Como prevenir ser parte de una Botnet

Desde hace unos días atrás se viene hablando y mucho sobre las Botnet o redes zombis, a causa de una que se dio en llamar Kneber .La misma fue detectada por la empresa NetWitness, y aparentemente posee una red de zombis constituida por 75.000 equipos, incluyendo sistemas de entidades gubernamentales y compañías importantes de todo el mundo, incluyendo a nuestro país.
Poco después se supo que no era otra cosa que Zeus, una de las red zombis mas grande que tenemos en la actualidad, la cual es creada por el troyano del mismo nombre y de aparente origen Ruso.

Haciendo un pequeño repaso, las botnet son redes de computadoras, que se encuentran distribuidas alrededor del mundo controlados remotamente sin que sus dueños estén al tanto del mismo. Botnet es un término con el que se refiere a los “bots” o “software robots” que se ejecutan de manera autónoma, de manera que el “creador” de la botnet,  (“herder”) puede controlar todos los equipos (PC’s, laptops, servidores, routers) y redes que se encuentren infectados, teniendo incluso acceso a contraseñas, información privada y mucho más. Los equipos infectados quedan actuando como “zombies” y de allí el nombre con el que también se les conoce a estas redes infectadas.
Como para hacerse una idea de lo grandes que son, el número de computadoras en EE UU solamente, infectadas con Zeus se estimó hace unos meses atrás en 3.6 millones de computadoras por la compañía de seguridad Damballa.

En este enlace pueden descargar  un PDF con información mas completa y ampliada respecto de estas redes, elaborado por la gente de arCERT.

Formas en la que podemos pasar a ser parte de estas redes:

Las formas mas habituales son al descargar software pirateado (por torrents,  redes P2P  o de sitios webs “no oficiales”), los cuales generalmente viene con un “crack” que puede tener un troyano o virus camuflado en su interior.

No tener  instalado los últimos parches de seguridad del navegador, del S.O. y de las aplicaciones que más se utilizan en la Pc y que al visitar páginas Web diseñadas para buscar automáticamente vulnerabilidades de software y fallos de seguridad, son infectadas con algún tipo de malware.

Por medio del correo electrónico, en el cual viene algún enlace para descargar alguna aplicación, archivo o tarjetas virtuales, etc.

No contar con una buena solución antivirus, o tenerlo desactualizado, que es casi lo mismo que no tenerlo.

Como prevenir:

Para empezar hay que aclarar que no hay una sola manera o forma de prevención, sino que es un conjunto de técnicas o prácticas que hay que llevar a cabo para impedir que nuestro equipo sea uno más del montón.

Hay que utilizar software de seguridad actualizado en el equipo, principalmente antivirus y cortafuegos (firewall). Hay opciones pagas y otras gratuitas muy buenas como el antivirus Avast en su versión 5 y el firewall Pctools, también gratuito.

Mantener todas las aplicaciones que utilizamos actualizadas, parte de la actuación de este malware se hace a través de vulnerabilidades del software mas habitual –Flash, pdf-doc, etc.

Utilizar algún programa antispyware, para limpiar nuestra Pc de estas aplicaciones indeseadas. Hay opciones muy buenas como el Malwarebytes, o el Spybot.

Complementos para los navegadores, los cuales nos avisan si una página a la cual estamos por ingresar tiene presencia de Spyware, spam o timos. El que mas recomiendo es el McAfee SiteAdvisor, pero también están el Norton SafeWeb o WOT de Panda, entre otros.

Y por ultimo el más importante de los consejos, ya que si por mas que llevemos a cabo todo lo anterior, si no utilizamos el “sentido común” y desconfiamos del correo no solicitado (spam) y de los enlaces que hay en estos aunque provengan de fuentes de confianza, no hay medida que nos prevenga de que nuestra Pc sea parte de una botnet o que este infectada con algún Malware.

