Por supuesto, no todas las compañías que se oponen a SOPA van a dejar sus websites en blanco. Así, eBay, Google, Twitter and Yahoo! son algunas de las compañías que van a mantener sus contenidos durante la protesta, y también ESET. 

Aunque la protesta no va a afectar a los usuarios en su quehacer diario, sí es una gran noticia. Y como cualquier otro hecho noticiable, es presumible que los cibercriminales intenten aprovechar el tirón mediático de esta iniciativa para posicionar resultados maliciosos en los motores de búsqueda (lo que conocemos como ataques Black Hat SEO), de los que hemos hablado frecuentemente en este blog.

No podemos saber exactamente qué tipo de scam nos podemos encontrar, teniendo en consideración que los sites listados anteriormente volverán a su actividad normal en el horario anunciado. Por lo tanto, no es presumible que vuelvan a la actividad antes de la hora convocada, y algunos pueden incluso retrasarse.

Si ves algún tipo de anuncio oficial sobre sitios que vuelven a operar de forma normal antes de la hora prevista o si te encuentras algún tipo de mensaje para visitar los sitios que se han sumado a la protesta intentando dirigirte a un nuevo web site, ignóralos y vuelve a visitar el sitio oficial a partir de la hora anunciada. El “nuevo” sitio puede ser claramente malicioso y contener diversos trucos para engañarte e infectar tu ordenador.

En vez de arriesgarte, quizá quieras aprovechar el tiempo para hacer una copia de seguridad de tu ordenador, o para desconectarte el resto del día: Internet estará ahí cuando vuelvas .

De nuestro compañero Aryeh Goretsky, MVP, ZCSE. Distinguished Researcher. ESET. Artículo original en inglés. 

En el día de ayer, la web del Partido Popular de Cataluña apareció de la siguiente forma (gracias de nuevo a Chema Alonso por la información publicada en su blog, del cual hemos extraído esta imagen).

La web sufrió una intrusión que permitió a los atacantes colgar un fotomontaje donde se criticaba a los candidatos de los principales partidos políticos. Exactamente el mismo fotomontaje es el que hemos visto hoy en un enlace de la Academia de las Ciencias y las Artes de la Televisión.

No obstante, en esta ocasión se ha subido información confidencial. En concreto, se han publicado datos de miembros de CIU a los que Anonymous acusa de recibir donaciones extrañas. Entre estos datos se encuentran el nombre, apellidos, DNI, email, teléfono y dirección postal.

Como vemos, a pocos días de la finalización de la campaña electoral, Anonymous acelera el ritmo de sus ataques y filtraciones. Desde el laboratorio de ESET en Ontinet.com creemos que en estas últimas horas antes de las elecciones pueden revelarse datos confidenciales importantes, incluyendo aquellos relativos a la investigación del 11-M que estos hacktivistas dijeron poseer, por lo que iremos publicando en este blog cualquier información que se produzca en relación a este tema.

Josep Albors

Exactamente, el texto indicado es el siguiente: “Ha sido usted detectado mientras realizaba descargas ilegales a través de Internet; la solución se ajusta a dos vías, ser denunciado ante los tribunales o bien eludir la acción de la Justicia mediante el abono de la cantidad indicada en euros”.

Este tipo de fraude ya había aparecido en otros países, de ello escribimos la siguiente entrada del mes de abril. Durante el día de hoy hemos detectado el mismo tipo de fraude en castellano. Como pueden observar en las capturas, aparecen referencias a artículos, noticias y asociaciones falsas, dando un aspecto de veracidad al usuario que recibe este tipo de avisos. Actualmente esta infección viene provocada por diferentes enlaces de descarga directa referentes a películas, música u otro tipo de software.

El funcionamiento de esta infección es el mismo que el de los falsos antivirus, pero en este caso, en vez de salir la típica ventana del falso antivirus indicando que el equipo está infectado y que debemos pagar una cantidad para desinfectarlo, hace referencia a un posible delito de piratería.

Desde el departamento técnico de Ontinet.com, queremos indicar a los usuarios que desconfíen de todo mensaje de Internet o correo electrónico que nos pida cualquier tipo de pago. También aconsejamos contactar con su proveedor de seguridad, el cual le ayudará a deshacerse de la posible infección de forma correcta.

