Cómo limpiar el archivo hosts

Leyendo el blog de Eset, vi este articulo muy util para la mayoria de los usuarios de Windows principalmente. En el mismo muestra como limpiar el famoso archivo host, el cual es el que se encarga de direccionarnos a las paginas web requeridas, y que al ser modificado por un troyano o virus nos puede enviar a un sitio malicioso el cual contenga malware.

1. Buscar la carpeta donde se aloja el archivo hosts. En sistemas operativos Microsoft Windows, podrán encontrarlo en C:\Windows\System32\drivers\etc.
2. Hacer doble clic en el archivo, el sistema consultará al usuario con qué aplicación abrie el mismo. Seleccionar el bloc de notas (notepad) como se muestra aquí.

3. A continuación se observará el archivo hosts, del cual se describen tres secciones:

a. Esta sección es la de comentarios. Estas líneas son a modo informativo (comentarios) y no influyen en la configuración del sistema.
b. La íinea indicada en esta sección es la que viene configurada por defecto en todos los sistemas. Su presencia es correcta y no influye.
c. Si más allá de la línea anterior, aparecen otras (importante: que no han sido agregadas ex-profeso por el administrador del sistema), es probable que el sistema esté infectado. Más aún si los dominios que aparecen en el sector derecho de la línea corresponde a una entidad financiera o bancaria. En este caso, la imagen muestra un sistema infectado con la variante Win32/Qhost.NJP que afecta bancos mexicanos.

4. Eliminar las lineas agregadas por el troyano con el editor de texto.
5. Guardar el archivo y cerrarlo.
Con estos sencillos pasos, el sistema no direccionará incorrectamente a los dominios afectados por la amenaza y el archivo hosts estará limpio.
También es posible encontrar el archivos hosts en plataformas UNIX (o Linux) y MAC OS. En ambos casos, la ruta donde frecuentemente se aloja en la ruta /etc/hosts. Cabe mencionar que en cualquier sistema operativo, la modificación de este archivo queda restringida por defecto a usuarios con permisos administrativos.
Aunque los usuarios que posean una solución antivirus estarán protegidos ante esta familia de troyanos, el mismo no puede ser ejecutado con éxito si el usuario está logueado en el sistema con una cuenta con permisos limitados. Vale entonces la oportunidad para recordar que es una buena práctica utilizar una cuenta de usuario sin permisos administrativos en el uso cotidiano de la computadora.

El negocio de los Falsos Antivirus

Después de varios días de ausencia por enfermedad, acá estoy de vuelta. En esta ocasión quiero compartir con todos un informe de PandaLabs sobre los Rogues (falsos antivirus), hace un par de semanas atrás publicaba uno sobre un caso de infección por parte de la gente de Eset.
En este informe se revela el negocio millonario detrás de estas aplicaciones y de cómo fue evolucionando y creciendo en número, a pesar que ya van casi 2 años desde que empezaron a aparecer masivamente.
Para descargarlo presionar aquí.

Malware via Messenger

Aunque muchas veces se hable  de que no se debe hacer click en los enlaces que vienen vía Messenger y menos aún cuando no hay una conversación de por medio con la persona que supuestamente nos envía dicho enlace o archivo, todavía sigue siendo una vía muy utilizada por los delincuentes para robar información o infectar las Pc de los usuarios con Malware.
En la captura de abajo se puede ver una supuesta conversación en donde mi contacto me pregunta en Portugués si esta foto es mía, y me ofrece un link para ver dicha imagen que supuestamente proviene de la pagina de la Red Social Facebook, pero claramente se puede observar que no proviene de dicha Web ya que  el nombre no coincide con la misma, y la supuesta fotografía en realidad se trata de un archivo ejecutable.

Al hacer click sobre el enlace comienza la descarga de un archivo, que supuestamente se trata de una imagen, pero en realidad es un archivo .exe, y como se ve en la captura proviene de un sitio con el nombre de dominio muy similar al de la Red Social.

En este caso se trata de un gusano que se propaga vía Messenger, por lo que siempre recomiendo no abrir enlaces ni aceptar archivos por este medio que no fueron solicitados, menos aun cuando están en otro idioma. Una forma  de saber si tu contacto realmente te esta mandando una foto o archivo sin una previa conversación es preguntándole, mandándole un mensaje para corroborar esto, y como siempre mantener actualizado el antivirus y al día las actualizaciones del Sistema Operativo y del Navegador.

Se cierra el Messenger ¡¡¡

Muchas veces hemos escuchado o leído sobre correos en los que hablan de que supuestamente se cierra Hotmail, Bill Gate regala su fortuna, Nokia regala celulares, SonyEricsson regala computadoras, entre tantos otros.
Todo esto se trata de “Bulos”, al cual se lo define como un intento de hacer creer a un grupo de personas que algo falso es real.
A diferencia del fraude el cual tiene normalmente una o varias víctimas y es cometido con propósitos delictivos y de lucro ilícito, el bulo tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación, siendo el más popular de ellos en la actualidad Internet y no suelen tener fines lucrativos o no son su fin primario.
Este correo es uno mas de estos “Bulos”, en el cual los directores del Messenger piden perdón por que dicho servicio se cerrara ya que muchas personas poseen mas de una cuenta. Lo llamativo es que en el primer párrafo habla de que se cerrara, pero luego dice que tendrá un costo su uso, a menos que se mande dicho mail a 18 personas, con lo cual será gratis para las personas que lo manden, como se puede leer en la imagen de captura.