Fuente:

www.inteco.es
www. reparatupc.info
www.arcert.gov.ar
www.emezeta.com

Una Botnet lleva el nombre del actor "Chuck Norris"

La seguridad del ordenador es algo que debe ser vigilado muy de cerca, ya que un simple descuido puede provocar una infección muy grande en el sistema, y tanto el tiempo como el esfuerzo consumido para quitarla es algo no todos los usuarios se pueden dar el lujo de gastar. Sin embargo, hay otro aspecto muy importante en la seguridad de un sistema que son lo router. Estos son dispositivo que usualmente son utilizados para proveer de acceso a Internet a varios ordenadores con sólo una conexión física disponible. Por el lado de los routers inalámbricos, estos convierten una señal estándar de Internet en inalámbrica, ahorrando el inconveniente de cables adicionales para notebooks u otros dispositivos móviles. Cumplen un rol muy importante a la hora de permitir el acceso a la red, pero como suele suceder en la gran mayoría de los casos, su configuración de seguridad es muy pobre.

Una nueva botnet bautizada nada menos que como Chuck Norris, aprovecha estas fallas de seguridad, atacando directamente al router. Algunas de las contraseñas típicas en un router suelen ser "admin" o la temeraria e irresponsable "1234", las cuales difícilmente son cambiadas una vez que toda la configuración interna del router es funcional. De poco sirve proteger una red inalámbrica con WEP o WPA2 si una contraseña tan evidente permite un acceso de administrador a la configuración del router. La botnet también es capaz de atacar módems ADSL, por lo que sus blancos no se limitan a routers. Además de una contraseña pobre, muchos de estos dispositivos están configurados por defecto para otorgar acceso remoto, lo que hace aun mas faciles las cosas para los atacantes.

La botnet tiene un especial gusto a la hora de atacar dispositivos basados en la arquitectura MIPS que ejecuten a Linux como base para su sistema de configuración (nuevamente se cae el mito de que el software libre no tiene problemas de seguridad). También aprovecha una vulnerabilidad conocida en hardware de la marca D-Link, y como si fuera poco, es posible que también pueda afectar a algunos sistemas de TV satelital. Entre sus efectos, Chuck Norris puede cambiar la configuración de DNS en el router, y enviar a los usuarios a páginas con código malicioso, al mismo tiempo que busca a otros ordenadores en la red que posean vulnerabilidades. 

Hace algún tiempo atrás había publicado un articulo sobre el gusano Psybot el cual atacaba routers o ADSL con software libre por medio de ataques de fuerza bruta a las contraseñas débiles que tienen dichos dispositivos, o por medio de vulnerabilidades existentes en los mismos, tomando control de ellos remotamente, robando información sensible que pasa por los mismo o haciéndolo parte de una Botnet para enviar Spam o realizar ataques de denegación de servicio.

Pero volviendo a la botnet Chuck Norris, esta reside en la RAM presente en los routers  por lo que una simple solución para quitarlo es pulsar el botón de Reset en el router. Sin embargo, los pasos adecuados consisten en configurar al router con una contraseña especialmente fuerte (tanto o más incluso que la del ordenador mismo), desactivar las funciones de acceso remoto o configurarlo para que se desactive dicha funcion al tercer intento fallido de login. Y en el caso de estar disponibles, descargar e instalar las actualizaciones de firmware que el fabricante del router publique en la red.

Fuente: Neoteo

Virus de la "Doble Tilde"

 Hace unos días atrás, me llaman de un estudio local por un problema que tenían en su Office, el cual en todas las vocales que llevaban acento, les colocaba una doble tilde y sin la letra debajo.
Primero pensé que se trataba de algún virus “jokes” (broma) o de alguna macro, pero al ver los registros de conexión de la pc me encontré con procesos pocos comunes (sospechosos) los cuales hacían varios intentos de conexión a paginas que la persona dueña de la pc nunca había ingresado.

