Tal y como informan en la web poker.gamingsupermarket.com, han sido detenidos 33 hackers coreanos que ha utilizado una red botnet formada por 11.000 ordenadores, repartidos por toda Corea del sur, para acceder a 700 salas de poker. El software utilizado para infectar a las máquinas fue comprado a un hacker chino.

El funcionamiento era el siguiente, una vez el equipo se infectaba, cuando el usuario accedía a alguna de estas salas de poker para poder jugar online, los controladores de la red botnet podían ver las cartas del usuario y así poder ganarle fácilmente.

Este método podría ser también utilizado en casinos anunciados a través del correo no deseado, donde ofrecen como gancho una considerable cifra de dinero para poderlo utilizar en las diferentes salas de juego.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a los usuarios que accedan a salas de poker online que lo realicen en servidores de juego legítimos y desconfiar de cualquier anuncio referente a casinos o a salas de poker recibido por correo electrónico.

David Sánchez

Al parecer, esta persona, llamada Barry Ardolf, había tenido varias disputas con distintos vecinos y utilizó sus conocimientos para hackear sus redes inalámbricas. Una vez conectado a las redes WiFi de los vecinos, además de enviar correos electrónicos amenazando al vicepresidente de EEUU y a otros altos cargos, robó también información personal y envío correos con cuentas falsas, creadas a nombre de los vecinos, a compañeros de trabajo y a otros contactos con material pornográfico. Además, esta persona también era propietaria de una página de MySpace que contenía pornografía infantil.

Investigadores Federales le siguieron la pista a los correos enviados mediante dispositivos de rastreo, dando con esta persona, a la cual incautaron varios equipos, unidades de disco duro y routers que tenía en su domicilio.

Hace un tiempo escribimos en el blog la siguiente entrada donde indicábamos los métodos más adecuados para configurar y mantener nuestra red WiFi doméstica. Desde el departamento técnico de Ontinet.com, destacamos de lo indicado en esa entrada que el tipo de cifrado sea WPA2, cambiando la contraseña de forma periódica y, para mayor seguridad, ocultar el SSID, además de cambiar continuamente también la contraseña de administración de nuestro router. Con ello, podremos evitar en gran medida que nos ocurran estas situaciones indeseables.

Como curiosidad, simplemente indicar que si realizamos una búsqueda en Google con el texto “robar WiFi vecino” aparecen casi 300 mil resultados, y algunos de estos enlaces con manuales y tutoriales con los pasos específicos para conectarse a las redes más vulnerables.

David Sánchez

Según informan en el blog de Google, este servicio de acceso a las búsquedas por https incluye un logotipo modificado para ayudar a distinguirlo de la búsqueda normal. También se añade la etiqueta “BETA” por algunas causas, como por ejemplo, que solo está disponible actualmente para el dominio google.com y no para el resto de dominios de otros países, como pueden ser, google.es o google.fr. Tampoco está disponible para las búsquedas de imágenes, vídeos o de mapas.

Por ello, desde el departamento técnico de Ontinet.com, hemos creído conveniente informar a nuestros lectores de esta nueva funcionalidad añadida por Google para realizar las búsquedas de forma segura.

Pueden comenzar a utilizarlo haciendo clic aquí.

David Sánchez

1.- El ventilador de su ordenador se satura cuando su sistema se encuentra en reposo

Esto puede indicar que un programa se está ejecutando sin su conocimiento y usando una considerable cantidad de recursos. Por supuesto, esto también podría ser causado por la instalación de unas cuantas actualizaciones de Microsoft. Otro problema que puede causar que el ventilador se sature de esta forma es provocado por una excesiva suciedad en el equipo o un fallo del ventilador de la CPU.

2.- Su ordenador tarda mucho tiempo en apagarse, o no lo hace adecuadamente

Muy a menudo, un software malicioso tiene fallos que pueden provocar una variedad de síntomas, incluyendo que el ordenador tarde mucho tiempo en apagarse o no lo haga correctamente. Desafortunadamente, los fallos del sistema operativo y los conflictos con programas legítimos pueden causar el mismo problema.