No hay que caer en este tipo de engaños que busca generar temor, y engrosar las bases de datos de los spammers, para enviar correos con publicidad no deseada o con contenidos dañinos.
Una forma fácil de detectar si se trata de un engaño es que nunca citan una fuente confiable desde la cual provino dicha noticia, cuando nombra a personas como en este caso, solo lo hace por su nombre ya que desconocen sus apellidos y cargos. Y el más importante, si se trata de servicios tan utilizados como el Messenger o el correo de Hotmail, esta noticia iba a salir en todos los medios de comunicación y no solo por medio de una cadena.

Informe Crimeware, el crimen del Siglo XXI

Retomando de a poco el ritmo despues de tanto trabajo en la Fiesta Nacional del Inmigrante, me gustaria compartir con todos un informe elaborado por el Lic. Cristian Borghello (Technical & Educational Manager de ESET Latinoamérica), al cual tuve el placer de conocer y poder charlar en la Ciudad Universitaria de Rosario en un foro de debate sobre Seguridad de la Información.

Dicho informe habla sobre el crimeware, el cual es definido como cualquier tipo de malware que ha sido diseñado y desarrollado para perpetrar un crimen del tipo financiero o económico.

Originalmente, el crimeware abarcaba dos acciones principales: el robo de credenciales en línea, es decir, de cualquier dato que pueda ser utilizado para identificar a un usuario; y la realización de transacciones comerciales o financieras no autorizadas, robos, estafas, fraudes o timos financieros llevados a cabo con los datos obtenidos. En la actualidad, sin embargo, esta definición engloba además a todos los procedimientos que sirven de objetivo y plataforma para soportar esas acciones delictivas.
En el informe “Crimeware, el crimen del Siglo XXI” se analiza la historia, evolución y actualidad del crimeware e incluye información acerca de las elevadas tasas de ganancias de sus perpetradores, las dificultades de la legislación mundial para frenar la actividad delictiva y aportes al debate acerca de su prevención y erradicación.

Para descargarlo hacer click aqui

Supuesto empleado de Carsa solicita donante de órgano

Después de varios días de ausencia por estar trabajando en la Fiesta de Inmigrante, decidí publicar la siguiente entrada por que hace días atrás leía un informe en el que habla de que cerca del 40% de las personas cree que son ciertas la mayorías de las cadenas que se envían del tipo “niña con cáncer terminal”, “Bill Gates regala su fortuna”, “se cierra Hotmail”, etc.
En este caso, es una cadena que ya la había visto anteriormente, en donde un supuesto empleado de Red Megatone solicita un donante de Riñón. Como siempre en este tipo de temas, apela a la sensibilidad de las personas contando que tiene hijos al cual le gustaría ver crecer y que se encuentra en estado terminal.
Acá les dejo el texto del mensaje….

From: ayudemos reenviando a todos nuestros contactos!!la union hace la fuerza!!

Hola, me llamo Marcelo ******* y si¬ existo. trabajo en Red Megatone y estoy pasando
por este mal momento. Mis datos completos
estan al final de este e-mail.
Realmente tengo ganas de vivir,
tengo 34 años y si podes ayudarme
estoy a tus ordenes, por favor,
solo comuni¬cate conmigo.
Mi esposa me esta ayudando
a tener esperanza para seguir
creyendo en la gente, a tener
un di¬a mas...un mañana.
No se, pero hoy estoy dando
mi 100% y lo unico que pido
es que mi mensaje se transmita.
Te quito un minuto.
Ayudame a salvar mi vida
para poder ver crecer mis hijos
(Rosmari de 3 meses
y Ariel de 13 años).
Es muy facil, solo te pido tres favores:
1-El primero, por favor no borres este e-mail,
conservalo; pregunta entre
tus familiares y amigos.

El mundo da muchas vueltas
y tal vez vos o alguien a quien
conoces me pueda ayudar.
2-Si sabes de alguien que
quiera donar un riñon,
por favor hablame!!
Yo solo necesito uno,
ninguno de los mi¬os funciona.
3-Si me haces el favor de enviar
esta mensaje por la red,
tengo oportunidad de llegar
a mas personas y asi¬ tengo
mas posibilidades de encontrar
un donante.
Que Dios te colme
de bendiciones por tu tiempo
en estas lineas y disculpa las molestias.


Marcelo Alejandro ********.

Tel:(03732)xxxxx - Cel:(03732)15xxxxxx.

Argentino; tipo de sangre RH 'B' POSITIVO.
Un abrazo...rapido, pero grande!!!!!!!!!

