Un virus se extiende por Google Reader

Koobface, que ya atacó a redes sociales como Facebook y MySpace, está aprovechándose también de las cuentas del lector de feeds de Google para propagar su código malicioso.

Koobface, uno de los virus más extendidos por redes sociales como Facebook, MySpace y Twitter, está propagándose también a rápida velocidad por el lector de feeds de Google. Así lo ha denunciado esta mañana la compañía de seguridad Trend Micro, que ha identificado actividad de esta red zombie en la aplicación Google Reader.

Los ciberdelincuentes están albergando en el lector de Google direcciones URL que contienen imágenes que se asemejan a un vídeo de YouTube y que están siendo enviadas como spam a través del servicio (como ya se hiciera en las redes sociales mencionadas).

Cuando quien lo recibe pincha en la imagen o el título del contenido, se le lleva a una página falsa, que asemeja ser la de YouTube, y que contiene el malware de Koobface.

En la actualidad, según Trend Micro, más de 1.300 cuentas de Google Reader podrían estar ya infectadas.

fuente: itespresso.es

Los cibercriminales alemanes, los más temibles

De los 20 virus del ránking de mayores amenazas elaborado por PandaLabd, cuatro son de origen germánico; únicamente uno es español.

Los cibercriminales alemanes son los más temibles, a juzgar por la numerosa presencia de sus creaciones en la lista de los 20 virus más peligrosos de los últimos veinte años que acaba de elaborar PandaLabs en su aniversario.

Germanos son Cascade o Falling Letters (1997), Klez (2001, un curioso virus que sólo atacaba en los días 13), Sobig (2003) y Netsky (2004). Aunque no tan famosos como el archiconocido I love you o Loveletter, que en 2000 infectó a millones de ordenadores con promesas de amor, han sido igualmente molestos para sus víctimas.

En el ranking de países de esta lista, el puesto número dos lo ocupan los virus de origen incierto, como el reciente Conficker, y el tres… Estados Unidos, con dos virus entre los más letales y superando a la mala reputación de China (con un único producto en esta lista).

España tiene un puesto discreto. Sólo Barrotes, el primer virus español, ha conseguido colarse entre las veinte amenazas más memorables. Creado en 1993, la aplicación permanecía oculta e inactiva hasta el día de Reyes, cuando un código de barras ocupaba la pantalla del infectado.

fuente: eweekeurope.es

Las Web Sites mas “sucias” del verano 09

El servicio de ratings Norton Safe Web de Symantec presenta “the Dirtiest Web Sites of Summer 2009″ o lo que vendria siendo en español como las web sites mas sucias del verano 09 – el top 100 de sitios infectados con base en el número de amenazas detectadas por la web de seguridad de Norton a partir de agosto de 2009.

Norton Safe Web analiza los sitios web usando metodos como el escaneo de firma en archivos, los motores de detección de intrusos, detección de comportamiento y de instalación / desinstalación de análisis para identificar los riesgos de seguridad incluyendo sitios de phishing, descargas maliciosas, vulnerabilidades de navegador y enlaces a sitios externos inseguro. En otras palabras – todas aquellas cosas sucias que no quisieramos en nuestro ordenador!

No es de extrañar que el 48% de los sitios “sucios” esten bien sucios ya que ofrecen contenido para adultos. Sin embargo, otros sitios “dirtiest”  son de diversos tipos de interes como los sitios dedicados a la caza de ciervos, restaurantes, patinaje artístico, servicios jurídicos y de compra de articulos electrónicos. Los virus son la amenaza más común que se presenta en la lista, seguidos por los riesgos de seguridad y vulnerabilidades en el navegador (exploits). Simplemente haciendo clic en alguno de estos sitios “sucios” con estas amenazas, exponemos nuestros equipos  a una infeccion o , peor aún, poner nuestra identidad, información personal y financiera en manos de delincuentes cibernéticos.

