Virus porno utilizado para extorsionar

Publicado el 19/04/2010 por jbex

Trend Micro nos advierte de un nuevo troyano que está rondando por la Red que pretende mediante copias de juegos hentai, un cómic japonés de carácter pornográfico, estafar a los usuarios de redes P2P exigiendo una cantidad de dinero por vulneración de derechos de autor. Este malware se distribuye por el popular servicio de intercambio de archivos Winni que utilizan más de 200 millones de internautas en todo el mundo con el nombre de Kenzero.

Denominado Kenzero, este troyano japonés que ha detectado Trend Micro se instala en los equipos que usan el popular servicio de intercambio de archivos Winny y exige el pago de una cantidad económica para solucionar una supuesta violación de la ley de derechos de autor.

Su funcionamiento según nos comenta Rik Ferguson (Asesor de seguridad de Trend Micro), se basa en la captación de internautas que se bajan del programa P2P juegos de temática hentai, un cómic japonés pornográfico.

Una vez instalado el malware en el equipo del usuario, éste debe cumplimentar un formulario con sus datos personales, incluyendo su nombre completo, fecha de nacimiento, password del juego, dirección de email, dirección postal, sexo, ingresos anuales, nombre de la compañía y teléfono, entre otros datos, justificando que éstos son para realizar un mejor seguimiento.

Mientras el usuario está cumplimentando esta información, el malware está recopilando automáticamente otros detalles sobre el equipo de la víctima, como son la cuenta de usuario, el dominio, el nombre del equipo, información sobre la versión del sistema operativo, contenidos de la memoria, historial del uso de archivos y los favoritos de Internet Explorer. Asimismo, también captura pantallas de las páginas visitadas

Posteriormente lo que hace el troyano es publicar on-line algunas imágenes de las páginas visitadas con el nombre del usuario, para luego enviarle un e-mail exigiendo un pago con tarjeta de crédito con el fin de “resolver así la violación de la ley de derechos de autor”, tal y como aclara Ferguson, y proceder a retirar la página.

Según Trend Micro, hay una variante que esta afectando a usuarios de Europa. No obstante, lo mejor es extremar las precauciones y tener mucho cuidado con lo que nos bajamos en las redes de intercambio de archivos porque nos puede salir caro.

Publicado en InfoSpyware | Etiquetado , , | Deja un comentario

Vulnerabilidad 0-day en Java

Publicado el 10/04/2010 por jbex

Hace unas horas investigadores en seguridad encontraron una vulnerabilidad 0-day en la plataforma Java, que puede ejecutar código remoto desde cualquier navegador que tenga instalado el plugin de Java.

Para aquellos que no lo sepan, una vulnerabilidad 0-day es aquella que es descubierta antes que exista un parche para remediarla y, por lo tanto puede ser explotada sin existir controles específicos para la protección del usuario. Cuando una vulnerabilidad 0-day se hace masiva, su tasa de éxito puede ser muy elevada y puede ser aprovechada por gusanos (llamada wormeable vulnerability) para aumentar su propagación en miles de usuarios y aprovecharse de las ventajas que dan las redes interconectadas.

En esta oportunidad, el reporte en seclists.org informa que un problema en la validación de parámetros puede permitir a un atacante crear un sitio web que explote dicha vulnerabilidad, con unas pocas líneas de programación. Es decir, no es una vulnerabilidad difícil de explotar, lo cual agrava el descubrimiento y aumenta el riesgo para los usuarios.

Se ha comprobado que es posible explotar la vulnerabilidad en los sistemas operativos Microsoft Windows (desde la versión 2000 hasta la 7, inclusive) y Linux que tengan instalado el plugin Java SE Runtime Environment 6 Update 10 en adelante (la actual es el Update 19). MAC OS es la única plataforma desde donde no es posible explotar la vulnerabilidad.

¿Qué puede hacer el usuario? Por el momento recomendamos seguir dos pasos. En primer lugar, comprobar si son vulnerables. Para ello, pueden visitar los enlaces que dejo a continuación y verificar si en sus sistemas se ejecuta la calculadora de Windows (importante: el enlace es inofensivo, sólo es para probar si un sistema es o no vulnerable):

http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1

De nuevo: si al abrir el enlace NO  se abrió la calculadora, su sistema no es vulnerable, puede seguir navegando tranquilo (al menos respecto a esta vulnerabilidad). Si se abrió la calculadora, es recomendable pasar al segundo paso, aplicar un workaround, un procedimiento que permiten no exponerse a una vulnerabilidad.

A pesar de que Sun ya ha sido notificado, la empresa anunció que sacará un parche de seguridad pero que el mismo no será prioritario, y mientras tanto no existe una solución definitiva al problema. Para eso existen los workarounds través de modificaciones en el sistema que no son las más eficientes, pero que solucionan el problema temporalmente. Cuando aparezca el parche, es recomendable volver atrás los cambios del workaround y aplicar la actualización en la aplicación.

En esta oportunidad, el procedimiento para Microsoft Windows consiste en deshabilitar temporalmente un Killbit, tal como indica el siguiente procedimiento de Microsoft: Cómo impedir la ejecución de un control ActiveX en Internet Explorer. Para aquellos más exigentes, obviamente también es posible desinstalar Java del sistema para no ser vulnerables, aunque se perderá usabilidad del mismo.

Les recuerdo a los lectores que no es recomendable aplicar el workaround si no son vulnerables, así como es importante que lo apliquen a la brevedad si han comprobado ser vulnerables.