POR FAVOR!!!
ENVIA este mensaje a todos los que conozcas

Me llamo la atención de este mensaje que en el asunto dice que es posadeño, pero los 2 números de teléfonos dejado por esta persona no son de la Provincia. Decidí mandar un mail a Carsa preguntando por este empleado, y la respuesta la pueden ver en la imagen de abajo.













Hay que tener en cuenta que si queres donar un órgano, no vas a un sanatorio y decís “quiero donar un órgano a determinada persona”. Hay una lista de espera en el INCUCAI con las personas en lista de emergencia nacional, y definitivamente esta persona no se encuentra en ella.
Lastimosamente hay personas que se benefician apelando a la sensibilidad de los usuarios, mandando este tipo de cadenas para que se reenvíen a la mayor cantidad posible para colectar correos, y formar grandes bases de datos para su venta a empresas que se dedican a enviar Spam, que en muchos casos poseen algún Malware o te dirigen a alguna Pagina con contenido malicioso para robar información de los usuarios.

Aumentaron un 500% los enlaces maliciosos

En tan sólo nueve meses se ha experimentado un cambio en la forma en la que los ciberdelincuentes intentan conseguir sus objetivos ganándose la confianza del usuario.

Según un informe realizado por IBM Internet Security Systems, en lo que va del año ha descendido notablemente el envío de phishing y se ha desviado el alojamiento de los servidores emisores desde España a Rusia. Pero quizá el dato más destacable es que el número de nuevos enlaces con contenido malicioso descubiertos en la web ha aumentado en un 508% durante la primera mitad de 2009.

Según el estudio, cada vez son más las amenazas que se producen, a través de enlaces maliciosos, en sitios "confiables" de Internet, como motores de búsqueda, blogs, tablones de anuncios, revistas online e incluso portales de noticias. El objetivo siempre es el mismo: ganarse la confianza del usuario a través de un site que visita frecuentemente para tener acceso a sus datos personales.

Fuente: siliconnews

Ranking de propagación del mes de Agosto

Ayer se publicó el ranking de amenazas del mes de agosto de Eset. Como se observa el gusano conficker y las infecciones en los archivos autorun siguen estando en los primeros puestos de la lista.

1. Win32/Conficker
Porcentaje total de detecciones: 8,56

Es un gusano que se propaga utilizando Internet como plataforma de ataque, aprovechando diferentes vulnerabilidades en sistemas operativos Microsoft Windows que ya han sido corregidas, además de otras tecnologías como los dispositivos de almacenamiento removible y recursos compartidos en redes. De esta manera, un atacante puede controlar el sistema de forma remota y realizar acciones maliciosas sin necesidad de utilizar credenciales de usuario válidas.

2. Win32/PSW.OnLineGames
Porcentaje total de detecciones: 8,28

Es un troyano con capacidades de keylogger y de rootkit que recolecta información vinculada a los juegos en línea y sus usuarios y contraseñas.

3. INF/Autorun
Porcentaje total de detecciones: 7,80

Es un código malicioso utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, DVD dispositivo USB, es leído por el equipo informático.

4. Win32/Agent
Porcentaje total de detecciones: 3,57

Es una detección genérica que describe a una serie de integrantes de una amplia familia de malware capaz de robar información del usuario de equipos infectados.

5. INF/Conficker
Porcentaje total de detecciones: 1,76

La detección INF/Conficker es utilizada para describir una variedad de malware que se propaga junto con el gusano Conficker y utiliza el archivo autorun.inf para comprometer al equipo informático.

6. Win32/Pacex.Gen
Porcentaje total de detecciones: 1,66

La firma Pacex.Gen designa a un amplio rango de archivos maliciosos que utilizan una capa específica de ofuscación. El sufijo .Gen quiere decir “genérico” lo que significa que cubre un amplio número de variantes conocidas y puede además detectar variantes desconocidas con características similares.

7. Win32/TrojanDownloader.Swizzor
Porcentaje total de detecciones: 1,39

Esta familia de malware es utilizada, frecuentemente, para descargar e instalar otros componentes maliciosos en un equipo infectado, generalmente adware.

8. Win32/Qhost
Porcentaje total de detecciones: 0,93

Es un troyano que se copia a sí misma a la carpeta %system32% de Windows para luego comunicarse bajo DNS con su servidor de comando y control. Win32/Qhost permite que el atacante tome el control del equipo infectado y modifica al archivo host para redireccionar el tráfico a dominios específicos.

9. Win32/TrojanDownloader.Bredolab
Porcentaje total de detecciones: 0,81

Este malware es utilizado por el atacante para descargar e instalar componentes maliciosos en un sistema infectado.Se vale de varias capas de compresión y técnicas de inyección para evadir la detección y ralentizar el análisis.

10. WMA/TrojanDownloader.GetCodec
Porcentaje total de detecciones: 0,78

GetCodec es un tipo de malware que modifica los archivos de audio, transformando aquellos encontrados en el equipo infectado al formato WMA y agregando un campo en el encabezado que incluye una dirección web apuntando al usuario hacia un nuevo Codec que deberá ser descargado para poder leer el archivo.

Fuente: Eset