Troyano aprovecha una vulnerabilidad en Firefox para infectar equipos

En las últimas horas,  han confirmado una vulnerabilidad en  Firefox  en sus versiones 3.5 y 3.6. La misma está siendo aprovechada para infectar con un troyano que se puede descargar automáticamente al visitar una página infectada mediante lo que se conoce como un ataque drive-by download.

La vulnerabilidad fue detectada por primera vez en la página del premio Nobel de la Paz, ya que los usuarios que en las últimas horas la visitaron habrían sido infectados con el troyano Belmoo.

Si bien la Web del premio Nobel esta bloqueada por Firefox, no descartan que otras ya estén comprometida, continuando de esta manera con la distribución del troyano. Por lo tanto, se recomienda a los usuarios que desactiven la opción de JavaScript en el navegador, o que utilicen la extensión NoScript, hasta que la gente de Mozilla saque una actualización.

Últimas tendencias en la industria del Spam

A la hora de hablar sobre las plagas que azotan Internet, lo primero que se nos viene a la cabeza es la palabra Spam o correo basura. Esos molestos mensajes que llenan nuestras bandejas de entrada con publicidad de fármacos, viajes, pornografía y un sin fin de cosas mas, que en muchas ocasiones son fuentes para el robo de información o la distribución de Malwares de todo tipo.

Recientemente, la gente de la empresa AV Bitdefender, publicó días atrás un boletín con las ultimas tendencias del spam mundial, pero a diferencias de otros informes, este se basa en las palabras que más utilizan los spammers para distribuir dichos correos.
El ranking comienza con:

1. “Newsletters” canadienses (NEWSLETTER = 5.12%)
Un año atrás, el spam que adjuntaba los mensajes publicitarios en una newsletter era el método favorito de los spammers. Esta semana la palabra Newsletter vuelve a estar en auge. Y está siendo usado, principalmente, en la venta de productos de la “farmacia canadiense”. Si bien, la oleada de spam de este tipo más interesante es la que anuncia un servicio de envío de correos electrónicos que cuenta con una base de datos de direcciones de 12 millones y plantillas HTML de “boletines informativos” o newsletters. O sea, se anuncian a sí mismos. El servicio de spam todo-en-uno.

2. Haz clic para infectarte (CLICK = 2.95%)
La palabra clic ha sido la segunda más utilizada en spam esta semana, con cerca de un 3%. Esta es una de las oleadas de spam que adjuntan programas maliciosos disfrazados de inofensivas e-cards. Con el fin de engañar a los usuarios e incitarlos a ejecutar el archivo adjunto, este archivo viene con doble extensión (. Gif.exe), así que si el sistema operativo está configurado para no mostrar extensiones conocidas, sólo verá el archivo llamado card.gif. El archivo esconde, en realidad, el Backdoor.Zapchast.PI que dará un control total sobre la máquina infectada a un atacante remoto

3. El estafador cortés (PLEASE = 2.76%)
En el ranking de esta semana, PLEASE (por favor) cuenta con el 2.76 % de las palabras más frecuentemente usadas en spam. El típico y clásico timo nigeriano, relocalizado en Hong- Kong para darle más credibilidad, es el tipo de spam que más utiliza esta palabra. A diferencia de otros intentos de este tipo, los estafadores detrás de estos ataques no esperan robarte (al menos, no de primeras), sino más bien construir una base de datos de direcciones de correo electrónico de personas que son tan ingenuas como para responder a este tipo de mensajes.

4. Suscríbete de nuevo al spam (SUBSCRIBE = 2.70%)
Es muy usada en email de venta de medicinas, sobre todo, en los de la farmacia canadiense. Usan, generalmente, una plantilla de newsletter – con una imagen central y múltiples links-. Este clon de la farmacia canadiense está alojado en Rusia. Antes de llevar al usuario que pincha en uno de los links a la página de destino realiza una serie de redirecciones y también agrega la dirección de la víctima a una base de datos

5. Compra barato nuestras medicinas (BUY = 2.19%)
La palabra “Buy” (compra/r) es la más relacionada con el spam medicinal y con la venta de réplicas de accesorios como relojes y bolsos. Este tipo de spam tiene mucho de timo pues los que compran algo a través de los servicios promocionados suelen no recibir la mercancía y, sin embargo, suelen perder el dinero de sus tarjetas de crédito.

Obtener datos de acceso de una cuenta de Facebook con Firesheep

En reiteradas ocasiones se ha hablado de lo peligroso que puede llegar a ser utilizar alguna red wifi pública sin los recaudos necesarios cuando nos encontramos en algun espacio publico, pero ahora tenemos una razón mas que importante para hacerlo despues de leer el siguiente artículo publicado al la web de Neoteo. 

