30 de enero de 2008

Gusanos que utilizan el día de San Valentín para propagarse

PandaLabs ha detectado dos nuevos gusanos, Nuwar.OL y Valentin.E, que están empleando temas relacionados con San Valentín para propagarse.

  • El primer gusano, Nuwar.OL, actua de la siguiente manera:
  1. Llega a través de correo electrónico con asuntos como “I Love You Soo Much", “Inside My Heart" o" You… In My Dreams", entre otros.
  2. El texto del correo incluye un enlace ó link a un sitio web desde el que se producirá la descarga del código malicioso.
  3. Esa página es muy sencilla y presenta la forma de una postal romántica, con una gran imagen de un corazón rosa.
  4. Una vez ha infectado un equipo, este gusano comenzará a enviar gran cantidad de correos electrónicos como los ya vistos a otros contactos del usuario, con la intención de propagarse.
  5. Esto, además, provoca un gran tráfico de red y la consecuente ralentización del equipo.
  • Similar es el caso del gusano Valentin.E. y tiene las siguientes caracteristicas:
  1. También se propaga por e-mail con temas en el asunto como “Searching for true Love" o “True Love".
  2. Los correos llevan adjunto un archivo con el nombre “friends4u".
  3. Si el usuario abre ese archivo, se estará descargando una copia del gusano.
  4. Una vez en el equipo, el código malicioso aparece como un archivo .scr.
  5. Si el usuario lo ejecuta, Valentin.E, con el fin de engañarlo, mostrará un nuevo fondo de pantalla al usuario, pero, a la vez, estará realizando varias copias de sí mismo en el equipo.
  6. Desde el equipo infectado, el gusano comenzará a enviar mails que contengan copias de sí mismo, para propagarse e intentar infecta a más usuarios.

25 de enero de 2008

El juego online sin protección

GData anuncia las conclusiones derivadas de su estudio sobre videojuegos y malware de diciembre de 2007, según las cuales hasta el 54% de los archivos referidos a videojuegos en redes P2P esconde en realidad algún tipo de malware.

Tras analizar más de 1.000 muestras en sitios y redes P2P referidos a los 30 videojuegos más populares del momento, se constató que 528 de ellos contenían algún tipo de malware (un 54% del total). Los cinco códigos maliciosos más habituales fueron los siguientes:
  1. P2P Worm.Win32.P2PAdware.a 30,3 %
  2. Trojan Dropper.Win32.Peerad.a 17,8%
  3. P2P Worm.Win32.Kapucen.b 7,6 %
  4. P2P Worm.Win32.Padonak.b 7,2%
  5. P2P Worm.Win32.VB.fc 6,1%
La mayoría de estos archivos trataron de pasar por parches o trucos para videojuegos, encabezando las listas de reclamo el popular World Of Warcraft, como objetivo prioritario de los ataques.

Ralf Benzmüller, Director del Laboratorio de Seguridad de G Data nos dice:
  • “Los cibercriminales han puesto su mirada en la comunidad del juego online, al fijarse en que muchos jugadores desactivan su protección antivirus y firewall al empezar la partida, para no ver penalizado el rendimiento de sus equipos o de su conexión a Internet. De esta forma, quedan expuestos a un enorme riesgo, al dejar vía libre a la entrada de malware. Por ello, las soluciones de seguridad optimizadas para los videojuegos son esenciales para los aficionados al juego online".

Entre otras conclusiones del estudio, se desprende que el robo e intercambio de información referida al juego online se ha convertido en un gran negocio, pudiendo ganar los cibercriminales incluso más dinero con estos datos que con los de tarjetas de crédito, ya que los ordenadores de este tipo de usuarios suelen ser máquinas potentes de gran valor para los operadores botnet, que además suelen estar casi siempre conectadas a Internet.


Fuente http://diarioti.com/

En el futuro los virus se crearán en parte en África y Centroamérica

Eso opinan en F-Secure. Además, ha repasado la historia del origen del malware, llegando a las siguientes conclusiones :
  • Ya se sabe, que el malware actual está perfectamente organizado, y las dos grandes escuelas residen en Brasil y Europa del Este, principalmente Rusia. China también se presenta como una potencia importante en los últimos tiempos, a la hora de la creación de troyanos.
  • A finales de los ochenta, en los primeros noventa y ya casi a principios de siglo, el malware provenía de multiples países, casi todos con acceso al Internet de entonces, incluyendo muchos de Europa (entre ellos España con un gran potencial vírico, donde la 'scene' llegó a ser de gran calidad), Estados Unidos, Japón, India y Australia... eran el centro vírico por excelencia.
  • Desde que el malware es industria (hacia 2004), sin embargo, la producción se ha concentrado sobre todo en los países mencionados antes (Brasil, Rusia y China) eclipsando al resto.
  • Según F-Secure, en los próximos años las fuentes se diversificarán hacia el centro de África, Centroamérica y sureste asiático.
  • En Centroamérica ya existen pequeños focos más o menos organizados que crean malware más o menos primitivo, y se espera que esto cambie con el tiempo, y sus creaciones se vayan sofisticando.
  • Pero sobre todo, parece que queda mucho para que ningún país pueda tomarle la delantera a Rusia, donde han ganado una grandísima ventaja con respecto al resto en calidad y cantidad de producción de malware.

    Fuente http://www.hispasec.com/

21 de enero de 2008

Estudio de Noviembre de 2007 sobre Seguridad Informatica

En novimebre casi un 25% de los correos electrónicos fueron infectados con programas maliciosos con gusanos de hace tres años.