3.- Observa una lista de posts publicados en su muro de Facebook que no ha enviado (vea el ejemplo)

Hay pocas razones, aparte de estar infectado por un software malicioso o tener su cuenta hackeada, que puedan causar este problema. Si le ocurre esto, recomendamos encarecidamente cambiar su contraseña y asegurarse de que su ordenador no esté infectado. Es mejor asegurarse de que su sistema no esté infectado antes de cambiar su contraseña. Tampoco recomendamos usar su contraseña de Facebook en otros sitios.

4.- Los programas se ejecutan muy despacio

Esto puede ser un síntoma de que programas ocultos están utilizando una gran cantidad de los recursos de su ordenador. También puede ser un síntoma de otros problemas. En sistemas Windows, si hay 10.000 archivos o más en un mismo directorio, es muy probable que su sistema se resienta.

5.- No puede descargar actualizaciones del sistema operativo

Esto es un síntoma que no puede ignorar. Incluso si no es un bot u otro malware, si usted no mantiene su sistema actualizado, su ordenador probablemente se verá infectado.

6.- No puede descargar actualizaciones de un producto antivirus o visitar las páginas web de los vendedores

Los códigos maliciosos suele evitar la instalación o ejecución de programas antivirus. Una deshabilitación de actualizaciones de su antivirus o de acceso a páginas web de los fabricantes de estos productos es un indicador importante de la presencia de malware.

7.- El acceso a Internet se ralentiza

Si un bot está usando su ordenador para enviar spams de forma masiva, participa en un ataque contra otros ordenadores o sube y descarga una gran cantidad de datos, esto puede hacer que su acceso a Internet sea muy lento.

8- Sus amigos y familiares han recibido un mensaje de correo desde su dirección que usted no ha enviado

Esto puede ser un signo de un bot, otro software malicioso o que su cuenta de correo ha sido hackeada.

9.- Recibe pop-up de Windows y advertencias incluso cuando no usa el navegador

Aunque este es un síntoma clásico de adware, los bots pueden instalar adware en su equipo. Definitivamente, necesita que se solucione este problema.

10.- El administrador de tareas de Windows muestra programas con nombres o descripciones complejos (la línea remarcada es un ejemplo sacada de un sistema infectado con Koobface donde el nombre del usuario fue omitido para preservar su privacidad)

Utilizar el administrador de tareas requiere algunas habilidades y conocimientos. Algunas veces, programas legítimos utilizan también nombres complejos. Una entrada en el administrador de tareas, generalmente, no es un identificador suficiente para calificar un programa como malicioso. Esto puede ayudar a encontrar programas dañinos, pero tienen que seguirse muchos otros pasos para verificar los archivos sospechosos encontrados. Eliminar procesos y archivos o entradas del registro porque usted “piensa” que provienen de un bot o de otro malware, puede causar la incapacidad de arrancar de nuevo su ordenador. Tenga mucho cuidado con las suposiciones antes de actuar.

Traducción del artículo realizado por el equipo de investigación de ESET

Hoy nos ha llamado la atención un correo electrónico que se está extendiendo desde hace unos días. Es un correo electrónico sin un remitente claro, normalmente enviado de forma masiva desde alguno de nuestros contactos fiables, en el cual se explica el proceso de un nuevo timo a través del correo electrónico relacionado con la campaña de renta de este año.

El contenido es el siguiente:

Por lo que se indica en el texto, podría ser un caso normal de Phising, pero tras investigarlo más a fondo, simplemente nos encontramos ante otro bulo intentando expandirse por la red.

Desde el departamento técnico de Ontinet.com, les recomendamos siempre contrastar las noticias que recibimos en nuestro correo electrónico antes de proceder a reenviarlas a nuestros contactos. De esta forma, no propagaremos el Hoax y así, evitaremos ser partícipes de una cadena infinita con una falsa noticia.

David Sánchez

Bien, pues además de utilizar estos métodos para propagarse por Internet, estamos comprobando que durante estos días se está propagando mediante correos no deseados. Principalmente son correos electrónicos en inglés, en los cuales se informa sobre distintos envíos fallidos de mensajería, utilizando el nombre de DHL, UPS o incluso el envío de supuestas cartas de familiares.

Aunque el nombre de los archivos adjuntos no coincida, todos ellos son infecciones del tipo Rogue Antivirus, en este caso llamado XP Antispyware 2010.