Es una costumbre de prácticamente toda página o servicio web, la de usar HTTPS en el login. Pero luego en el resto de la navegación este protocolo no se usa, con lo que cualquiera, con algo de conocimientos, puede hacerse pasar por nosotros solo compartiendo una red WiFi. Lo peor de todo es que Eric Butler hizo un plugin para Firefox que automatiza todo el proceso, y que brinda a cualquiera la posibilidad de obtener los datos de acceso de  una cuenta de Facebook.

Facebook y muchos otros  cometen este error, en cambio Gmail hace tiempo permitió optar por usar HTTPS todo el tiempo, justamente para evitar este problema.
Pero Eric Butler presento el plugin Firesheep en el ToorCon (una conferencia Hacker en San Diego, Estados Unidos) para demostrar lo frágil que es nuestra seguridad en la red. Lo único que hace falta es instalar el plugin, conectarse a una red WiFi y esperar que algún pajarito use la misma red para conectarse a Facebook.

No vamos a dar más datos para que no se transforme en cotidiano que cualquier niño nos robe la cuenta de Facebook. Pero queremos informarlo para que sepamos que no deberíamos usar servicios que no sean estrictamente HTTPS cuando usamos un WiFI público.

                                           Firesheep recien instalado

                                          Firesheep comenzando la captura de datos

                 Una vez capturado los datos, el atacante se hace pasar por otra persona

Firesheep es gratuito, open source, y funciona en todo sistema donde funcione Firefox. En Windows hace falta tener instaladas las librerías Winpcap para capturar el tráfico WiFi.

Exploit 0-day de Winamp abre una puerta trasera en la Pc

La empresa AV BitDefender informa de una  vulnerabilidad crítica que afecta al reproductor de música Winamp® 5.x. El arma utilizada por los ciber-delincuentes es un archivo con formato MTM modificado - un formato de archivo de audio similar a MOD y MIDI - distribuidos como adjuntos de correo electrónico, o a través de redes sociales y redes peer-to-peer. 

 

Su objetivo es atraer a usuarios para que descarguen este archivo y lo ejecuten en su reproductor de música. A partir de ese momento es necesario un poco de ingeniería social, puesto que para que el código malicioso actúe, es necesario que el archivo se reproduzca en Winamp. Esta es la acción que pone al exploit contenido en el archivo MTM corrupto en movimiento.

Tan pronto como el usuario abre el archivo, el exploit inicia un servicio de “backdoor” o puerta trasera a través del puerto 4444 que lo pone en condiciones de conectarse con el mundo exterior. El puerto abierto es utilizado para tomar acceso remoto al equipo infectado con los mismos privilegios que la persona que ejecutó el archivo en Winamp.

En el siguiente video, se  puede observar cómo se abre el puerto 4444 después de que el usuario haya visto la información del archivo.

 

Para mantenerse a salvo de este tipo de amenazas, se recomienda descargar los archivos de repositorios de confianza, y nunca realizar ninguna acción en el equipo solicitada o sugerida por personas que no se conocen o no son de confianza.

CAPTCHAS en forma de videos

Todos sabemos que a la hora de querer realizar algún comentario en alguna pagina, debemos introducir un código denominado CAPTCHA, el cual es utilizado como medida de seguridad el cual pretende distinguir entre las personas y los sistemas automatizados, los cuales buscan impedir el spam o registros automáticos de cuentas de correos. Para ello, utiliza una caja con un conjunto de letras que los humanos debe decodificar, o bien mediante algún calculo matemático.

Cuando se presentó CAPTCHA por primera vez, era difícil que los sistemas OCR pudieran romper este sistema de seguridad. Sin embargo, en los últimos años, las cosas han cambiado y CAPTCHA es mucho menos efectivo.

Con el fin de eliminar los programas que resuelven los CAPTCHAs, los puzles han sido desarrollados de modo que son mucho más difíciles de resolver. Tan es así, que muchos de ellos son prácticamente ilegibles por los seres humanos.

Mirando la Web de IDG, me encuentro con la noticia de una empresa “NuCaptcha”, la cual desarrolla unos nuevos CAPTCHAs, que en lugar de ofrecer una caja estática con texto, el sistema ofrece el texto como si se tratara de un banner dentro de un vídeo. El movimiento del texto elimina automáticamente al software que resuelve CAPTCHA. El texto tampoco necesita ser oscurecido tanto, de modo que es mucho más sencillo para la gente leerlo y mantener así a los usuarios en la página Web. 

NuCaptcha cuenta con un sistema de inteligencia del comportamiento que graba cómo un usuario o un programa de software interactúa con el CAPTCHA. Si la página web está siendo atacada, como cuando se resuelven 1.000 CAPTCHAs seguidos, lo siguiente que necesita ser leído acelera su velocidad, las letras se juntan para superponerse entre ellas, se pueden insertar diferentes fuentes y el color del texto puede modificarse. Todo eso, entre otras técnicas que también pueden ponerse en marcha.