Ejemplos de la lista “Dirtiest Web Sites”:

• magic4you.nu (view report)
• marbling.pe.kr (view report)
• nacjalneg.info (view report)
• pronline.ru (view report)
• purplehoodie.com (view report)
• qsng.cn (view report)
• seksburada.net (view report)
• sportsmansclub.net (view report)
• stock888.cn (view report)
• tathli.com (view report)
• teamclouds.com (view report)
• texaswhitetailfever.com (view report)
• wadefamilytree.org (view report)
• xnescat.info (view report)
• yt118.com (view report)
• 17ebook.com (view report)
• aladel.net (view report)
• bpwhamburgorchardpark.org (view report)
• clicnews.com (view report)
• dfwdiesel.net (view report)
• divineenterprises.net (view report)
• fantasticfilms.ru (view report)
• gardensrestaurantandcatering.com (view report)
• ginedis.com (view report)
• gncr.org (view report)
• hdvideoforums.org (view report)
• hihanin.com (view report)
• kingfamilyphotoalbum.com (view report)
• likaraoke.com (view report)
• mactep.org (view report)

fuente: safeweb.norton.com

Los virus tienen una vida útil de 24 hora

El 52% de las nuevas amenazas sólo están activas un día, pasando después a ser inofensivas.

Los virus, gusanos y troyanos tienen una existencia cada vez más corta e insustancial. Esta es la principal conclusión de un estudio de Panda Security, que estima que el 52% de nuevas amenazas lanzadas al ciberespacio tan sólo dispone de una vida útil de 24 horas.

La actividad infecciosa de estas creaciones se limita a una sola jornada, ya que después de transcurrido un día pasan a ser inofensivas y a establecerse como inactivas. Gran parte de culpa de este componente de “fast malware” la tienen sus autores, que modifican los códigos y forman nuevas amenazas para distribuirlas otra vez con el objetivo de que no sean detectadas.

Estos rápidos cambios son los responsables de que en los últimos veinte años se haya pasado a 18 millones de elementos maliciosos a 30 millones.

“Es una carrera continua en la que, lamentablemente, nos siguen ganando los hackers. Nos tienen que llegar sus creaciones para poder analizarlas, clasificarlas y combatirlas”, comenta Luis Corrons, director técnico de PandaLabs. “Aquellos fabricantes que trabajan con procesos tradicionales de análisis manual irremediablemente llegan tarde a ofrecer la vacuna a sus clientes, ya que el período de distribución e infección es muy pequeño.

fuente: itespresso.es

Cada 3,6 segundos una Web es infectada

Sólo en los últimos seis meses se ha escrito la misma cantidad de código malicioso que el equivalente detectado en los tres años anteriores.

Según un informe llevado a cabo recientemente por la compañía de seguridad Sophos, a diario se descubre una media de 23.500 páginas Web que han sido infectadas, lo que viene a significar que cada 3,6 segundos se produce una nueva infección. Según lo indicado, el rango de infección es mucho más rápido que el del pasado año 2008, en el que la tasa se encontraba en los 4,5 segundos. Así lo ha desvelado Richard Wang, director del laboratorio de Sophos.

Del informe también se desprende que las tecnologías más amenazadas tienen que ver con las redes sociales y con la Web 2.0. Y es que los cibercriminales continúan empleando diferentes técnicas que utilizan la tecnología Web 2.0 para poner a prueba las redes sociales y obtener datos relevantes de los usuarios, mediante líneas de código que explotan las diferentes vulnerabilidades.

“Muchas de las piezas de malware que se distribuye a través de Facebook fue diseñado para robar credenciales de Twitter”, comenta Wang. Esto es sólo un ejemplo del ingenio y de las técnicas avanzadas utilizadas para el robo de información.

También se desprende del informe que tanto empresas como pequeños negocios ya han sido víctimas de spam, phishing o ataques de malware propagados a través de redes sociales como Twitter, Facebook, Myspace o Linkedln. A este hecho hay que añadir lo que vienen desvelando nuevos informes de última elaboración, en los que se pone en entredicho el que las redes sociales logren incrementar la productividad en el trabajo de los empleaedos.

Durante años, los miembros de los departamentos de TI han estado advirtiendo a los empleados que no utilicen los enlaces o abran los ficheros adjuntos a los mensajes sospechosos, dado que acaban convirtiéndose en spam. Sin embargo, no han prestado la atención necesaria a lo que conlleva la utilización de las redes sociales, las cuales pueden llegar a resultar un material altamente peligroso en los aspectos de seguridad.

