16 de junio de 2010

Publicadas nuevas versiones de Wireshark

Wireshark.org ha publicado las versiones 1.0.14 y 1.2.9 de Wireshark que corrigen varias vulnerabilidades de desbordamiento de búfer y de denegación de servicio.

  • Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes que además es software libre y ejecutable bajo los sistemas operativos Unix, Linux y Windows.
  • Las nuevas versiones corrigen cinco problemas de seguridad, tres de ellos asociados a los disectores SMB, ASN.1 VER y SMB PIPE.
  • Las otras dos vulnerabilidades están relacionadas con errores en la maquina virtual del descompresor 'SigComp'.
  • Las nuevas versiones pueden descargarse desde: http://www.wireshark.org/download.html

Fuente: Hispasec

Popular servidor de IRC troyanizado desde hace unos 8 meses

Se ha descubierto que UnrealIRCd, un popular servidor de IRC, estaba troyanizado y disponible desde la página oficial al menos desde noviembre.

  • Los atacantes reemplazaron el código fuente de la versión para sistemas Unix/Linux, y la modificación ha pasado inadvertida durante unos 8 meses.
  • A raíz del incidente, han comenzado a firmar su código.
  • UnrealIRCd es un popular servidor IRC para Linux y Windows.
  • La única versión que ha sido reemplazada en los servidores oficiales ha sido el código fuente para Unix/Linux (Unreal3.2.8.1.tar.gz) y no las versiones ya compiladas para Windows.
  • El archivo troyanizado es Unreal3.2.8.1.tar.gz, con hash md5 752e46f2d873c1679fa99de3f52a274d.
  • La versión oficial, sin embargo, debería devolver el hash 7b741e94e867c0a7370553fd01506c66.
  • Al parecer solo algunos servidores de descarga fueron comprometidos, y no los repositorios de código fuente.
Aparte del hash, para saber si se está corriendo una versión con esta puerta trasera, se puede hacer un:
  • grep DEBUG3_DOLOG_SYSTEM include/struct.h en el directorio del programa. Si devuelve dos líneas, está troyanizado.

Fuente: Hispasec

El malware Zbot aprovecha la imagen del Banco de España para propagarse

Se ha detectado una virulenta campaña de difusión de una variante de Zbot (también conocida como Zeus) que aprovecha la imagen del Banco de España para propagarse.

  • El troyano se aloja en una página que incita a la descarga de una muestra que, en el momento del análisis, solo es detectada (con firmas estáticas) por dos antivirus.
  • No nos consta que en el pasado se haya usado la imagen de esta entidad para difundir malware o para realizar ataques de phishing a este nivel.
  • Parece que los atacantes provienen de Rusia, puesto que el panel de control se encuentra en un servidor dedicado de este país.
  • Las mafias rusas suelen realizar campañas muy estudiadas y virulentas como la que están protagonizando contra el Banco de España.

Se recomenda la siguiente protección:

  1. Usar cuentas limitadas en Windows (aunque en el caso concreto de este ejemplar, no evita el ataque por completo).
  2. Actualizar el sistema y los programas.
  3. Mantenerse informado.
  4. Actualizar el antivirus.

Fuente: Hispasec