En junio, NuCaptcha lanzó una versión gratuita del producto que permitía a las páginas web utilizarlo por menos de 24.000 CAPTCHAS al mes. El sistema está siendo utilizado en unas 3.500 páginas Web. Además, existe un plugin para el servicio de blogging WordPress de NuCaptcha.

Para los que quieran implementar este sistema en sus páginas o blog, pueden hacerlo desde el siguiente enlace.

Cómo hacer para que Facebook no afecte tu trabajo

Fotos fiesteras, tests poco serios o fanatismos vergonzantes. Todo puede ser usado en tu contra al aplicar a un empleo. Una tendencia cada vez mayor por parte de las empresas a la hora de contratar a un personal, la de ver su vida en línea.

Después de dos entrevistas perfectas para un cargo gerencial en una empresa de turismo, no lo llamaron más. Inexplicable. Si hasta le habían presentado a sus compañeros de área. Niveles de paranoia al margen, la persona en cuestión nunca imaginó que no le darían el puesto por culpa de su Facebook. Sí, su perfil lo hundió. La consultora de Recursos Humanos que se ocupa de la selección de puestos jerárquicos para esta empresa de turismo hizo lo que hace desde hace un tiempo: revisar las redes sociales del candidato.
¿Qué se encontraron en este caso? Que la persona tenía muchos amigos en Moreno y que ese entorno denotaba una "ordinariez" que podría generar fricciones con su inmediato superior, un tipo de clase alta al que le gusta aparentar y estar rodeado de "cierto estatus". Así, tal cual, lo cuenta el head hunter que lo bajó y que pidió anonimato.

Las empresas lo niegan, las agencias de Recursos Humanos también ( "¡No, eso en nuestro país no pasa!" , le dijo a este cronista la directora de una). Sin embargo, pymes y multinacionales están usando las redes sociales para la selección laboral. "Nosotros usamos las redes sociales para chequear aspectos personales, ya sea para un puesto bajo o alto. Miramos sus fotos, los grupos a los que se unió, sus contactos, fiestas a las que asistió… todo eso puede ser determinante para elegir a alguien", dice el head hunter y especialista en selección de empleados. Y ejemplifica con un caso que parece inverosímil para estos tiempos. El de alguien que se presentó para un cargo de supervisor en una fábrica y a quien su Facebook delator dio a entender, por los grupos a los que se había unido, que era gay. Lo tacharon: "No por discriminación, sino porque era un puesto para una industria complicada, con muchos monos que no lo iban a respetar", es la explicación.

Muchas personas deberían entender que Facebook no es el lugar más adecuado para publicar las fotos de la fiesta descontrolada o de la borrachera del fin de semana. Internet no es el lugar para exponer constantemente los quehaceres diarios de la vida privada, ya que un simple comentario o fotografía subida, pueden traer consecuencias a largo plazo, teniendo en cuenta  que todo lo que se publica en la Red nunca más desaparece.

Como ser el empleado ejemplar

- Configurar la privacidad de la cuenta.

- No aceptar a gente que no se conoce.

- No unirse porque sí a cualquier grupo.

- Desetiquetarse en fotos comprometedoras o directamente no permitir el etiquetamiento.

- No participar en ciertos tópicos –concursos, tests, pruebas– que puedan parecer poco profesionales.

- Quitar las fotos en las que se aparece en estados o situaciones inconvenientes.

- Evitar publicaciones en donde se habla mal de la empresa, los superiores o de algún compañero.

- Si el jefe quiere ser amigo en Facebook, proponerle que lo sea en una red más profesional, como  

  Linkedin.    

- Si ya se decidió aceptar al jefe, ser responsable con las publicaciones.

- Ocultar los textos que contactos publicaron en el muro y con los que no se comulga.

- Chequear si no se figura en la red con un usuario uno no armó. 

Visto en: segu-info

Licencias de Falsos Antivirus por medio de mensajes SMS

Al parecer el mercado de los falsos antivirus (rogues) va en caída en términos monetarios hablando, ya que la gente de Panda informa de una nueva modalidad para estafar a las víctimas de estos falsos antivirus mediante el envio de mensajes de texto SMS.

Esta es la versión traducida al inglés.

En vez de solicitar un pago mediante tarjeta de crédito para desinfectar el equipo de supuestos virus, solicitan el envió de SMS, los cuales son más baratos y no levantan  tantas sospechas como el pago  por medio de la tarjeta. Esta es la versión traducida al inglés.

Tras hacer clic en el botón de descarga, aparecen varias opciones a las que suscribirse (todas marcadas por defecto). A continuación se muestra un análisis falso, tras lo cual debes de indicar tu situación geográfica (por defecto Rusia). Una vez se selecciona 1 de los 4 proveedores de telefonía móvil que se indican, aparece un número de tarificación especial para el envío de un SMS junto con instrucciones para recibir el código de activación del producto. El coste del SMS de activación es de 300 rublos, unos 10 dólares USA
Si bien en este caso se trata de estafar a usuarios en Rusia, no va a tardar en aparecer esta modalidad en nuestra región.