Finalmente, Wang destaca que “los criminales y hackers han escrito en los últimos 12 meses la misma cantidad de código malicioso que el montante que supuso el de los últimos tres años”.

fuente: idg.es

Congela “tus discos” y olvídate de los virus

Existe un programa llamado DEEP FREEZER que sirve para “congelar” tu disco duro o si está “particionado” puedes congelar el Disco C:  o el Disco D:

Se supone que todo computador tiene su disco duro particionado en 2.Eso debería hacerse siempre ya que el disco C: sirve para instalar el sistema operativo y los demás programas y el disco D: (puede llevar otro nombre o letra asignada) sirve para guardar todos los archivos que tenga el o los usuarios del pc.

Bien, como el disco C: es vital para el funcionamiento del computador está sometido a un alto riesgo de ataques de virus, gusanos y troyanos ( a no ser que uses linux).Para ello alguien inventó Deep Freezer, cuyo logo es un oso polar que sirve para proteger tu disco C. de dichos ataques.

¿Cómo funciona?.Simple.Al estar congelado tu disco C: no hay problema.Puede que sufras ataques de virus, pierdas archivos, borres algun programa o elemento esencial del sistema, etc. por causa de niños o de usuarios inexpertos, lo cual ya no es problema, pues reinicias tu equipo y todo volverá a la normalidad.Así de simple.

Pero hay algo que todos olvidan cuando tienen instalado el Deep Freezer.Olvidan que cuando estás en dicha sesión y hacen cualquier documento deben guardarlo en el disco D: que no está congelado ya que al apagar o reiniciar el equipo CASI todo lo que hiciste en dicha sesión SE BORRARÁ porque el disco C: está “congelado”.

Recuerden que el escritorio, la carpeta “mis documentos” “mis imagenes” y otros pertenecen al disco C:

Finalmente; existe la posibilidad de descongelar el disco C: para cuando quieras instalarle programas o actualizar el antivirus.Se hace ingresando una clave cuando has terminado de instalar el Deep Freezer.

Para descongelar usas las teclas Ctrl + Alt + Shift + F6 e ingresas la clave, luego reinicias y el equipo estará descongelado para que hagas tus modificaciones.Para saber si está descongelado solo debes mirar el icono del oso al lado del reloj.Si está descongelado sale el icono del oso con una X roja.Si está congelado…obvio que no sale la X.

En todo caso, sé que muchos pueden complicarse con esta explicación mía.Pero la idea es que sepan de la existencia de este software para que le digan a su técnico que les instale en su pc y les enseñe su uso.Aunque deben saber ustedes que a la mayoría de los técnicos no les gusta trabajar con Deep Freezer ya que les quita la pega. De hecho, ni mencionan su existencia ya que cuando tienes Deep Freezer pocas veces necesitas un técnico.

Parece que la mayoría de los cibercafés tienen el osito instalado.

fuente: OpenSecurity

Conficker se activará el 1 de abril

De acuerdo con investigadores de seguridad que han logrado descifrar parte del código de Conficker, el próximo 1 de abril este peligroso gusano se activará definitivamente en los más de 12 millones de computadoras infectadas.

De momento los detalles son muy pocos, esto en parte porque no se conoce la estructura completa del gusano. Algunos dicen que la “activación” consistiría en desactivar del equipo diversas soluciones de seguridad y borrar todos los datos del disco duro. Pero también se ha descubierto que Conficker integra un sistema P2P que podría ser utilizado para transferir datos de un equipo a otro.

Incluso hay teorías más conspiratorias que apuntan a un ataque DoS masivo por parte de todas las computadoras infectadas. No obstante, otros opinas que simplemente podría ser una broma. Y es que precisamente el 1 de abril se celebra el April fools’ day, el “Día de los Inocentes” pero en países anglosajones.

