Atacantes aprovechan el final de LOST para distribuir malware

El 23 de mayo llegará a su fin una de las series de televisión más populares en todo el mundo: LOST. Una gran cantidad fanáticos están a la espera de ver cómo terminará esta misteriosa historia, y por desgracia, eso lo saben perfectamente los cibercriminales, quienes están aprovechando el interés que tienen millones de usuarios por la famosa serie televisiva para propagar software malicioso.

LEER MAS

La explosion de Moscu trae consigo codigo malisioso.

Los atentados terroristas ocurridos en la estaciones de trenes en la ciudad de Moscu, esta siendo utiliza por los hackers para infectar a los usuarios que buscan informacion sobre dicha tragedia.
Por medio de la utilizacion de tecnicas como SEO Poisoning o BlackHat SEO, ademas de los hackers, van posicionando entradas relacionadas con el evento,  con codigo malicioso; la forma de operar es la siguiente:

  • el usuario hace una busqueda sobre la tragedia (en navegador google) con las palabras claves “Moscow explosion“, y las primeras entradas que aparecen ya son objeto de cuidado. (aparece el mensaje informativo de “Este sitio puede dañar su equipo”)

  • Al pinchar en alguna de las entradas saldra el siguiente mensaje. Indicandonos que nuestro ordenador es vulnerable a un ataque de malware y que recomiendan verificar el sistema dandonos la opcion de hacer click en la ventana para realizar dicha verificacion.

  • Una vez que aceptamos verificar nuestro sistema nos aparcera un supuesto  programa antivirus el cual es falso, tambien llamado “rogue software” (o rogueware, fakeav), el cual, supuestamente, nos eliminara el malware recien instalado en nuestro ordenador; es en este momento cuando estamos verdaderamente en peligro ya que si aceptamos remover o limpiar nuestro sistema con ese supuesto programa antivirus es cuando nos exponemos a infectarnos.

  • Hay que tener en cuenta que cualquier noticia de impacto mundial (tragedias, catastrofes naturales, noticias de famosos, terrorismo, etc) son propicias para que los hackers usen sus tecnicas con el proposito de intentar infectar a la mayor cantidad de usuarios, ya sea para tomar control de esas maquinas infectadas (para luego realizar tareas fraudulentas) o para robarle informacion personal al usuario. (lista de antivirus falsos)
  • Desde Vulnerability Team aconsejamos tener un programa Antivirus conocido (ver AV conocidos), tener cuidado al momento de buscar noticias de impacto mundial en los buscadores (no hacer click en la primera noticia), evitar entrar en paginas potencialmente peligrosas o de procedencia desconocida, si utilizan el navegador firefox instalar el addon WOT para conocer que sitios son ptencilamente peligrosos.

by komz

Adobe y el Mundial de Sudafrica 2010, te regalan un malware.

En las últimas horas se han detectado casos de malware propagándose a través de correo electrónico y usando un archivo PDF con contenido del próximo mundial de fútbol 2010 como pretexto.

Para fraguar el engaño se tomó un archivo (no dañino) llamado SoccerTravelSouthAfrica.pdf (MD5: f19ec9acece1ace53ce3551eb45bcb7e) que originalmente fue enviado por la organización internacional Greenlife, responsable de llevar adelante safaris en África y que está colaborando en la coordinación del mundial. En base a esto se creó otro archivo dañino con un script inyectado en el mismo y que explota la vulnerabilidad de Adobe Reader CVE-2010-0188, corregida el pasado 16 de febrero.(ver) Anteriormente, hace unos días las Proof-of-Concepts disponibles en Internet dieron lugar a este exploit.

Cualquier usuario que descargue y abra este archivo, si tiene el lector de PDF instalado y sin parchear, podría resultar infectado con un malware descargado posteriormente o perder información sensible de su sistema.

Desde Vulnerability Team exortamos a los usuarios tener cuidado con todas las ofertas referentes al mundial de sudafrica de este año 2010, ya que este tipo de acontecimiento mundial es propicio para que los hackers utilicen sus tecnicas para engañar al usuario.

fuente: blogs.eset-la.com


Circulacion de Campaña de un malware sobre la gripe H1N1

Esta campaña está circulando a través de mensajes de correo electrónico que ofrecen información sobre la vacunación contra la gripe H1N1. Esta mensajes de correo electrónico contiene un enlace a un falso “Centro para el Control de Enfermedades y Prevención”. Los usuarios que hacen clic en este enlace se pueden infectar con malware. Informes públicos indican que estos mensajes de correo electrónico tienen líneas en el asunto, tales como: “programa de registro gubernamentales sobre la vacunación de H1N1” o  “Tu perfil personal de vacunación”. Tenga en cuenta que las líneas de asunto puede cambiar en cualquier momento.

