremos a ciencia cierta a donde nos envían (aunque haya métodos para averiguarlo sin exponernos). A continuación vemos una notificación enviada por Twitter (esta vez auténtica) donde se nos indica que alguien ha decidido seguirnos:

Afortunadamente, Twitter tiene un buen sistema de protección contra spam y usuarios malintencionados, eliminando bastantes de ellos de forma automática. En caso de que no sea así, siempre podemos informar acerca de un usuario sospechoso y pedir que se retire la cuenta.

Es importante saber diferenciar entre contactos auténticos y falsos puesto que, en caso de admitir a este tipo de usuarios nos vemos expuestos a una avalancha de enlaces con contenidos no deseados y maliciosos, pudiendo infectar nuestro sistema y nuestra cuenta de Twitter usarse para propagar malware a nuestros conocidos.

Para evitar este tipo de incidencias lo mejor es seguir una serie de buenas prácticas aplicables a todas las redes sociales como no aceptar a desconocidos que no tengan una reputación contrastada o verificar SIEMPRE los enlaces a los que queramos acceder. Adicionalmente, un buen antivirus nos puede ayudar a detener las amenazas que intenten descargarse a nuestro sistema si, por equivocación, pulsamos un enlace malicioso.

Josep Albors

10 indicaciones de que su equipo puede ser parte de una botnet

Hay varios indicios que indican la posibilidad de que su ordenador sea parte de una botnet y que suelen estar relacionados con otros problemas. Cualquier malware puede causar más o menos los mismos síntomas que un bot. Algunas veces los conflictos entre programas o archivos corruptos muestran los mismos signos, pero aun así, siempre hay algunos síntomas que no deberían ser ignorados. A continuación les mostramos algunos de éstos sin seguir ningún orden en particular:

1.- El ventilador de su ordenador se satura cuando su sistema se encuentra en reposo

Esto puede indicar que un programa se está ejecutando sin su conocimiento y usando una considerable cantidad de recursos. Por supuesto, esto también podría ser causado por la instalación de unas cuantas actualizaciones de Microsoft. Otro problema que puede causar que el ventilador se sature de esta forma es provocado por una excesiva suciedad en el equipo o un fallo del ventilador de la CPU.

2.- Su ordenador tarda mucho tiempo en apagarse, o no lo hace adecuadamente

Muy a menudo, un software malicioso tiene fallos que pueden provocar una variedad de síntomas, incluyendo que el ordenador tarde mucho tiempo en apagarse o no lo haga correctamente. Desafortunadamente, los fallos del sistema operativo y los conflictos con programas legítimos pueden causar el mismo problema.

3.- Observa una lista de posts publicados en su muro de Facebook que no ha enviado (vea el ejemplo)

Hay pocas razones, aparte de estar infectado por un software malicioso o tener su cuenta hackeada, que puedan causar este problema. Si le ocurre esto, recomendamos encarecidamente cambiar su contraseña y asegurarse de que su ordenador no esté infectado. Es mejor asegurarse de que su sistema no esté infectado antes de cambiar su contraseña. Tampoco recomendamos usar su contraseña de Facebook en otros sitios.

4.- Los programas se ejecutan muy despacio

Esto puede ser un síntoma de que programas ocultos están utilizando una gran cantidad de los recursos de su ordenador. También puede ser un síntoma de otros problemas. En sistemas Windows, si hay 10.000 archivos o más en un mismo directorio, es muy probable que su sistema se resienta.

5.- No puede descargar actualizaciones del sistema operativo

Esto es un síntoma que no puede ignorar. Incluso si no es un bot u otro malware, si usted no mantiene su sistema actualizado, su ordenador probablemente se verá infectado.

6.- No puede descargar actualizaciones de un producto antivirus o visitar las páginas web de los vendedores

Los códigos maliciosos suele evitar la instalación o ejecución de programas antivirus. Una deshabilitación de actualizaciones de su antivirus o de acceso a páginas web de los fabricantes de estos productos es un indicador importante de la presencia de malware.

7.- El acceso a Internet se ralentiza

Si un bot está usando su ordenador para enviar spams de forma masiva, participa en un ataque contra otros ordenadores o sube y descarga una gran cantidad de datos, esto puede hacer que su acceso a Internet sea muy lento.

8- Sus amigos y familiares han recibido un mensaje de correo desde su dirección que usted no ha enviado

Esto puede ser un signo de un bot, otro software malicioso o que su cuenta de correo ha sido hackeada.

9.- Recibe pop-up de Windows y advertencias incluso cuando no usa el navegador

Aunque este es un síntoma clásico de adware, los bots pueden instalar adware en su equipo. Definitivamente, necesita que se solucione este problema.