Ante este tipo de incidentes, donde el fabricante aún no posee un parche, es importante que los responsables de la seguridad en las redes estén al tanto para poder implementar procedimientos adecuados para prevenir inconvenientes mayores y no estar expuestos a estas amenazas, reforzando la importancia de complementar las tecnologías de seguridad con educación tanto del usuario final, como de los responsables de proveer la seguridad en los sistemas.

Sebastián Bortnik
Analista de Seguridad

Vía| ESET

Publicado en InfoSpyware | Etiquetado , , | Deja un comentario

Microsoft publicará 11 boletines el próximo martes

Publicado el 09/04/2010 por jbex

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 11 boletines de seguridad. Afectan a toda la gama del operativo Windows, Office y Exchange. Pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 25 vulnerabilidades (cinco de ellas reportadas por Hispasec) entre todos los boletines. Hace más de un año que no se publicaban actualizaciones para Exchange.

Si en marzo se publicaron solo dos boletines de seguridad dentro del ciclo habitual, más un tercero de emergencia dedicado a Internet Explorer que fue emitido poco después,, este mes Microsoft prevé publicar 11 el próximo 13 de abril. Se confirma la tendencia que últimamente sigue Microsoft, en la que un mes se publican entre dos y cuatro boletines y al siguiente ciclo suelen dispararse a más de diez.
Se consideran críticos cinco de ellos.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.
Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que por fin se corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre de 2009.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Vía| Hispasec

Publicado en InfoSpyware | Deja un comentario

Falsa aplicación de antivirus se propaga en Facebook

Publicado el 30/03/2010 por jbex

En Facebook hay aplicaciones de todo tipo, casi todas ellas dedicadas al entretenimiento de los usuarios. Pero así como hay aplicaciones inofensivas que hacen de Facebook un buen lugar para el ocio, también hay aplicaciones que pueden ser perjudiciales.

Una aplicación llamada Facebook Antivirus ha venido siendo instalada por ingenuos usuarios que creen que dicha aplicación realmente los protegerá contra el malware en la popular red social.

Como era de esperar, la aplicación no es más que un malware que utiliza imágenes de verdaderos antivirus para convencer a los desprevenidos usuarios. Mientras tanto, una vez infectado el perfil, el malware trabaja etiquetando las fotos con 20 de sus amigos y publica la foto en el muro. Los amigos reciben la notificación y contribuyen a que la infección se propague.

F-Secure ha publicado una serie de capturas de pantalla de Facebook Antivirus, mientras que TheFacebookInsider.com proporciona información que te ayudará a limpiar tus fotos y el muro si ya has sido víctima de la aplicación.

Aunque lo más seguro es que Facebook cierre la aplicación pronto, siempre ten cuidado de todo lo que instalas, en especial si eres un usuario con poca experiencia.

Vía| Download Squad

Publicado en InfoSpyware | Etiquetado , | 1 comentario

Nuevo malware sobrescribe las actualizaciones de Adobe

Publicado el 28/03/2010 por jbex

Es la primera vez que se ve un malware que se sobrescribe en lugar de enmascararse como un programa de actualización.

Por primera vez los investigadores de seguridad han localizado un tipo de software malicioso que sobrescribe las actualizaciones para otras aplicaciones, lo que podría suponer un riesgo a largo plazo para los usuarios.

El malware, que infecta a ordenadores de Windows, se sobrescribe como una actualización para los productos de Adobe y otros software como Java. Al menos es lo que afirma Nguyen Cong Cuong, un analista de Bach Khoa Internetwork Security (BKIS), compañía de seguridad de Vietnam, en su blog.

BKIS ha mostrado imágenes de una variante del malware que imita Adobe Reader 9 y sobrescribe el AdobeUpdater.exe, que se encarga de comprobar si está disponible una nueva versión del software.

Los usuarios pueden instalar el software sin darse cuenta simplemente abriendo un correo electrónico malicioso o visitando páginas web que aprovechen vulneralidades de software.

Después de que esta clase de malware entre en la máquina, abre el cliente (Dynamic Host Configuration Protocol) client, un DNS (Domain Name System), una red compartida y un puerto para poder percibir los comandos.

Publicado en InfoSpyware | Etiquetado , , | 1 comentario

El mundial de futbol 2010 ya es excusa para propagar malware

Publicado el 27/03/2010 por jbex

En las últimas horas se han detectado casos de malware propagándose a través de correo electrónico y usando un archivo PDF con contenido del próximo mundial de fútbol 2010 como pretexto.

Para fraguar el engaño se tomó un archivo (no dañino) llamado SoccerTravelSouthAfrica.pdf (MD5: f19ec9acece1ace53ce3551eb45bcb7e) que originalmente fue enviado por la organización internacional Greenlife, responsable de llevar adelante safaris en África y que está colaborando en la coordinación del mundial. En base a esto se creó otro archivo dañino con un script inyectado en el mismo y que explota la vulnerabilidad de Adobe Reader CVE-2010-0188, corregida el pasado 16 de febrero (las Proof-of-Concepts disponibles en Internet dieron lugar a este ataque).

Cualquier usuario que descargue y abra este archivo, si tiene el lector de PDF instalado y sin parchear, podría resultar infectado con un malware descargado posteriormente o perder información sensible de su sistema.

Tal y como adelantamos hace meses en nuestro informe sobre tendencias del Crimeware del Siglo XXI, ya comenzaron a aparecer las primeras amenazas con el mundial de fútbol como excusa. Por lo tanto, comencemos a prevenir instalando las actualizaciones necesarias y ESET NOD32 desde ahora, porque nos esperan muchas mas amenazas en los meses venideros.

Cristian Borghello
Fuente: http://blogs.eset-la.com/laboratorio/

Publicado en InfoSpyware | Deja un comentario