¿Estamos ante una nueva catástrofe informática? Por ahora no se puede saber ya que hasta el momento nadie ha podido descifrar la estructura de Conficker. Lo que está claro es que el 1 de abril se resolverán todas las dudas.

fuente: opensecurity

La BBC propaga un virus gusano para demostrar su riesgo

La cadena británica logró infectar 22.000 equipos con un botnet para propagar spam y lanzar ataques de denegación de servicio distribuido contra una compañía de seguridad.
El programa de televisión Click de la BBC logró infectar 22.000 ordenadores con un botnet, un software que se instala en los equipos de internautas incautos y que permite a un atacante controlar remotamente su ordenador sin su consentimiento. La idea era hacer un experimento para demostrar el peligro de este tipo de ataque y sus nefastas consecuencias.

El equipo logró propagar spam a cuentas de Hotmail y Gmail controladas, además de lanzar un ataque de denegación de servicio distribuido (DDoS) contra la web de una compañía de seguridad, Prevx, que previamente había dado su consentimiento a este ataque. La cadena ha asegurado que desactivaron el botnet cuando concluyó el experimento, que no accedieron a información confidencial de los usuarios y que notificaron a los mismos de que su equipo estaba infectado.

Aparte del indudable valor divulgativo de este experimento, muchos usuarios han puesto el grito en el cielo al enterase de que la cadena pública había perpetrado un ataque de este tipo contra los internautas. Como informa eWEEK, el programa Click asegura que no ha infringido ninguna ley, mientras algunos expertos en materias legales de este tipo creen esta afirmación no es del todo cierta, sin importar las intenciones de la BBC.

fuente: vnunet.es

La nueva versión del Conficker contacta con 50.000 dominios al día

Symantec ha descubierto una nueva modificación del gusano Conficker más difícil de parar todavía y que causa más daños.

Las versiones anteriores del gusano sólo contactaban con alrededor de 250 dominios al día, es decir, que buscaban sus propias actualizaciones en 250 servidores cada día, ahora con está nueva versión del Conficker, el gusano contacta con un máximo de 50.000 dominios al día además de utilizar un algoritmo de 116 sufijos de dominio posible.

Con lo que detener este virus va a ser más complicado todavía a partir de ahora, ya que el bloqueo de los dominios que esta realizando ICANN y OpenDNS va a ser mucho más complicado debido a la cantidad de dominios a revisar.
Además de ser más complicado de parar, está nueva versión del gusano también es más agresivo ahora y detecta una amplia gama de antivirus y software de seguridad en busca de procesos que contienen cadenas como Wireshark, Unlocker, tcpview, sysclean, Regmon,… para matar a esos procesos en un intento de pasar desapercibido para los antivirus.

Symantec ha denominado a está nueva versión del Conficker como W32.Downadup.C, y aunque Microsoft ofreció 250.000 dólares por información que lleve a la captura de los creadores del gusano Conficker, aún no se tiene información sobre sus creadores.

REFERENCIA: Conficker update attempts to foil Cabal, by Security Focus.

REFERENCIA: mtc.sri.com

fuente: websecurity.es

Páginas web de descargas de cracks y serials distribuyen Virux y FakeAV

Los investigadores de Trend Micro han descubierto que las páginas de busqueda de cracks (serials y keys) y warez están siendo utilizadas por los ciberdelincuentes para que los usuarios descarguen el malware VIRUT y VIRUX en lugar de los serials esperados.

En las web de serials que están utilizando los ciberdelincuentes para intentar engañar a los usuarios, además de los resultados de búsqueda también hay que tener cuidado con los enlaces directos que también conducen a archivos maliciosos, así como los banners.

El malware descargado incluye variantes de la familia de FAKEAV, TDSS, y VUNDO, además también se ha detectado la presencia de VIRUT y VIRUX malware, y según comentan desde TrendLabs en torno a 20.000 ordenadores son infectados cada día.

Por lo que te recomendamos que tengas actualizado el antivirus, así como el sistema operativo con los últimos boletines de seguridad disponibles, para evitar ser infectado por este nuevo virus.

REFERENCIA: Crack Sites Distribute VIRUX and FakeAV.

fuente: websecurity.es

Los virus para móviles no constituyen una amenaza real

Los informes del laboratorio de seguridad de G Data revelan que la creación de malware para móviles lleva años estancada.

