Malware a través de spam simula ser de Windows Live Messenger

Apareció un gran número de correos electrónicos no deseados que propagan malware simulando ser enviado por Windows Live de Microsoft.
El spam es generado desde una computadora infectada con el malware desde la cual se reenvía el correo a los contactos que se encuentran en el equipo víctima. En este caso, la estrategia de engaño consiste en la recepción de un correo electrónico de un contacto conocido. El correo electrónico malicioso (en portugués) es similar al siguiente:

En el remitente del correo, se agrega una dirección falsa que simula el dominio microsoft.windowslive.com. Con esta acción, los creadores del malware intentan ganar la confianza del usuario.
Un detalle importante a destacar es la dirección que figura en la barra de tareas cuando se posiciona el cursor sobre el enlace. El mismo, no muestra la descarga de un archivo ejecutable sino las direcciones de correo involucradas (remitente y emisor); sin embargo, el malware es llamado desde el servidor a través del archivo panico.php. Este accionar también responde a la estrategia de engaño.
Ese enlace direcciona a la víctima hacia la descarga de un archivo binario llamado panico.scr que es el código malicioso intentando pasar como un protector de pantalla. El malware es detectado bajo el nombre de Win32/VB.EA.

Hacer caso omiso de este tipo correos o similares, más aún, cuando el mensaje se encuentra, como en este caso, en otro idioma.

Fuente: eset-la

Conficker para rato ¡¡¡

Leyendo algunos mail que me mandaron y hablando con gente de otras instituciones de la ciudad, todos siguen teniendo problema con el gusano conficker y al parecer va para rato por las nuevas variantes y formas de infeccion que aparecen.

Ahora salió una nueva variante Conficker.C o tambien llamada Conficker.B++, que al igual que la original sigue aprovechando la vulnerabilidad de los sistemas Windows que no están parchados.

Sus efectos mas comunes  son que se copia a las carpetas compartidas sin contraseñas, genera un archivo autorun para asegurarse su ejecución al inicio como los virus de los Pen Drives. Descarga otros troyanos o falsos antivirus y genera problemas de red, haciendo que se pierda la conexion con las impresoras compartidas o en red y gran aumento del trafico en elpuerto 445, etc.

Para prevenir dicho gusano hay que instalar la actualizacion de windows MS06-o40 pueden descargarla del siguiente link:

http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx

Y si ya están infectado pueden descargarse el fix de Norton para limpiarlo del siguiente link:

http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-011316-0247-99

Recordar que hay que correr el fix en modo normal y modo a prueba de fallos y tener el antivirus actualizado.

Cristhiang

Falso MSN Messenger SMS propaga malware

Apareció una nueva estrategia de engaño que utiliza como pretexto la descarga de la supuesta versión beta del programa de mensajería instantánea MSN Messenger de Microsoft, el cual podría ser utilizado para el envío de mensajes SMS a través del mismo.
Obviamente se trata de un caso de Ingeniería Social que se distribuye a través del siguiente correo electrónico:


Cuando el usuario hace clic sobre el botón “descargar ahora”, se intenta descargar un archivo ejecutable llamado windowslivesms.exe que lejos de ofrecer la posibilidad de hacer uso de esta tecnología para el envío de mensajes de texto, infecta el sistema del usuario con un troyano del tipo Qhost.
Si quieren descargar la ultima versión del messenger, entren a la pagina de mircosoft tipeandola en la barra de direcciones de su navegador, y no desde el link de algún mail que le mandan.