Recomendamos a los usuarios tomar las siguientes precauciones para ayudar a mitigar los riesgos:

  • Instalar software antivirus y mantenerlo actualizado con las ultimas firmas.
  • No seguir enlaces desconocidos y no solicitados y  abrir correos electrónicos de personas o lugares desconocidos.
  • Tenga cuidado al visitar sitios web que no son de confianza.

fuente: us-cert.org

Un virus se extiende por Google Reader

Koobface, que ya atacó a redes sociales como Facebook y MySpace, está aprovechándose también de las cuentas del lector de feeds de Google para propagar su código malicioso.

Koobface, uno de los virus más extendidos por redes sociales como Facebook, MySpace y Twitter, está propagándose también a rápida velocidad por el lector de feeds de Google. Así lo ha denunciado esta mañana la compañía de seguridad Trend Micro, que ha identificado actividad de esta red zombie en la aplicación Google Reader.

Los ciberdelincuentes están albergando en el lector de Google direcciones URL que contienen imágenes que se asemejan a un vídeo de YouTube y que están siendo enviadas como spam a través del servicio (como ya se hiciera en las redes sociales mencionadas).

Cuando quien lo recibe pincha en la imagen o el título del contenido, se le lleva a una página falsa, que asemeja ser la de YouTube, y que contiene el malware de Koobface.

En la actualidad, según Trend Micro, más de 1.300 cuentas de Google Reader podrían estar ya infectadas.

fuente: itespresso.es

google_reader_enlarged

“Windows 7” es vulnerable a ocho de cada diez virus

Las primeras noticias negativas sobre Windows 7 han visto la luz a raíz de un análisis de la empresa de seguridad informática Sophos. Según la prueba a la que ha sometido al sistema operativo, ocho de cada diez virus son capaces de dañar el equipo del usuario, lo que supone que “desafortunadamente, se parece a anteriores versiones”.

El especialista Chester Wisniewski analizó Windows 7 en un ordenador “limpio” –sin ningún antivirus– y con la configuración por defecto User Account Control (UAC). El resultado fue el de que el nuevo sistema operativo de Microsoft únicamente pudo frenar la entrada de dos virus, repartidos entre ‘troyanos’ y ‘malware’.

“¿Lección aprendida?. Lo que está claro es que necesitas un buen antivirus para Windows 7, a pesar de que la compañía aseguró a través de un informe interno que las probabilidades de infección prara Windows Vista SP1 ya eran un 60 por ciento más bajas que para Windows XP”, explica Wisniewski en declaraciones recogidas por ‘Portaltic.es’.

El experto termina su análisis pidiendo a los usuarios comprar “protección adicional” a la hora de adquirir el nuevo Windows, pidiendo especial atención para el virus conocido como ‘Zbot’ que engaña al ordenador haciendo creer que está instalando un falso ‘anti- virus’.

fuente: laflecha.net

windows broken-mini

 

Aparece un nuevo troyano que cifra los archivos sin dejar nota de rescate

Symantec ha lanzado la voz de alarma de un nuevo troyano que cifra los archivos de los ordenadores pero sin dejar nota de rescate. Parece ser que el creador no ha querido ser tan obvio y deja que el usuario se las componga. Sin embargo, una búsqueda en Internet con los términos relacionados con el troyano llevan a una compañía que ofrece una manera de eliminar el malware mediante una pequeña cuota, aunque ya se ofrece una opción gratuita.

Trojan.Ramvicrype, que es el nombre del troyano, utiliza el algoritmo RC4 para cifrar los archivos de sistemas que ejecuten Windows 98, 95, XP, Windows Me, Vista, NT, Windows Server 2003 y Windows 2000, según la empresa de seguridad Symantec.

Los ordenadores que tengan archivos con la extensión .vicrypt están infectados. Una búsqueda con esta extensión termina llevando al usuario a una compañía llamada Ezquisys Software Technology, con sede en Mauritania, que ofrece un producto llamado Antivicrypt que soluciona el problema de los archivos “dañados”. Symantec, que es quien ha realizado estas investigaciones, está ofreciendo una herramienta gratuita para descifrar los archivos afectados.

No obstante, según Symantec, puede darse el caso de que un ordenador afectado no tenga acceso a Internet para buscar herramientas, gratuitas o de pago. Si un archivo en la carpeta de sistema de Windows se ha abierto recientemente, todos los archivos de la capeta del sistema será cifrados y el usuario podría ser incapaz de acceder a Internet.

Cuando el troyano se ejecuta y cifra archivos, que posteriormente renombra con la extensión .vicrypt temina mostrando una advertencia: “Vicrypt error! Please Restart Windows”.

fuente: itespresso.es

troyano-informatico