Descartado entonces la suposición anterior, buscando en Internet me encontré de que no se trataba solo de un virus molesto, sino de un Malware que circula desde el 2007, y que en sus nuevas variantes utiliza técnicas de Rootkits para escabullirse en el sistema y hacer así más difícil su deteccion y correcta eliminación, y que reúne conjuntos de Troyanos con comportamientos de  Keylogger y Downloader.
Al malware en cuestión se lo  conoce popularmente como virus "Doble Tilde" o "Doble Acento", esto es así por  que si queremos escribir la palabra “camión” nos saldrá  “cami´´on”. Esto es el efecto visual que posee, pero como informan en InfoSpyware en su interior esconde otras funciones como las siguientes:

•  Utiliza técnicas de Keylogger para captar y guardar todo lo que se teclea en un equipo infectado. (es un error en este que genera los dobles tildes)

•  Utiliza técnicas de Downloader buscando y descargando otros malwares de otro tipo con los que estos se encuentran afiliados.

•  Utiliza técnicas de Rootkits para ocultarse en el sistema y así evitar ser detectado y eliminado por las herramientas Antivirus tradicionales durante el mayor tiempo posible.

•  Monitorea todo el tráfico Web y captura la información introducida por el usuario en ciertas páginas Web como por ejemplo la pagina de nuestro banco para obtener el login y el pass de nuestras cuentas de correo, etc.

•  Elimina todas las cookies para que el usuario tenga que introducir los datos de acceso a las páginas que visita.

•  Envía toda la información recolectada de las maquinas infectadas con el nombre de la maquina a los creadores, para quien sabe el uso que puedan emplear con esto.

Los medios que utiliza este Malware para propagarse son:

•  Adjunto en emails spam.

•  Links de descargas disfrazados en emails spams.

•  Encubierto en archivos supuestamente legítimos en redes P2P.

•  Al visitar algún sitio Web infectado sin contar con la correcta protección en nuestro equipo.

Por suerte para los que tienen el equipo infectado con este Malware, desde InfoSpyware crearon una utilidad gratuita para eliminarlo llamada  DT-Kill by InfoSpyware (Doble Tilde Kill) la cual se encuentra para su descarga desde el foro.

Pasos a seguir para desinfectar la pc:

1.    Desactiva temporalmente el Antivirus y/o Antispyware.
2.    Ejecute DT-Kill.exe
3.    El proceso de desinfección iniciara.
4.    El ordenador se reiniciara, para completar el proceso de limpieza (Solo si la infección esta presente)
5.    Al termino del análisis, saltara en un bloc de notas las acciones tomadas por DT-Kill.exe

DT-Kill.exe, genera un reporte, el cual se encuentra generalmente en C:\R_TKill.txt
Luego recomiendan correr CCleaner para limpiar las cookies y el registro de Windows y reiniciar la pc. Por supuesto hay que tener un buen antivirus con las firmas y el motor actualizado.

Nota: para descargar DT-Kill hay que estar registrado en la Web de InfoSpyware, lo cual lo pueden hacer desde aca.

Engañan a una joven por Internet y la violan

Una joven de 17 años que habría sido engañada por Internet por un hombre que le había prometido convertirla en modelo de un catálogo fue violada, aparentemente delante de su madre, en un descampado. La Policía detuvo en la madrugada de hoy al supuesto autor del hecho, que fue imputado por presunto abuso sexual con acceso carnal agravado.

La adolescente habría arribado a Río Tercero hace un par de semanas, para conocer a su amigo internauta que le habría ofrecido empleo, en una campaña publicitaria por catálogo de una empresa de joyas. 

Así fue como la chica viajó a Río Tercero acompañada por su madre. Ambas cayeron en la emboscada, ya que fueron reducidas con unas tijeras en un descampado ubicado en el acceso oeste de la ciudad  donde la joven habría sido abusada. Tambien se supo que la madre estubo presente mientras su hija era violada.