Fuente: www.eset.com

San Valentin y el gusano Waledac

“Te doy mi corazón, “quiero besarte” o “eres el indicado”, con algunas de las líneas de asunto más recientes del spam detectado últimamente y que esetán diseñadas para que el receptor se sienta querido y mimado. A pesar de la curiosidad innata de saber quién nos ama realmente, los investigadores recomiendan no abrir estos mail ya que si lo haces, puedes caer en la trampa del gusano “Waledac” y resultar infectado.
Este gusano busca la propagación masiva a través de mensajes de correo no deseados. Al igual que a Storm, a Waledac aparentemente le gusta aprovechar los días festivos – enviando spam con semanas de anticipación y conforme el Día de San Valentín se acerca, estos románticos correos electrónicos ya inundan los buzones de los usuarios. Cada mensaje no deseado contiene un mensaje provocativo del tipo “Alguien te ama” o “Mi corazón es para ti”. Cuando los usuarios hacen click en el enlace contenido, que por supuesto es malicioso, son redireccionados a un site con corazones rojos.
Una vez que se entra en esta página, se pide a los usuarios descargar un archivo malicioso, identificado por Trend Micro como WORM_WALEDAC.AR. Como otras variantes de Waledac, el gusano compromete la seguridad de los sistemas infectados al abrir puertos aleatorios para esperar que los comandos remotos de un tercero, presumiblemente un operador de botnets, entren en escena. Waledac, relacionado con StormLos expertos de Trend Micro tienen la teoría de que Waledac está familiarizado con el botnet Storm, que infectó masivamente a los usuarios en 2007 y 2008, puesto que la familia de código malicioso Waledac muestra rutinas y características muy similares a Storm, particularmente a la hora de enviar spam a los usuarios antes de días festivos como es el caso del Día de San Valentín.
Storm es bastante conocido por utilizar las técnicas de ingeniería social para aprovechar los días festivos de cara a que los usuarios caigan en sus engaños. Además de las similitudes en las técnicas de ingeniería social, Waledac utiliza métodos de ataque muy similares a los de Storm como las redes de flujo rápido, un mecanismo de cambio de DNS que ayuda a los sites maliciosos a evadir la detección.
Asimismo, Waledac utiliza varios servidores con distintos nombre por dominio, otro truco de Storm. Waledac también ha utilizado nombres de archivos comunes de Storm, como ecard.exe y postcard.exe y, en algunos casos, ha copiado la tendencia de Storm de instalar anti-spyware falso como parte del engaño.
Desde Trend Micro se recomienda tener cuidado con los ataques de phishing, las tarjetas electrónicas maliciosas y los perfiles de citas online falsos. Un posible esquema de phishing incluye un correo electrónico que indica que las flores o los bombones que encargó para la persona amada no se entregarán a menos que entre en la página indicada y vuelva a facilitar el número de su tarjeta de crédito. Un truco de una tarjeta electrónica falsa le pide descargar el reproductor multimedia más reciente para ver la tarjeta. Lo que recibe es una carga de código malicioso en lugar del reproductor real.
Finalmente, los perfiles de citas falsos pueden ofrecerle código malicioso en lugar de un romance verdadero. O peor aún, su nuevo amor puede pedirle un envío de dinero para un billete de avión para que finalmente se conozcan. Se recomienda a los usuarios usar el cerebro y no su corazón a la hora de abrir correos electrónicos, pinchar en URLs y descargar archivos.

Fuente: www.winred.com

Otro mail con promesas falsas de regalarte dinero

Hoy me llego otro mail, de esos tanto que andan dando vueltas, en el cual el hombre mas rico del planeta te regala un cheque de 1000 dolares por que si nomás por que no tiene a quien dejarle su fortuna. Y en el cual les deja un link para solicitar su cheque, esto por supuesto no es verdad, y no accedan a dicho enlace si les llega el mail.
En entradas anteriores comente sobre los oaxes y las estafas, lo cual seguramente es el caso, pero tambien tengan en cuenta que su unico fin puede ser obtener su direccion para enviarles spam, los cuales pueden contener virus o algun otro tipo de malware para tomar control de su pc o robarles información.

Tambien si observan bien el texto se puede ver que al redactarlo omitieron el "con" todos nosotros.

El clickjacking, la nueva apuesta de mercado de los ciberdelincuentes

El malware se oculta en aplicaciones legítimas para reconducir a los usuarios a páginas corruptas o de phishing.
Una nueva amenaza emerge en el panorama de la seguridad virtual. Los ciberdelincuentes diversifican su lista de productos e introducen el clickjacking, una tecnología que permite camuflar en aplicaciones legítimas contenidos ilegítimos con los que reconducir la navegación del internauta. 

De este modo, cuando el usuario clicka en aquellos links que considera oportunos es, de hecho, reenviado a una página que no era la deseada o bien a una en la que se han introducido contenidos que no eran los que debería, como campos adicionales en formularios.

El clikjacking está afectando a todos los navegadores y cuenta con una solución difícil, como explican desde Trend Micro. “No hay salida, puesto que no se puede arreglar lo que no está roto”, asegura el investigador de Amenazas Avanzadas de la compañía, Paul Ferguson, puesto que al utilizar los mismos estándares html que las aplicaciones ‘buenas’, ningún antivirus puede por el momento detectarlo.

La especialista antivirus reconoce, aún así, que la amenaza es más emergente que real. “el clickjacking no se ha propagado debido a que el código es difícil de escribir y aún hay gran cantidad de recursos al alcance bajo la forma de explotaciones a las que tienen acceso los ciber-criminales”, apunta Ferguson, que augura aún así un mayor interés en esta nueva forma de amenaza en cuanto los anteriores métodos de delincuencia “pasen de moda”.

Fuente: www.siliconnews.es