Info Spyware

hispasec nos cuenta:

La utilidad de compresión Lhaz, en su versión 1.33, posee una
vulnerabilidad que permite ejecutar código arbitrario de forma
remota. Se recomienda su actualización a la reciente versión
1.34b2, que corrige el problema, o prevenir el uso de la
herramienta para tratar archivos no confiables.

La vulnerabilidad puede ser aprovechada a través de un archivo
gzip especialmente construido que provoca la ejecución arbitraria
de código al intentar ser descomprimido con Lhaz 1.33.

El exploit ha sido detectado in-the-wild (utilizándose de forma
activa) en sitios japoneses con el fin de instalar un backdoor
entre los usuarios de Windows con una versión de Lhaz vulnerable.
De momento se estima que el ataque haya tenido apenas incidencia
entre usuarios europeos o de habla española.

En las últimas horas se ha publicado dos betas de la nueva
versión 1.34. Si algún usuario utiliza Lhaz tiene dos opciones
para prevenir el ataque:

* No manejar con Lhaz archivos ZIP no confiables a la espera de
instalar la versión 1.34 definitiva

* Instalar la versión 1.34b2

La última versión de Lhaz puede ser descargada desde su página
web: http://www.chitora.jp/lhaz.html

rzw nos cuenta:

Nombre: FraudTool.SpyHeal.A
Nombre NOD32: Win32/FraudTool.SpyHeal.A
Tipo: Aplicación potencialmente indeseable
Alias: FraudTool.SpyHeal.A, ADSPY/SpyHeal.A.1, ADSPY/SpyHeal.A.2, Adware.SpyHeal.A, Adware.SpyHeal.D, Adware.Spylocked.J, Adware.Spywareheal.C, APPL/SpyHeal, Application/SpyHeal, Downloader.Zlob.FNC, Downloader.Zlob.FOZ, DR/FraudTool.SpyHeal.A.25, DR/FraudTool.SpyHeal.A.28, not-a-virus:.FraudTool.Win32.SpyHeal.a, not-a-virus:.FraudTool.Win32.SpyHeal.c, not-a-virus:FraudTool.Win32.SpyHeal.a, not-a-virus:FraudTool.Win32.SpyHeal.c, PHISH/FraudTool.SpyHeal.A.2, PHISH/FraudTool.SpyHeal.C, Trojan.DL.Zlob.hqt, Trojan.DL.Zlob.iin, Trojan.Downloader.Zlob.AZK, Trojan.Mnless.lfi, Trojan-Downloader.Win32.Zlob.azk, Trojan-Downloader.Win32.Zlob.bbg, W32/Startpage.BGB, W32/Trojan.XSI, W32/Trojan.XSI, W32/Zlob.AAG, Win32/FraudTool.SpyHeal.A, Win32/SpyHeal
Fecha: 20/ago/07
Plataforma: Windows 32-bit
Tamaño: variable

Se trata de un programa que simula ser un antispyware, que puede infectar el sistema instalando y ejecutando otros malwares. Corresponde a la misma familia de SpywareQuake, SpyFalcon, SpywareStrike, SpySheriff, y otros.

Además, muestra una serie de ventanas emergentes con avisos de infección falsos.

Puede secuestrar la página de búsqueda del navegador, para redirigir las solicitudes a determinadas páginas.

Aunque puede aparecer en la lista de agregar o quitar programas, su desinstalación no es efectiva, y ciertos componentes quedarán activos.

Los Win32/FraudTool, son programas que intentan obtener ganancias ilícitas por medio de diferentes técnicas que mezclan el engaño con la estafa.

Por ejemplo, usted puede creer estar descargando un determinado software comercial, pero en realidad podría estar descargando alguna clase de malware.

Estas aplicaciones suelen ser instaladas con el consentimiento del usuario, y además de la estafa en si misma, podrían producirse cambios en el comportamiento del sistema, como los siguientes:

* Se muestran ventanas que normalmente no serían visualizadas.
* Se activan y ejecutan procesos ocultos al usuario.
* Se incrementa el consumo de recursos del sistema.
* Se modifican los resultados al realizar búsquedas.
* Pudieran efectuarse comunicaciones entre la aplicación y los servidores del proveedor.