10.- El administrador de tareas de Windows muestra programas con nombres o descripciones complejos (la línea remarcada es un ejemplo sacada de un sistema infectado con Koobface donde el nombre del usuario fue omitido para preservar su privacidad)

Utilizar el administrador de tareas requiere algunas habilidades y conocimientos. Algunas veces, programas legítimos utilizan también nombres complejos. Una entrada en el administrador de tareas, generalmente, no es un identificador suficiente para calificar un programa como malicioso. Esto puede ayudar a encontrar programas dañinos, pero tienen que seguirse muchos otros pasos para verificar los archivos sospechosos encontrados. Eliminar procesos y archivos o entradas del registro porque usted “piensa” que provienen de un bot o de otro malware, puede causar la incapacidad de arrancar de nuevo su ordenador. Tenga mucho cuidado con las suposiciones antes de actuar.

Traducción del artículo realizado por el equipo de investigación de ESET

Resumen de vulnerabilidades en navegadores

Los navegadores de Internet son una de las herramientas más usadas en un sistema operativo. Actualmente ya suponen el mayor vector de ataque a la hora de propagar malware y unas de las aplicaciones que más ataques sufren para encontrar vulnerabilidades que posteriormente puedan ser aprovechadas.

En las últimas semanas ha habido bastante movimiento en el campo de la seguridad en navegadores, sobre todo después de la celebración de los eventos Pwn2Own y Black Hat Europe, donde se mostraron agujeros de seguridad en la mayoría de los navegadores más comunes.

Por parte de Internet Explorer, Microsoft ya ha publicado dos actualizaciones para su navegador (y prevé publicar una más en Junio) para solucionar un problema con el filtro XSS incorporado de serie. Según los investigadores que encontraron la vulnerabilidad, este filtro podría ser aprovechado para ejecutar ataques del tipo cross-site scripting en páginas web que, de otra forma serían inmunes a este tipo de ataques.

Mozilla también ha tomado medidas recientes que conciernen a la seguridad de su navegador Firefox. Viendo la posibilidad de que se lanzasen multitud de ataques aprovechando la vulnerabilidad descubierta recientemente en Java, ha decidido bloquear ese complemento para evitar que se ejecutasen exploits en versiones no actualizadas del mismo instaladas en Firefox.

Por su parte, Google Chrome, el único navegador que sobrevivió a los ataques lanzados en el evento Pwn2Own, también se ve afectado por ataques camuflados como falsas extensiones. Durante los últimos días hemos observado cómo se han enviado spam de forma masiva ofreciendo complementos para el navegador de Google. Si el usuario descargaba y ejecutaba esta falsa extensión, se instalaba un troyano en su sistema que modificaba el archivo Hosts, de manera que, si el usuario intentaba acceder a una web de búsqueda como Google o Yahoo, era redirigido a sitios especialmente modificados para engañar al usuario y robar información o hacer que se instalase mas malware en forma de falso antivirus.

Con este panorama, no es de extrañar que las empresas que hay detrás del desarrollo de los navegadores más usados, dediquen cada vez más recursos a hacerlos más seguros. Conforme se suceden las versiones de estas aplicaciones, vemos como se incorporan nuevas características para ofrecer una navegación segura. No obstante, esta es una carrera constante entre las empresas y los investigadores que buscan vulnerabilidades por lo que nunca está de más mantenerse informado sobre las vulnerabilidades que puedan afectar a nuestro navegador para tratar de mitigarlas.

Josep Albors

No es virus todo lo que reluce

Llevamos varios años ofreciendo soporte a todos nuestros clientes. Durante todo este tiempo hemos notado un aumento bastante importante en la concienciación de los usuarios por mantener sus equipos seguros. Esto también ha provocado una gran cantidad de consultas pidiéndonos consejos acerca de cómo mejorar la seguridad de sus sistemas.

Dentro de esas llamadas y correos también nos hemos encontrado con casos curiosos. Uno de los más destacables es el ocurrido hace unos días. En él nos informaban acerca de un nuevo caso de Phishing. Esta supuesta infección afectaba a los clientes del banco online Barclays.

El caso es, que tras realizar varias operaciones para analizar el sistema en busca de los procesos, registros y servicios que pudieran provocar dicha infección, el sistema no daba signos de tener infección alguna, por lo que le pedimos al cliente una captura de pantalla donde se mostrara el problema, recibiendo lo mostrado a continuación:

El problema no era provocado por una infección y simplemente se debía a una mala introducción de la dirección del banco en el navegador.

Esto es solo un ejemplo de algunas consultas que recibimos diariamente. Desde el departamento técnico de Ontinet.com aconsejamos ser cautos a la hora de atribuir a una infección cualquier efecto extraño que se produzca en nuestros sistemas.

David Sánchez

Artículos Anteriores »