¿Por qué atacan estos ciber-delincuentes a sus propios compatriotas cuando esto era algo que evitaban en el pasado?  La teoría es que ya no hacen tanto dinero como solían. Las empresas antivirus están mejorando las técnicas de detección de estas amenazas y cada vez más usuarios son conscientes del peligro, por lo que el número de víctimas disminuye y a los ciber-delincuentes cada vez les cuesta más obtener los beneficios que solían. El año pasado, se calcula que los ciber-delincuentes responsables del rogueware  obtuvieron hasta 34 millones de dólares en beneficios.

Aumentan los ataques que se aprovechan de vulnerabilidades en Java

Al parecer los productos de Adobe salieron del ojo de la tormenta con respecto a los problemas de vulnerabilidades, para dejarle el lugar a Java. Según un informe de Microsoft  publicado en la web de Ontinet,  es  impresionante el aumento que han tenido, desde mediados de verano, los ataques que se aprovechan de vulnerabilidades de Java. El número de ataques ha crecido de forma exponencial en los últimos meses, especialmente aquellos que aprovechan tres vulnerabilidades concretas. Estas son:

CVE-2008-5353
CVE-2009-3867
CVE-2010-0094

Todas ellas son vulnerabilidades multiplataforma y están solucionadas pero, a pesar de que Java es un software instalado en una gran cantidad de sistemas, la mayoría de usuarios ignora o hace muy poco caso a las actualizaciones existentes. Tampoco ayuda a solucionar esta situación el hecho de que el propio actualizador de Java, programado por defecto a actualizarse el día 14 de cada mes, algunas veces no reconozca la existencia de actualizaciones. Asimismo, al tratarse de un programa que se ejecuta en segundo plano, mucha gente no es consciente de su existencia, a diferencia de otras aplicaciones como Adobe Reader.

No obstante, a pesar de este alarmante crecimiento, salvo honrosas excepciones, este impresionante aumento en el aprovechamiento de vulnerabilidades de Java ha tenido poca repercusión  medíatica y, según comentan desde la propia Microsoft, es posible que a los proveedores de Internet (normalmente los primeros que dan la voz de alarma cuando aparecen nuevas formas de aprovechar vulnerabilidades) les cueste encontrar una solución eficaz a este problema, sobre todo por el impacto en el rendimiento del sistema de detección de intrusos del propio ISP.

Aunque el número de amenazas que se aprovechan de las vulnerabilidades del software de Java aun son pocas en comparación, por ejemplo, de aquellas familias de malware más detectadas por las firmas antivirus, el crecimiento exponencial de las mismas  alerta de que algo está mal y se recomienda revisar la versión de nuestro software de Java, bien usando el propio actualizador que incorpora o aplicaciones de terceros como Secunia Software Inspector.

Página falsa de Twitter inicia la descarga de malwares

Asi como en el caso de Facebook, en el que aparecen paginas con nombres similares al de la popular red, la red de microblogging Twitter tampoco se salva de este tipo de engaños:

En la web de spamloco, advierten de de una página fraudulenta de twitter que intenta propagar malwares, en donde al hacer clic se inicia la descarga de una actualización falsa de Java que infecta el equipo.

Copiar el diseño de Twitter para robar contraseñas o iniciar descargas maliciosas no es algo complicado, pero como lo comentan en Sunbelt no hay que molestarse en hacerlo cuando se pueden encontrar paquetes con todos los archivos necesarios, incluso con comentarios en las zonas del html que se deben editar:

Hay que Recordar que la página de Twitter no ofrece ninguna actualización o descarga y su URL es twitter.com, verifícala siempre antes de ingresar tu contraseña.

Phishing al Banco Bradesco

Hoy me encontré en mi buzón de correo, con uno de los tantos correos de phishing dirigidos a  Entidades Financieras de Brasil. En este caso se trata del Bradesco, en donde nos envían una notificación de que por motivos de seguridad  debemos actualizar nuestros datos, para lo cual nos proporcionan un link de acceso.

Una vez allí nos muestra una pantalla para introducir nuestros datos, con un falso teclado en pantalla para aparentar ser más seguro.

En el sitio donde  está montado este engaño, se puede ver los archivos utilizados para realizar la estafa, y entre ellos el siguiente archivo txt  llamado “Fake Bradesco” en el cual brinda las instrucciones de sobre como cometer el engaño, como si se tratase del tutorial de algún programa para los menos entendidos, pero que quieren cometer este tipo de delitos.

A las personas que reciban este tipo de correos, siempre deben recordar que las empresas financieras, nunca  les van a solicitar por mail que actualicen sus datos de acceso, sea por el motivo que sea. Y nunca deben ingresar a la página de su entidad Bancaria desde el link proporcionado en un correo, sino que deben tipearlo en la barra de direcciones de su navegador.