Además de ser un grave peligro para la seguridad, puede interferir en el normal funcionamiento del equipo infectado, causando enlentecimientos de algunas acciones, y la generación de actividad en la conexión a Internet y a la red local, y consumo del ancho de banda.

diarioti nos cuenta:

Como en otros ataques, la dirección apunta a una máquina cuya seguridad ha sido comprometida que contiene un BOT y un proxy HTTP.

Websense señala que ha recibido varios reportes de nuevas tácticas empleadas por los expertos en robo de información o identidad, sobre el uso de Troyanos dentro de los correos electrónicos, que se titulan “Greeting Card Victim” (víctima de una tarjeta de felicitación) y que en el cuerpo de mail dice:

Un compañero (introduzca el nombre) ha creado una tarjeta de felicitación para usted en christianet.com. Para ver su tarjeta de felicitación sólo dé clic en la siguiente liga: http://

Envía una tarjeta de felicitación GRATIS de christianet.com cada vez que quieras al visitarnos en: Este servicio es proporcionado por christianet.com.

Como en otros ataques, la dirección apunta a una máquina cuya seguridad ha sido comprometida que contiene el BOT y un proxy HTTP. El mismo código intenta correr el archivo sin la intervención del usuario; sin embargo, el nombre del archivo ha cambiado a msdataaccess.exe.

vsantivirus nos cuenta:

Una vulnerabilidad reportada en Opera, podría ser potencialmente explotada por personas maliciosas para comprometer la seguridad de los sistemas con versiones del navegador anteriores a la 9.23.

El error lo provoca la acción de un puntero nulo (un indicador que apunta a una zona de memoria prohibida), por un error no especificado cuando Opera procesa determinado código en JavaScript.

Esto puede ser explotado para ejecutar código de forma arbitraria, simplemente por visitar un sitio web controlado por un atacante.

Son vulnerables todas las versiones anteriores a Opera 9.23.

Solución:

Actualizarse a la versión 9.23 desde el siguiente enlace:

opera

NOTA: Versiones recientes de Opera, también pueden actualizarse desde el propio programa (check for updates).

hispasec nos cuenta que:

Una vulnerabilidad en el popular cliente Yahoo! Messenger podría
comprometer los sistemas de forma remota al aceptar una invitación de
conexión por webcam. A falta de la publicación de un parche por parte
de Yahoo!, se recomienda a los usuarios tomen algunas medidas de
prevención.-

Según se ha publicado en el blog de McAfee Avert Labs, los detalles
del exploit para aprovechar la vulnerabilidad se publicaron en algunos
foros de seguridad en China, y ha podido ser reproducido con éxito
en Yahoo! Messenger versión 8.1.0.413.

A falta del parche, las recomendaciones para prevenir incidentes son:

* No aceptar invitaciones por webcam de terceras partes no confiables

* Bloquear el tráfico de salida en el puerto TCP/5100

Esperamos que, hasta la publicación de una actualización, los usuarios
de Yahoo! Messenger puedan resistirse a las invitaciones por webcam,
por muy sugerentes que éstas puedan ser.

genbeta nos cuenta:

CCleaner es una utilidad de la que os hemos hablado en varias ocasiones aquí en genbeta, se trata de una herramienta que nos permite borrar ficheros temporales, cookies y valores innecesarios del registro de windows para de esta forma agilizar el comportamiento y los arranques de nuestro sistema operativo Windows.-

Pues con la nueva versión beta de la herramienta CCleaner ganamos la posibilidad de incluirla en una llave USB y de esta forma que sea una aplicación portátil, además como se ha recodificado en C++ ahora es compatible con todas las versiones de Windows Vista incluso con versiones de 64 bits. Además han rediseñado la interfaz gráfica para hacerla más intuitiva y manejable.