Una vez ejecutado el archivo adjunto, nos aparece una ventana haciéndose pasar por el Centro de Seguridad de Windows con la siguiente información:

Además de ello se activan una serie de ventanas realizando un falso análisis del sistema y mostrando como resultado de esos análisis multitud de infecciones inexistentes:

También aparece un proceso llamado Av.exe, que es el que produce que se ejecute el falso antivirus.

Cuando pulsamos sobre cualquier botón de la ventana del falso antivirus, se nos indica que debemos comprar el producto para desinfectar el sistema, accediendo a una supuesta página de compra del producto en Internet.

Desde el departamento técnico de Ontinet.com aconsejamos encarecidamente omitir todo mensaje de correo recibido desde cuentas de correo no pertenecientes a nuestra lista de contactos, disponer de un antivirus actualizado para evitar esta infección y en el caso de sospechar de algún archivo recibido a través de Internet o a través de nuestro cliente de correo, le aconsejamos leer el siguiente consejo de seguridad:

Como actuar cuando recibimos un archivo sospechoso

David Sánchez

Además de ello uno de los temas que más preocupa a los usuarios es la protección de su privacidad, ya que dentro de estas redes sociales podemos incorporar información de carácter personal que puede estar al alcance de cualquier usuario de estas redes, o incluso puede ser mostrada realizando una búsqueda simple a través de algún buscador de Internet.

Es por ello, que el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado una serie de guías en castellano para el correcto uso y configuración de las distintas redes sociales existentes en Internet.

Fundamentalmente los aspectos que se indican, que pueden afectar a la seguridad y privacidad de nuestros datos, son los siguientes:

1. Alta como usuario.
2. Participación en la red social.
3. Baja del servicio.

Desde el departamento técnico de Ontinet.com aconsejamos a nuestros usuarios utilizar estas guías para aumentar su seguridad y la privacidad de sus datos a la hora de utilizar las Redes sociales. Pueden encontrar todas las guías en el siguiente enlace:

http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_ayuda_redes_sociales

David Sánchez

En algunos correos se nos adjuntaba un fichero que simulaba ser un documento de Word con las letras de nuevas canciones no publicadas. En realidad se trataba de un fichero ejecutable que usa la técnica de engaño que ya hemos visto en ocasiones anteriores.

Otro ejemplo es el envío de correos que afirman conocer los secretos tras la muerte del artista y ofrecen la descarga de un vídeo mediante un enlace introducido en el correo. Si se observa el enlace veremos que realmente se trata, de nuevo, de un fichero ejecutable que descarga un código malicioso. A continuación un ejemplo de este tipo de correos:

Una variante más elaborada del ejemplo anterior es el envío de enlaces que nos dirigen a un sitio web donde se descarga el malware al pulsar sobre el falso video o bien cuando nos disponemos a descargar un falso códec. Es entonces cuando procederá a descargar el código malicioso tal y como se ve en la imagen a continuación.

No es extraño que veamos en un futuro cercano mas amenazas que intenten aprovecharse de la importancia de esta noticia como puedan ser archivos .mp3 infectados o supuestos recopilatorios de los varios discos del cantante en las redes P2P que contengan códigos maliciosos.

Cuando suceden este tipo de noticias es ya común que se aproveche la repercusión mediática de las mismas para engañar a la gente mediante ingeniería social. Sin ir más lejos, desde ESET estamos atentos a la reactivación de la botnet Waledac con motivos de las celebraciones del día de la independencia en Estados unidos (4 de julio). Esta botnet es conocida por realizar campañas masivas de envío de correos no deseados aprovechando fechas destacadas del calendario como fue, por ejemplo, el día de los enamorados.

Ante este tipo de engaños y amenazas la primera línea de defensa es el sentido común de los usuarios que, por defecto, deben desconfiar, por muy curiosos que puedan estar por conocer más detalles de la noticia.

Josep Albors

Por lo visto (algo habíamos escuchado pero nunca nos habíamos puesto a mirarlo), hay servicios que se dedican a pagar a los usuarios por ver anuncios, hacer clicks en banners, recibir emails, etc. Tiene cierta lógica puesto que hay mucho dinero en publicidad en Internet que se cobra por click o visualización, así que entiendo que estos servicios se aprovechan de ello (no sabemos si son legales o no, éticos esta claro que no lo son, porque el anunciante está pagando por que sus anuncios lo vea gente que no está interesada).