Fuente: lavoz

La batalla de los troyanos (SpyEye vs Zeus)

Una de las peores cosas que le puede pasar a un ordenador es terminar infectado por un virus troyano. La idea de que un programa malicioso se haga pasar por otra cosa más benigna para tomar control total de un ordenador es algo que ya está muy arraigado en el universo del malware. Sin embargo, algo que no se contempla muy seguido es la competencia entre los troyanos. Una nueva versión del reciente kit de creación de malware conocido como SpyEye ahora incluye una opción para quitar de los ordenadores a un kit rival, llamado Zeus, algo que podría desencadenar en una guerra de troyanos por el control de ordenadores infectados.

Los objetivos que puede tener un virus troyano son muchos, pero en la gran mayoría de los casos todo se reduce a obtener dinero ilegalmente. Suelen atacar al ordenador de diferentes formas, buscando datos que puedan ser aprovechados para acceder a cuentas bancarias y otras clases de depósitos. Gracias a la pericia de los nuevos cibercriminales, es posible crear troyanos a partir de kits automatizados que aceleran y simplifican el proceso. Uno de estos kits es el llamado SpyEye. Aún no hay un gran nivel de actividad detectado en SpyEye, ya que es bastante reciente, pero su nueva versión cuenta con una opción que permite a los criminales eliminar la presencia de otro troyano mucho más esparcido, conocido como Zeus. El troyano Zeus roba información bancaria a través del keylogging, obteniendo los registros de todo lo que ingresó el usuario con el teclado. Algunas de sus víctimas han sido la NASA, Amazon y Oracle, y su botnet es una de las más grandes en existencia.

La presencia de Zeus es muy grande entre los troyanos, de allí el hecho de que SpyEye busque eliminar la presencia de Zeus entre los ordenadores infectados, para ocupar su lugar. A pesar de lo llamativo que es esto, no es la primera vez que sucede. El gusano conocido como Storm atacó de forma deliberada a los servidores de un oponente conocido como Srizbi, y un poco más en el pasado, el gusano llamado Netsky comenzó su ataque con insultos hacia los creadores de los virus Bagle y Mydoom, al punto de incluso quitar estas infecciones en versiones más avanzadas. En algunos casos sólo puede tratarse de una simple provocación, pero si tenemos en cuenta la envergadura de la botnet de Zeus, evidentemente SpyEye busca subir en la escala explotando los "logros" de la competencia.

Ya que se trata de una batalla de troyanos, no se espera que tengan en consideración detalles como la ética y la moral. Ambos troyanos tienen como función principal el asistir a criminales, y no debería sorprender que en el futuro el virus Zeus tome los recaudos suficientes como para evadir a SpyEye, y por qué no, contraatacar. El kit SpyEye se puede obtener en el mercado negro por unos 500 dólares, aproximadamente la quinta parte de lo que cuesta el kit Zeus. Hasta aquí, todo indica que SpyEye buscará devorar parte de la botnet que Zeus tiene bajo su control. Y los principales perjudicados serán, como siempre sucede, los usuarios.

Fuente: neoteo

Continua la propagación del Festa

En estos días se vio una nueva oleada de correos con el titulo “Essa festa foi o Máximo”. El mismo contiene imágenes y links para acceder a las fotografías, los mismos  son enlaces para descargar un ejecutable camuflado en un archivo de texto.

Dicho archivo contiene un troyano del tipo Banker, los cuales son empleados para robar datos de acceso de la Banca Online. Este tipo de fraudes viene desde Brasil, el cual es el país que mas desarrollado está en este tipo de servicios en Sudamérica, y al cual apuntan la gran mayoría de estos troyanos.

