19 de octubre de 2011

DUQU ¿ ES LA NUEVA VERSION DEL VIRUS " Stuxnet " ?

Symantec ha descubierto un nuevo virus similar al gusano informático Stuxnet que afectó a las instalaciones nucleares de Irán. Este 'malware' llamado DUQU por el prefijo de los archivos que crea 'DQ'

Descripción y objetivos del virus:
  • Según el blog oficial de la citada compañía de seguridad, Duqu tiene partes muy similares con Stuxnet, pero con un propósito totalmente diferente.
  • "Duqu en esencia es el precursor de un nuevo ataque del tipo de Stuxnet", afirma la compañía, y explica que el propósito de Duqu es reunir datos de inteligencia y de los activos de las entidades, como información sobre los fabricantes de sistemas de control industrial, con el objetivo de preparar mas fácilmente un ataque.
Detalles del virus:
  • Este virus usa HTTP y HTTPS para comunicarse con un servidor C&C (Comando y Control), y está programado para desaparecer del sistema en 36 días.
  • Duqu, como ocurría con Stuxnet, utiliza un certificado digital privado para probar su atenticidad, en esta ocasión, aparentemente tomado de una compañía taiwanesa.
Para más información descargar el documento creado por Symantec desde la dirección siguiente,
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf

Fuente: Symantec

MALWARE INFECTA 1.000.000 DE SITIOS WEB

Expertos en seguridad informática de la empresa Armorize han detectado un malware que afectó a sitios webs que emplean las tecnologías ASP y ASP.NET.

Detalles del ataque :
  • Para lograr el ataque, los ciberdelincuentes planificaron un ataque masivo de SQL, que después de infectar a los usuarios les redirige a un kit de de malware para explotar webs que se aprovecha de las vulnerabilidades em Adobe PDF, Adobe Flash o Java.
  • Las pruebas efectuadas constataron que dicho malware tenía unas tasas de detección bajas y en muchos casos pasaba desapercibido para los antivirus.
  • Los “hackers” llegaron a infectar con éxito los dominios nbnjkl.com y jjghui.com y según informan desde Armorize, la acción está relacionada con los ataques de infección masiva de SQL conocidos como Lizamoon, que tuvieron lugar en abril.
En la mayoría de los casos los ataques masivos de SQL se producen a través del reconocimiento mediante motores de búsqueda activos, seguidos de la explotación automática de las webs vulnerables.

Fuente: Zdnet