En México hay más de 330 mil computadoras zombi

De acuerdo a un informe de Microsoft, México figura entre los cinco países más infectados por los virus informáticos conocidos como bots, junto a EEUU, Corea del Sur, España y Brasil.

Los bots actúan en forma automática y silenciosa controlando la computadora en la que se encuentran alojados e integrándola a una red de máquinas (botnet) desde la cual se lanzan ataques contra otros ordenadores o se inician campañas de spam.
Estados Unidos encabeza la lista de los países más afectados con más de 2 millones de computadoras infectadas, seguido de Brasil con más de 500 mil, España con más de 380 mil infecciones y México con más de 330 mil computadoras atacadas.
Sin embargo, como informa el portal de la BBC, si lo que se mide es la proporción de virus bot por cada 1.000 computadoras, entonces México escala a la tercera posición y España a la segunda, detrás de Corea del Sur.

En territorio mexicano hay 11.4 máquinas atacadas por cada millar de ordenadores y en España 12.4 por cada mil, mientras que en Corea del Sur la tasa es de 14.6 infecciones por cada 1.000 dispositivos. Las estadísticas fueron recopiladas por Microsoft tras recibir información voluntaria de 600 millones de computadoras en el mundo y según Cliff Evans, director de seguridad e identidad de Microsoft en el Reino Unido, “la mayoría de las personas creen que un virus se anuncia, pero poca gente conoce acerca de botnet“.

El gigante del software también señaló que en el segundo trimestre del 2010 se detectaron más de 6.5 millones de bots instalados en computadoras en todo el mundo, por lo que la firma recomienda utilizar programas antivirus y actualizar constantemente el sistema operativo.

Visto en: redusers

Los mineros chilenos se propagan como malware… ¡en Brasil!

Sebastián Bortnik del laboratorio de Eset para Latinoamérica, nos muestra como los atacantes están atentos a los temas más importantes de la actualidad para propagar sus ataques, y en esta oportunidad no ha sido diferente. 

 

El día de ayer, si hubiera que destacar una noticia que circuló por Latinoamérica (y el mundo también) ha sido el rescate de los mineros chilenos, que estuvieron atrapados bajo tierra más de 60 días y que lograron ser liberados con vida a través de un operativo que duró un día completo. Y mientras todo el mundo habla y consume la noticia, los atacantes preparan sus estrategias de propagación para llegar a los usuarios con nuevas variantes de malware.

Lo curioso de esta oportunidad, es que no sólo aparecieron ataques en idioma español, sino también por la cercanía de Brasil con Chile, hemos encontrado correos electrónicos en portugués propagando malware y utilizando el incidente de los mineros como estrategia de Ingeniería Social:

Como pueden ver en la imagen, el correo posee simplemente un asunto llamativo (en español, “Rescate de los mineros en Chile – Tragedia inesperada, vea el video“) que intenta insinuar el fracaso de la operación de rescate, y el cuerpo del correo electrónico posee simplemente un enlace. Si el usuario visita el enlace, se ofrecerá la descarga de un archivo de extensión COM que es detectado por ESET NOD32 Antivirus como Win32/TrojanDownloader.Banload.PNA, una variante de un troyano bancario orientado a usuarios de Brasil.
Hemos recibido gran cantidad de estos correos en las últimas horas, y el ataque está en plena propagación en el día de la fecha:

Es interesante ver cómo Latinoamérica representa una región de amplio contacto donde los atacantes pueden aprovechar los sucesos en países vecinos o cercanos para propagar sus amenazas, incluso aunque se trate de idiomas distintos.

Evolución del Malware y del Fraude en los juegos en línea

Cualquiera que sea el tipo de juego que se quiera tomar como ejemplo: de cartas, de mesa, de policías y ladrones, los intentos de engaños serán tan antiguos como el juego mismo. El espíritu competitivo mueve a los jugadores a romper las reglas para ganar ventajas ilícitas y, en definitiva, ganar el juego.

¿Por qué los juegos electrónicos iban a ser la excepción a la regla? Las así llamadas "trampas" se usan en todo tipo de juegos para que los jugadores impacientes o menos hábiles ganen con mayor rapidez o con mayor posibilidad de éxito. Godmode (que garantiza las inmortalidad de un personaje) o la trampa para First Person Shooter, que ofrece todas las armas junto a ilimitadas municiones, son ejemplos legendarios de engaños. 

Desde que el acceso económico a Internet se ha generalizado, los juegos en línea en los que el jugador asume el papel de un personaje (MMORPGS las siglas en inglés para los juegos masivos en línea de múltiples jugadores que asumen personajes) lideran este sector en términos de duración y profundidad del juego ofrecido. En estos juegos, el jugador crea sus propios personajes dentro de un mundo de fantasía virtual y junto a otros jugadores de todo el mundo puede enfrentarse a todo tipo de oponentes.