David Sanchez

Algunas versiones ilegales de este juego, desarrollado para dispositivos móviles con Windows Mobile, ha sido modificado por desarrolladores rusos para que incluya un add-on, el cual hace que se realicen de forma silenciosa llamadas internacionales aleatorias, causando al usuario facturas de teléfono bastante elevadas. Se sigue investigando si también han sido afectados otros juegos.

Como se puede observar en la captura mostrada a continuación, aparece una lista de números de teléfono internacionales:

En los campos referentes al código phone.talk se muestran los números programados a donde se realizarán dichas llamadas. La pregunta que nos podemos hacer en este punto es, ¿Por qué esos números de teléfono? Bien, estos números seguramente sean de alta tarificación. El creador de dicho virus seguramente se lleve una comisión de dichas llamadas para así obtener su correspondiente beneficio económico.

El desarrollo de malware destinado a los dispositivos móviles está creciendo a pasos agigantados, debido en gran medida al frecuente uso que hacemos de él. Puede que los usuarios no dispongan de ordenador en su hogar, pero seguro que tienen un móvil. Desde el departamento técnico de Ontinet.com aconsejamos a los usuarios de Windows Mobile utilizar un software de seguridad en sus dispositivos móviles para así estar protegidos correctamente frente a este tipo de amenazas.

David Sánchez

En esta ocasión, la detección de este fichero por parte del antivirus es totalmente correcta, ya que el fichero original ha sido modificado para permitir mas conexiones de las recomendadas y expone al usuario a un riesgo importante. Al usar un sistema operativo modificado que no ha sido verificado por el fabricante para asegurar la máxima integración y compatibilidad entre todos los elementos que lo componen, se rompe un principio básico de la seguridad, ya que tampoco sabremos que otras “aplicaciones” habrán sido incluidas (rootkits, troyanos, keyloggers, etc.).

Este riesgo se aplica también a aquellos programas que los usuarios descargan de sitios ajenos al fabricante o corresponden a versiones crackeadas para poder usar el programa sin abonar su coste. Resulta especialmente curioso el caso de los falsos antivirus que prometen seguridad a aquellos usuarios que los usan cuando realmente están infectando su sistema, o los antivirus de marcas reconocidas que han sido modificados para ser usados sin abonar el coste de la licencia que no tienen todas las funciones de la versión original.

Ante estas amenazas lo mejor es descargar y usar los programas proporcionados directamente del fabricante para evitar sorpresas indeseables.

Josep Albors

En el mismo se nos acusa de haber descargado contenidos con derechos de autor de forma ilegal, a la vez que se nos indica que, en el fichero adjunto se encuentran los registros de nuestras actividades ilegales en los pasados 6 meses. Si picamos el anzuelo y abrimos el fichero nos encontraremos con lo siguiente:

En lugar de un fichero de registros encontraremos un ejecutable que, si intentamos extraer o ejecutar hará saltar nuestro antivirus de la siguiente forma:

Es un caso muy parecido al que comentábamos hace unos días. Tan solo cambia el motivo de las amenazas para intimidar a los usuarios y hacer que caigan en la trampa. Viendo que este tipo de propagación de malware tienen un éxito razonable no es de extrañar que veamos mas variaciones de este tipo en un futuro.
Es por ello que siempre debemos protegernos con un antivirus actualizado por si estamos con la guardia baja e intentamos abrir el archivo adjunto.

Actualizacion 17/09/2008: Al observar que este tipo de malware esta siendo bastante difundido estos días nuestro laboratorio nos proporciona más información al respecto de esta amenaza.

Se trata de un Trojan/Goldun con función rootkit que al ejecutar el archivo user-EA49943X-activities.exe crea dos ficheros en el directorio de sistema de Windows:

C:\WINDOWS\system32\cabpck.dll
C:\WINDOWS\system32\krnlcab.sys

También crea diversas entradas en el registro de Windows para asegurarse la ejecución de cabpck.dll como parte del Winlogon y de krnlcab.sys como driver en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\Control

Si realizamos un análisis completo de este código malicioso, vemos que recibe instrucciones de los servidores con los que conecta, en concreto con:

social-bos.biz
osliki.net

Cuando se conecta con ellos envía información de la máquina infectada, pero también puede recibir información, como por ejemplo comandos para descargarse otras muestras de malware. En la siguiente imagen se puede observar la comunicación que realiza el troyano de forma oculta obteniendo a cambio las URLs de donde descarga nuevos componentes de malware como se observa a continuación:

Josep Albors