Los dispositivos móviles no están en el punto de mira de los ciberdelincuentes, y la amenaza que los virus pueden suponer para los teléfonos móviles y PDAs no pasa de anecdótica. Eso es al menos lo que se desprende de los últimos informes de seguridad de G Data.

El 99,2% de todo el malware puesto en circulación durante la segunda mitad de 2008 estaba diseñado para atacar Windows, en donde los ciberdelincuentes sí encuentran oportunidades claras de sacar provecho a las infecciones. Por el contrario, como los teléfonos móviles se basan en distintos sistemas operativos no predominantes y cada uno de ellos adaptados en función de la marca y el modelo del aparato en el que se utilizan, el eventual impacto del malware es muy limitado y no llega a compensar el tiempo invertido por los ciberdelincuentes en su desarrollo.

En la primera mitad de 2008 únicamente aparecieron 41 nuevos virus para teléfonos móviles, y otros 70 en la segunda, lo que no llegó a representar ni tan siquiera un 0,01% del total de malware puesto en circulación durante el segundo semestre de 2008, cuando se detectaron 894.250 nuevas amenazas.

fuente: vnunet.es

El gusano Conficker consigue niveles aceptables de infección

En octubre, cuando Microsoft publicó su boletín MS08-067, se daba por hecho que aparecería un gusano capaz de aprovechar la vulnerabilidad, dadas sus características. No se apostaba por una infección masiva (tipo Blaster) aunque finalmente parece que está causando más daño del esperado, quizás gracias a un cambio de estrategia combinada que le está sirviendo como una eficaz vía de propagación.

El día 23 de octubre Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. El exploit era público un día después. La vulnerabilidad se volvía “ideal” para ser aprovechada por un gusano tipo Blaster (la pesadilla del verano de 2003). Apostamos a que no se alcanzaría ese grado de epidemia por muchas razones. La más poderosa es la existencia de cortafuegos activo por defecto en los Windows más modernos, que impide que el gusano tenga acceso al servicio vulnerable.

También se advertía que “el fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada”. Finalmente sí que está consiguiendo cierto grado de infección (más del que se esperába) en redes internas y fuera de ellas, en parte porque no sólo se está esparciendo accediendo al servicio vulnerable sino también a través de memorias USB.

Desde diciembre, el gusano adopta una nueva estrategia de infección, copiándose en las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio “a salvo” gracias al cortafuegos (su verdadero enemigo).

Aunque existe parche disponible desde antes de su aparición y el grueso de los antivirus lo detectan, en las últimas semanas está siendo una molestia para muchas empresas y organizaciones con redes mal configuradas. Uno de los “síntomas” que se pueden sufrir es que de repente algunas cuentas de dominio aparezcan deshabilitadas. El gusano fuerza por diccionario el recurso compartido ADMIN$ para acceder y copiarse en él. Esto provoca que como medida preventiva el usuario quede bloqueado.

Lo curioso es que estos métodos de infección se consideran obsoletos. Con la aparición del cortafuegos por defecto en Windows los gusanos “de toda la vida” quedaron olvidados. Igualmente, con la desaparición del disquete y la mejora de la seguridad de los clientes de correo, la infección se ha trasladado durante mucho tiempo hacia el navegador. Las memorias USB han hecho resurgir una técnica de infección “tradicional” en la que el gusano se copia a sí mismo en la memoria y espera a ser introducido en otro ordenador. Conficker consigue así, combinando dos “viejas” técnicas usadas desde hace años, un éxito relativo.

Decimos éxito “relativo” porque si bien está siendo molesto para muchos administradores, las cifras tampoco resultan espectaculares. Aunque los datos no deben ser tratados como definitivos y haya que tomarlos con precaución, en VirusTotal hemos recibido unas 2.500 muestras de archivos calificados como Cockflicker o Downadup desde finales de noviembre. De otras amenazas más sofisticadas como por ejemplo Zbot, que sí deben ser consideradas como peligrosas epidemias, hemos recibido casi 8.000 en el mismo periodo.

fuente: laflecha