Continuar leyendo el artículo completo en Viruslist

Monitorizar cambios en Windows con Patriot NG

Patriot NG es una herramienta de tipo 'Host IDS' que permite monitorizar en tiempo real cambios en sistemas Windows. Una vez instalado, podemos acceder a su configuración dirigiéndonos a la barra tray donde se encuentra su icono de acceso para activar o desactivar las opciones que queramos.

 Patriot monitoriza:
•    Claves del registro: Indicando si alguna key sensible (autorun, configuración Internet Explorer ...) es            alterada
•    Ficheros en los directorios 'Startup'
•    Nuevos usuarios creados en el sistema
•    Nuevos servicios
•    Cambios en el fichero Host
•    Nuevos trabajos en el 'Task Scheduler' de Windows
•    Alteración de la integridad de Internet Explorer (Nuevos BHOs, cámbios en la configuración ..)
•    Monitorización de la tabla ARP del sistema (prevención de ataques MITM)
•    Nuevos Drivers cargados en el sistema
•    Nuevos recursos compartidos NetBios
•    Protección TCP/IP (Nuevos puertos abiertos, nuevas conexiones realizadas por procesos, detección de
      PortScans ...)
•    Monitorización de directorios críticos del sistema (Nuevos ejecutables, nuevas DLLs ...)
•    Creación de ventanas ocultas (cmd.exe / Internet Explorer mediante objetos OLE)
•    Conexiones al sistema por NetBios a recursos compartidos

En estos momentos, lo estoy probando en mi notebook, y tengo que decir que me resulto bastante útil, aunque en un momento me dejo con los pelos de punta cuando actualice Java y varias veces me advirtió sobre los cambios en las claves del registro de Windows, y hasta cuando quise levantar la imagen para este post me advirtio sobre el acceso de la ip de blogger a mi pc. Pero bien lo vale con todo lo que monitoriza y los posibles dolores de cabeza que podemos llegar a evitarnos.

Para los que quieran probarlo, desde el siguiente enlace pueden descargarlo.

Correos con supuestos mensajes sms de voz

Desde el laboratorio de Ontinet, alertan de un peligroso troyano bancario, de la escuela brasileña, que se está empezando a propagar mediante correo electrónico. Este correo electrónico, enviado supuestamente desde Terra, aunque realmente viene remitido desde un correo con dominio pureserver.info, parece un inocente correo donde se nos invita a escuchar un mensaje:

Al hacer clic en cualquiera de los enlaces mostrados, se  descarga el archivo mensajemp3.exe, que aparece con el icono de una imagen jpg.

El archivo es un troyano de tipo Win32/TrojanDownloader.Banload.PNF, la variante Banload. Esta variante se encuentra alojada en un servidor de una página brasileña, que aparentemente es una empresa de energía legítima que puede haber tenido algún problema de seguridad en sus servidores

Ver archivos o carpetas ocultos creados por los virus

Leyendo hoy la Web de Bloginformatico, me encontré con un articulo un poco viejito, pero muy interesante para tenerlo en cuenta en el caso de que  tengamos problemas con algún Malware.

Para nadie es un secreto que muchos virus ocultan  archivos, carpetas y subcarpetas, para de esa manera imposibilitarle al usuario, su eliminación y el acceso a su información. Y es aquí donde  entra en juego este pequeño truco, que como lo dije anteriormente, es viejito pero vale la pena tenerlo a consideración.

Lo que haremos será crear un archivo BAT con una simple línea de código que cumple con la función de atribuir a los archivos los parámetros de  no oculto, o mejor dicho, que se muestre.
En primer lugar, abrimos Notepad (Bloc de notas) desde: Menú de Inicio, Accesorios, Bloc de Notas; o en el Menú de Inicio, Ejecutar y escribimos “notepad”. Allí, escribiremos lo siguiente:

attrib -h -r -s /s /d
Seguidamente, guardaremos ese archivo con extensión “.bat”, como muestro a continuación:

Cuando detectemos que en nuestra Pc existe algún archivo o carpeta oculta, lo que haremos básicamente será ejecutar este archivo, para que el mismo vuelva  a mostrar dichos archivos o carpetas.
A continuación, una demostración de cómo funcionaría el truco. Creamos tres archivos, donde el primero, y el tercero, están ocultos; el cuarto archivo, evidentemente, es el que he creado (el BAT). Ese es el archivo que debemos ejecutar para mostrar los ficheros de los que están ocultos; después, podemos ver los archivos sin problema.

Imagen 1: Dos archivos ocultos

Cuando se  presiona en ese archivo mostrar.bat una pantalla de consola MS-DOS va a ejecutarse, momento en el cual verás el proceso de atribución de los parámetros y claro está que el tiempo que dura esta ventana abierta dependerá de la cantidad de archivos que tiene la carpeta que estamos operando. Aclaro que este procedimiento se aplica a todos los ficheros.