  • Sophos, compañía de seguridad TI y control de contenidos, ha desvelado las amenazas de programas maliciosos más comunes y los principales países causantes de problemas para los usuarios de Internet en todo el mundo, durante el pasado mes de noviembre.
  • El ranking de las diez principales amenazas de programas maliciosos enviados por e-mail durante el mes de noviembre es el siguiente:
  1. Troj/Pushdo, 29.3%
  2. W32/Traxg, 23.6%
  3. W32/Netsky, 17.8%
  4. Mal/Dropper, 5.4%
  5. W32/Zafi, 5.0%
  6. W32/Mytob, 4.8%
  7. W32/Flcss, 3.3%
  8. W32/MyDoom, 2.9%
  9. W32/Strati, 2.8%
  10. W32/Bagle, 1.0%

(*) Otros, 5.1%

  • "El hecho de que Traxg haya caído a la segunda posición este mes ha sido una sorpresa, y el hecho de que gusanos poco sofisticados estén todavía circulando por la red, es un claro indicativo de que un gran número de usuarios, o compañías, están fracasando al instalar, incluso, antivirus muy básicos", asegura Graham Cluley, consultor senior de tecnología de Sophos.
  • En general, en noviembre, el 0,1 por ciento de los correos electrónicos llevaban archivos adjuntos maliciosos, es decir, uno de cada 1.000 de los correos electrónicos enviados.
  • España se ha situado en el puesto número 24 del ranking con el 0,16% del spam emitido a nivel mundial.
    Fuente: http://www.vnunet.es/

500.000 ordenadores son infectados cada día con bots

  • Aproximadamente el 11% de los ordenadores de todo el mundo forma parte de una red de bots, siendo responsables del 85% del spam que se envía.
  • Cada día 500.000 nuevos ordenadores son infectados con bots, según los datos recogidos por PandaLabs en su informe sobre la actividad del malware en 2007.
  • Los bots son programas residentes en el equipo que escuchan órdenes de su creador y permiten a éste controlar el ordenador afectado.
  • Cuando tienen controlados cientos de estos ordenadores, los ciber-delincuentes suelen unirlos, creando lo que se conoce como una red de bots.
    Fuente: http://diarioti.com/

19 de enero de 2008

Aniversario del virus "Storm Worm"

  • El 19 de enero de 2007 se cumple un año del primer 'avistamiento' de Storm Worm. Hoy en día es una de las epidemias más extendidas.
  • Muchos lo llaman Storm, otros Peacomm o Nuwar.
  • Se dice que el primer Storm Worm fue visto por primera vez en Helsinki el 19 de enero de 2007. Storm Worm comenzó como un ejemplo de libro en cuestión de métodos de infección. Un archivo ejecutable adjunto a un correo que prometía un vídeo sobre las tormentas que sufría Europa en aquel momento. Sin embargo, una vez conseguida una base sustancial de víctimas e infectados, estos mismos sistemas troyanizados comenzaron una campaña de expansión a través de spam que todavía inunda las casillas de correos.
  • Cada cierto tiempo, cambia el método de infección. Desde el adjunto hasta la invitación a visitar páginas web que no solo pretendía que la víctima descargase el troyano, sino que intentaba aprovechar vulnerabilidades de todos los navegadores para conseguir la ejecución.
  • Otro de los puntos fuertes de este virus ha sido su capacidad de poliformismo en servidor. El archivo que descargaban las víctimas podía mutar hasta varias veces por minuto, detectándose literalmente decenas de pequeñas y grandes variaciones por día alojadas en servidores.
  • Las campañas con la que Storm ha enviado correos basura para incitar a la infección han sido de lo más variopintas... desde invitaciones a la descarga de juegos, pasando por premios de la lotería, cirugía barata, contraseñas para portales especiales... y, la última, invitaciones de amor para el día de San Valentín.

Fuente: www.hispasec.com

15 de enero de 2008

La última vulnerabilidad de Real Player, infecta sistemas


  • El primer día del año se dio a conocer una grave vulnerabilidad en RealPlayer que permitía la ejecución de código.

  • El problema se descubrió cuando ya estaba siendo aprovechado, y ahora se ha popularizado hasta el punto de que el código que lo explota está incrustado en miles de páginas web legítimas, víctimas de un ataque a gran escala.

  • Al igual que ocurriera en junio de 2007 con un servidor alojado en Italia (ataque del que informó Hispasec Sistemas), miles de páginas han sido comprometidas y modificadas de forma automática para infectar a sus visitantes.

  • Recordemos que este tipo de ataques funcionan en dos fases: el atacante se hace con un servidor web legítimo, incrustando código en él, normalmente IFRAMEs.

  • El código aprovecha habitualmente vulnerabilidades del navegador (o componentes adicionales no actualizados del visitante) para infectarlo. Este ataque en concreto aprovecha (entre otras más antiguas de Internet Explorer) una reciente vulnerabilidad de RealPlayer para que los visitantes de las páginas legítimas ejecuten código que previamente ha sido incrustado a la fuerza en ellas.

  • Los dominios incrustados son uc8010.com, ucmal.com y rnmb.net, que es donde finalmente se alojan los scripts que explotan el fallo.

  • Se estima que hay unos 80.000 páginas infectadas.

  • Todo tipo de webs se han visto afectadas por este problema. Gubernamentales, grandes empresas, bancos...
Fuente: www.hispasec.com