Soluciones de seguridad en el “ Día Internacional de la Internet Segura “

Con motivo del Día de la Internacional de la Internet segura, que se celebra el próximo 10 de febrero, BitDefender pone a disposición de los usuarios una serie de herramientas de seguridad gratuitas que pueden descargarse desde la siguiente dirección http://www.bitdefender.es/site/Products/showSolutions/6/

Además, todos los usuarios que adquieran, activen y registren ese día una solución de consumo de BitDefender 2010 (BitDefender Antivirus 2010, BitDefender Internet Security 2010 o BitDefender Total Security 2010) a través del canal o de la tienda online de la compañía, recibirán 3 meses adicionales gratuitos en su licencia, independientemente de la duración de los servicios de producto que adquieran (1, 2 ó 3 años) o del número de licencias de éste (1 ó 4 usuarios).

Entre las herramientas gratuitas que BitDefender pone a disposición de los usuarios se encuentran las siguientes:

• BitDefender Online Scanner: una efectiva herramienta de desinfección gratuita de malware a través de navegador web que incorpora   las premiadas tecnologías de análisis de BitDefender.

• BitDefender QuickScan: combina análisis local inteligente y “en la nube”, para crear una avanzada herramienta online que   detectará rápidamente las amenazas en memoria.

• BitDefender Chat Encryption: permite la comunicación entre usuarios de forma segura, vía Yahoo! Messenger o Windows Live   Messenger, mediante la encriptación de los mensajes instantáneos intercambiados con otro PC

• BitDefender Antiphishing Free Edition: ofrece protección en el navegador web frente a intentos de phishing, bloqueando páginas   web maliciosas utilizadas para sustraer datos de tarjetas de crédito u otro tipo de información de identificación personal.

Falsos Grupos y Aplicaciones en el Facebook

Desde que Facebook pasó a ser la Red de Redes y obtuvo un incremento exponencial de sus usuarios, florecieron junto a este crecimiento las aplicaciones de terceros y los grupos.
La mayoría de estos, son legítimos, diseñados por empresas o usuarios serios y responsables, los cuales viene a ser un complemento con el cual aprovechar mejor la experiencia y comunicación que brinda la Red. Pero también  en estos últimos tiempos, se vio un crecimiento alarmante de programas falsos, cuyo objetivo principal es obtener  la mayor cantidad posible de información de los usuarios.

Mucha de estos datos, se obtienen diseminando a través de estas aplicaciones algún tipo de malware, el cual infecta el equipo y envía datos de la persona al creador de dicha aplicación. Pero otras, no necesitan de algún Malware, sino que sin consentimiento de los usuarios acceden a su perfil, los que generalmente abundan en información sobre la persona.

La manera mas utilizada, es por medio de los grupos, en los cuales prometen revelarte quien te tiene sin admisión, quien te elimino, quienes visitaron sus perfiles, entre tantos otros. Los mismos solicitan que te hagas Fan e invites como mínimo a 50 contactos dentro de un determinado periodo de tiempo para que te manden el link, desde el cual podrás descargarte la aplicación que te revelara esta información.
Esto es muy similar a las cadenas, en las cuales solicitan que le reenvíes a todos tus contactos dicho mail, sino queres tener mala suerte, o que se te cancele tu cuenta, etc.

Como se puede observar en las imágenes de arriba, es impresionante la cantidad de personas que se unen a estos grupos, con la esperanza de obtener mas información de sus contactos, aun viendo en el muro de que todos los miembros se quejan de que no funciona y de que es todo mentira. Y si esto no fuera poco, muchos usuarios pensando que hicieron mal algún paso por que no recibieron nada, mandan sus correos personales al creador del grupo para que este les envíe la supuesta aplicación.

Aunque se hable mucho sobre la seguridad en la Redes Sociales y de los niveles de privacidad que hay que establecer en lo que se publica o en las fotos que se comparten, sigue de todas formas el aumento de grupos y aplicaciones dudosas, en las cuales caen principalmente los jóvenes. Hay que aclarar que unirse  estos grupos no siempre quiere decir que te infectes con algún virus o gusano, pero su creador se arma de una buena Base de Datos con información de cientos y miles de usuarios, a los cuales después puede enviar spam o Malware.