Imagen 2: Después de ejecutar “mostrar”

Hay que aclarar, que muchos virus, al estar residentes en memoria enseguida vuelven a ocultar los archivos o carpetas una vez que detectan el cambio que acabamos de realizar en los atributos de los mismos. Así que esto sería ideal aplicarlo una vez que matamos el proceso del Malware o lo eliminamos, ya que muchas veces suele quedar algún archivo oculto por algún lado.
Y por último, existen varias herramientas que hacen esto de manera automática, pero que mejor que hacerlo por nuestra cuenta y  lucirse frente a los amigos en el caso de los que son técnicos.

Troyano obliga a Firefox a copiar las contraseñas almacenadas

Se ha detectado un troyano informático que guarda de forma automática las contraseñas que escriben los usuarios mientras usan Mozilla Firefox.

El navegador Firefox, el segundo más popular entre los internautas, tiene incorporado un sistema para recordar contraseñas: el navegador ofrece guardar la contraseña del usuario cada vez que escribe sus datos para ingresar a alguna cuenta personal, ya sea de correo electrónico, redes sociales, etc.

Si el usuario acepta, Firefox guarda su contraseña y el internauta no tiene que volver a escribirla hasta que decida cambiarla, entonces el mensaje aparecerá otra vez de forma automática.
Esta característica es muy atractiva para muchos cibercriminales, que crean virus que penetran en la sección de almacenamiento de contraseñas y las extraen para ponerlas en manos de sus dueños.

Esta vez se ha detectado un programa malicioso que también aprovecha esta característica, pero de otra manera: el programa altera el código del archivo nsLoginManagerPrompter.js, que se encarga de dirigir esta característica. Esto permite que el troyano guarde de forma directa y automática, sin consultar con el usuario, todas las contraseñas que se escriben para ingresar a cuentas personales en Internet y las envíe al servidor de comando y control dirigido por el cibercriminal.

“El troyano keylogger se copia al directorio System32 en un archivo llamado Kernel.exe; allí deja y registra un viejo, benigno y despreciado control Active X llamado Microsoft Internet Transfer Control DLL, o msinet.ocx, que utiliza para comunicarse con su servidor de comando y control; después crea una nueva cuenta de usuario (nombre de usuario: Maestro) en el sistema infectado”, explicó Andrew Brandt, analista de Webroot, la empresa de seguridad que alertó sobre el problema.
La pagina a la que se envían los datos, está dada de baja, pero el creador del troyano envía los datos a su dirección de correo electrónico  salixem@gmail.com.

Como recomendación, hay que actualizar a la última versión el navegador utilizado, y darle sobre la opción para que no recuerde las contraseñas introducidas en las páginas. En el caso que ya tengamos esto activado, podemos deshabilitarlo, dirigiéndonos  al menú HERRAMIENTAS--OPCIONES, pestaña SEGURIDAD.

Fuente: Viruslist
            Pc World
            Infosecurity Magazine
            Help Net Security

Microsoft libera actualizaciones para solucionar 49 vulnerabilidades

Como todos los segundos martes de cada mes, Microsoft distribuye sus parches para solucionar vulnerabilidades en sus productos. Pero la novedad este mes, es que nunca antes habían publicado 49 parches de forma simultánea como lo va a realizar hoy martes 12 de Octubre.

Lanzara 16 parches para un total de 49 vulnerabilidades que afectan a Windows, Internet Explorer, Office y el entorno de trabajo .Net.

Dichas actualizaciones de seguridad afectan a Windows XP, Vista, Windows 7, Windows Server 2003 y 2008, Microsoft Office XP Service Pack 3, Office 2003 Service Pack 3, Office 2007 Service Pack 2, Office 2010, Office 2004 para Mac y 2008 para Mac, Windows SharePoint Services 3.0, SharePoint Server 2007, Groove Server 2010 y Office Web Apps.

De todas las actualizaciones,  cuatro de las vulnerabilidades son descritas como “críticas”, 10 como “importantes”, y 2 como “moderadas”, mientras que el resto tiene carácter de “menos importante”.
Por el momento éste es el mayor número de vulnerabilidades que Microsoft pretende solucionar en una actualización, superando la marca anterior de la actualización de agosto, donde se solucionaron un total de 34 fallos, así que a estar atentos a las notificaciones de nuevas actualizaciones disponibles para ser instaladas.

¿A qué temen los internautas españoles?

¿Cuáles son las principales preocupaciones de los internautas españoles en lo que a seguridad se refiere? Según el último estudio del Instituto Nacional de Estadística (INE), lo que más miedo da son los virus. Eso sí, la mayoría sabe cómo protegerse de los mismos.
Así, y según el Instituto Nacional de Estadística (INE), la principal preocupación de los internautas españoles es contagiarse por un virus u otra infección informática, que preocupa (mucho ó relativamente) al 72,5 por ciento de los usuarios. Y es que el 33 por ciento de estos ha manifestado que ya ha tenido algún percance de este tipo en los últimos doce meses.