Por lo visto, investigando nos hemos enterado ahora, de que este tipo de servicios se denominan PTC (Pay To Click). Si buscamos en google “PTC pay to click” podes obtener más información, por lo visto hay mucha gente que se dedica al tema, por lo tanto hay dinero de por medio.

Por lo que hemos leído las ganancias son ridículas, en un día pueden sacar $0,11 o así, de modo que no nos podemos hacer ricos Pero todas tienen un sistema en plan timo piramidal, de forma que si conseguimos que otros usuarios entren a este servicio recomendados por nosotros , nos llevaremos una comisión de lo que facturen esa gente. Es lo que llaman los “referidos”. Si conseguimos que mucha gente entre al servicio, y se dediquen a hacer clicks, puedes que al final ganes dinero sin hacer nada.

Como los usuarios saben que clickeando lo tienen crudo (solo unos céntimos al día), parece que la batalla en Internet es conseguir el máximo de adeptos que sean referidos. Así que es normal que cualquier web o enlace que nos encontremos en Internet sobre este tema no sea un simple link a la página del servicio, sino que lleve un parámetro con el código de la cuenta del usuario para que si entras te cuenten como referido.

Por ejemplo, alguien ha creado un blog del tema, con banners para que la gente pueda ganar dinero. http://rastauy.blogspot.com/

Que buena gente debe ser… pero realmente lo que busca es conseguir referidos, si ves los enlaces de los banners todos llevan el mismo parámetro “rastauy”, que es su código:

http://www.advercash.net/signup.php?ref=rastauy

http://bux.to/?r=rastauy

http://www.xclix.net/register.php?r=rastauy

http://www.titanclicks.com/index.php?ref=rastauy

Pues lo del programa éste en cuestión parece ser más de lo mismo. Pueden ayudar a “automatizar” que la gente pueda ganar unos céntimos al día. Pero al mismo tiempo, y eso es lo que parece ser que no dicen, se están llevando ellos su porcentaje porque las altas las hacen con su código de referencia. En el caso del programa éste, el código es “reycd9″.

Dejo que saquéis vuestras propias conclusiones, como podemos ver Internet sigue siendo una gran fuente de sabiduría y negocios.
R.R

Aparentemente ningún motor antivirus lo detectaba en ese momento

Por experiencia ya que hace pocas semanas tuvimos un caso parecido, la hemos enviado a nuestro destripador de amenazas y cual a sido nuestra sorpresa:

Es uno de esos gusanos que se propaga por dispositivos removibles, como USBs, didcos duros extraibles o unidades/carpetas compartidas, etc.

Para eliminarlo, debemos:
* Matar el proceso smcc.exe desde el administrador de tareas Ctrl+Alt+Supr
* Eliminar los ficheros:
WINDOWS\system32\cmdll.dll
WINDOWS\system32\smcc.exe
* Eliminar la entrada en el registro de Windows que hace referencia a smcc.exe, en HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run

Ya con esta certeza la muestra se ha enviado a los laboratorios de ESET y en el corto plazo de una hora se ha agregado a la base de firmas de virus, consiguiendo con ello una satisfacción personal por un trabajo bien hecho.

Para prevenir este tipo de gusanos (y que se pueda volver a propagar), debemos desactivar todos los arranques automáticos. Podemos hacerlo a través del administrador de políticas de grupo.

Suponiendo que tenemos el sistema operativo Windows XP:

1) Inicio -> Ejecutar -> gpedit.msc

2) Configuración del equipo -> plantillas administrativas -> sistema -> Desactivar reproducción automática

3) Activar “Habilitada” -> seleccionar “Todas las unidades” -> pulsar “Aceptar”

4) Inicio -> Ejecutar -> gpupdate

En ell paso 4 no se verá nada (parpadeará la ventana de msdos), pero este comando sirve para actualizar la política y que esté activa desde ese momento.

Con eso previene que Windows ejecute los autorun.inf al introducir un USB, CD, etc., y este tipo de gusanos no se podrán ejecutar automáticamente. Una práctica simple que también nos ayudará a mantenernos a salvo es el tener una cuenta que no sea de administrador del sistema, con lo cual no se permite la instalación de aplicaciones, dos consejos muy útiles y muy fáciles con los cuales nos podremos ahorrar más de un disgusto.
Gracias B.

R.R.