SANS Forensics: Análisis de SpyKing

SpyKing es un software que permite vigilar tu ordenador, registrando de forma secreta las pulsaciones de teclado, conversaciones de chat y mensajería instantánea, páginas visitadas, correos leídos, contraseñas tecleadas, documentos abiertos y programas ejecutados. También puede tomar capturas de pantalla como si de una cámara de vigilancia se tratase.

Se puede ejecutar en modo oculto sin ser visible para los usuarios de la máquina. Además, dispone de un panel de control desde el que se puede monitorizar la actividad de la máquina y recibir toda esta información en nuestro correo personal o vía ftp. Puede ser usado por padres que quieran controlar las actividades de sus hijos en la red, monitorizar empleados, e incluso investigar crímenes.

En SANS Computers Forensics han publicado un análisis bastante completo sobre esta herramienta.

En él, comentan que a pesar de todo el bombo que se le ha dado, el programa deja una gran huella en el sistema para ser un programa de spyware. El tráfico no está cifrado por lo que es fácil configurar filtros para monitorizarlo.

Lo peor de todo (o mejor, según ser mire), es que el software es fácil de encontrar en el registro y también es posible tracear su existencia analizando el disco duro.

fuente: securitybydefault.com

niño lupa


Las amenazas electrónicas se adaptan a las nuevas tendencias y formas de vida online de los usuarios

Internet se ha convertido en el canal perfecto para que los delincuentes accedan a un gran número de sistemas informáticos y obtengan datos financieros y otro tipo de información confidencial. La creación de malware se ha convertido en un negocio, siguiendo pautas que se asemejan a las de cualquier modelo corporativo. Los cibercriminales están cada vez más organizados, y no dejan de buscar fórmulas para mejorar la efectividad de sus amenazas electrónicas, adaptándose a las nuevas tendencias y estilos de vida online del usuario.

BitDefender ha publicado los resultados de su informe sobre malware y spam durante el primer semestre del 2009, en el que destaca un importante aumento de los intentos de phishing a través de la web 2.0 y la imitación de plantillas HTML. Entre enero y junio de 2009, 330.000 personas en todo el mundo han sido víctimas de estafas de phishing. En cuanto al malware, los troyanos han sido las amenazas más activas, y el conocido gusano Downadup ha causado el mayor daño: 11 millones de ordenadores infectados.

El malware en forma de troyano ha tenido una tendencia ascendente durante el primer semestre del año, representando el 83 % del malware mundial. Mientras que los troyanos han sido las amenazas más activas en los últimos seis meses, el gusano Downadup (también conocido como Conficker), causó el mayor daño, infectando alrededor de 11 millones de equipos en todo el mundo, un número récord jamás alcanzado anteriormente. Orientado a sistemas no actualizados con vulnerabilidades MS08-067, el gusano puede enviarse a cualquier equipo en espera a tener acceso a archivos compartidos. Aunque Microsoft publicó un parche para la vulnerabilidad, la infección todavía está en activo, comprometiendo a cientos de sistemas a diario.

Durante los seis primeros meses del año, los países más activos en términos de propagación de malware fueron China, Francia y los Estados Unidos, seguidos por Rumania, España y Australia.

Malware más difundido desde enero a junio de 2009

Posición  Malware  %

1 Trojan.Autorun.Inf 31
2 Win32.Worm.Downadup 13
3 Trojan.Wimad 13
4 Trojan.SkimTrim.HTML.A 11
5 Trojant.Agent.AKXM 10
6 Trojan.Autorun.AET 7
7 Worm.Autorun.WHG 5

DESCARGAR INFORME COMPLETO

fuente: laflecha.net

malware1

Kaspersky TOP 20, Informe de malware, Julio 09

Kaspersky Lab ha elaborado las listas de los 20 programas maliciosos más detectados en julio en los equipos de los usuarios y en los sitios web, ambas realizadas con los datos recogidos por el sistema Kaspersky Security Network.