En segundo lugar, en cuanto a nivel de preocupación, se sitúa el acceso de los niños a páginas web inapropiadas o su contacto con personas potencialmente peligrosas (62,6 por ciento). Sin embargo, este problema sólo lo experimentó un 1,7  por ciento de los usuarios de Internet en el último año, “lo que viene a confirmar el elevado nivel de sensibilización social respecto a esta materia”, destaca el INE.

El  spam ha molestado al 59,3 por ciento de los internautas, y, a pesar de esta cifra, este hecho sólo preocupa al 49,7 por ciento.

Otras situaciones que preocupan son los abusos sobre la información personal enviada por Internet (61,2 por ciento), las perdidas económicas debidas a mensajes fraudulentos (56 por ciento) o al uso fraudulento de tarjetas de crédito ó debito (58,2 por ciento) muestran niveles de preocupación muy superiores a los niveles reales de ocurrencia (6,6, 3,1 y 1,9 por ciento, respectivamente).

Fuente: Bárbara Madariaga
             idg.es

¿Donde estás lolisex? (Parte I)

El siguiente artículo, es una investigación que se está llevando a cabo en la actualidad, por lo que se trata de un caso real a partir de un correo electrónico de una red de pedófilos. 

La investigación lo lleva adelante un consultor de seguridad (Pedro Sánchez)  realizando el rastreo de un correo electrónico, el cual lo llevo a una página en la cual intercambian material pornográfico de menores. 

 Después de leer esto, creo que muchos entenderán porque es tan importante educar a los niños en el uso adecuado de las TICs, de por qué los Padres deben tener un rol de seguimiento y acompañamiento en lo que respecta a las actividades de sus hijos en Internet, y de por qué las Instituciones Educativas también deben poner su granito de arena para que los menores no sigan siendo víctimas de este tipo de prácticas aberrantes.

Para  leer el artículo, ingresar al siguiente enlace.

Distribuía pornografía infantil en Internet bajo el nombre de un científico

Como si consumir y distribuir videos pornográficos de menores no fuera lo suficientemente aberrante, un pedófilo descubierto por la Policía Metropolitana dio un paso más: para moverse en Internet se puso como apodo “ Dr Salk ”, como Jonas Salk, el médico que descubrió una vacuna contra la poliomielitis, enfermedad que fue epidemia mundial a mediados del siglo XX y afectó principalmente a los niños.

Según trascendió ayer, se trata de un joven de 24 años, técnico en informática que intercambiaba material pedófilo tanto desde su casa, en la localidad bonaerense de Pablo Podestá, como desde su trabajo en una multinacional de computación de la Zona Norte del Conurbano.
“El jueves se allanó su casa y se descubrieron más de 700 videos de pornografía infantil en la computadora. Como hay pruebas de que los intercambiaba y colgaba en sitios web, quedó procesado por infracción al artículo 128 del Código Penal, que reprime el montaje y posterior administración de imágenes de menores de edad con contenidos sexuales”, explicaron fuentes de la Metropolitana.

Como este delito tiene penas bajas (de seis meses a cuatro años de prisión) es excarcelable. Y desde el año 2008 integra el paquete de delitos que pasaron de la Justicia Nacional a la Contravencional, que depende del Poder Judicial de la Ciudad de Buenos Aires.
Por eso, al menos hasta el momento, el caso es llevado por la Policía de Mauricio Macri. También porque el delito tiene una pena máxima de cuatro años es que la jueza Contravencional de Faltas N° 5, Maria Botana, decidió no ordenar la detención del sospechoso pero sí su identificación y el allanamiento de su casa.
La causa, en la que ya fue procesado, sigue aún en el ámbito de la Justicia Contravencional, pero si se comprueban las sospechas de que algunos videos secuestrados fueron producidos en el país, el caso podría pasar a la Justicia Nacional.

De acuerdo a la información difundida ayer por la Policía Metropolitana, en varios de los videos encontrados en la computadora del imputado se ven nenas que, por su forma de hablar parecen argentinas. Uno de ellos –titulado “chupándola en un 147”– muestra a una nena que habla como argentina y está adentro de un Fiat 147, de fabricación nacional.

La investigación del caso comenzó cuando desde la División de Investigaciones Telemáticas de la Policía Metropolitana se detectó en una página web que un usuario identificado como “Dr Salk” subía fotos y videos pornográficos con menores.
Así, con la ayuda de Microsoft, se llegó a ubicar al usuario detrás del nombre clave. Durante la investigación se determinó que el joven pedófilo se manejaba en la red a través de varios frentes.
Por un lado administraba un blog (siempre como “ Dr Salk ”) en el que había 25 videos y 400 imágenes sexuales en las que hay nenas de entre 9 y 16 años . También hacía intercambios de material.

Además se detectó su presencia en la red social Facebook. Usando el alias de “ Lukas Dr Salk ” logró hacerse “amigo” de 70 chicas de entre 13 y 19 años . Hasta se jactaba del material que tenía a través de una casilla de mail en la que se identificaba como patan. 009

Fuente: Clarin