Entre los 20 programas nocivos y potencialmente peligrosos detectados en los equipos de los usuarios se incluyen programas maliciosos (malware), programas publicitarios (adware) y programas potencialmente indeseables. Los programas Kido y Salita siguen siendo líderes en este ranking, que no muestra cambios significativos. No obstante, ha descendido ligeramente el total de equipos infectados, probablemente debido a que en verano los usuarios pasan menos tiempo frente a sus ordenadores, según Kaspersky.

Por su parte, la segunda lista Top 20 presenta datos generados por el componente antivirus e incluye los programas maliciosos detectados en páginas web y los que se intentaron descargar desde sitios web. Observando esta segunda clasificación, es posible identificar tres vulnerabilidades de scripts, llamadas DirektShow. Ya a principios de julio, los analistas de Kaspersky Lab alertaban sobre las vulnerabilidades que este script explota en el Internet Explorer (http://www.viruslist.com/en/weblog?weblogid=208187760) y, dado que es el navegador más común entre los usuarios, no sorprende que esta vulnerabilidad haya sido inmediatamente aprovechada por los ciberdelincuentes.

Esta segunda lista, que ofrece una visión general de las actuales amenazas en Internet, permite concluir, por una parte, que los cibercriminales están concentrando sus esfuerzos en descubrir nuevas vulnerabilidades en las aplicaciones más populares para explotarlas y lograr así su objetivo, que es el de infectar equipos con uno, y más frecuentemente, varios programas maliciosos.  Por otra, los cibercriminales tratan de que sus actividades pasen desapercibidas o parezca que causan daños insignificantes al equipo infectado.

VER REPORTE COMPLETO

fuente: csospain.es

kaspersky_logo

Actualización de Blackberry portadora de spyware

Una vez más Emiratos Árabes, en sus ansias de controlarlo todo, es noticia por introducir a través del operador Etisalat, una actualización para usuarios de Blackberry que contiene spyware.
Por lo visto, y gracias a esta nueva actualización, se interceptaban los mensajes de correo y SMS, así como la duración de la batería restante y se enviaban a un servidor del operador.

Se autopromocionaba como una actualización necesaria para poder seguir manteniendo el correcto servicio y en realidad contenía un fichero .JAR (en Java) que un usuario de un foro de Blackberry analizó con mayor detenimiento. “Interceptor” se llamaba la aplicación que el operador introducía en los dispositivos quedando en el la ruta: /com/ss8/interceptor/app. La forma en la que la actualización llegó a los clientes fue mediante un mensaje WAP Push, por lo que hizo al curioso usuario, sospechar. Después de desmenuzar el .JAR, este usuario llamó al operador para preguntar por la naturaleza de la actualización y allí le indicaron que efectivamente se trata de un parche oficial.

Ya hemos hablado sobre las peculiaridades de Emiratos Árabes en otros posts. Así como las llamadas y los SMS se pueden esniffar más fácilmente desde el operador, la propia arquitectura Blackberry no permite la “intercepción legal” de los mensajes que en otros países deben haber dado varios problemas.

Por lo mismo, la gente de Etisalat para satisfacer a su gobierno, ha llegado a la conclusión de que para disponer de toda la información intercambiada por sus usuarios, lo mejor era hacer un despliegue masivo en forma de actualización de operador.

fuente: securitybydefault.com

blackberry_logo


Herramienta que bloquea el acceso de spyware a tu sistema

Aunque existen muchos programas que eliminan los posibles spywares que tengamos en nuestro sistema, normalmente este tipo de software sólo se encargan de analizar el sistema buscando dichos ficheros, pero SpywareBlaster trabaja en tiempo real con lo que estarás protegido de forma continúa.

SpywareBlaster deshabilita los controles ActiveX de spyware que puedes tener en tu sistema, pero sin interferir con otros controles ActiveX inofensivos, con lo que te permite que puedes navegar tranquilo sin interrupciones de ningún tipo.

spyware-blaster

Esta herramienta se basa en una lista de los spyware más conocidos, actualizándose automáticamente, además te permite hacer un snapshot de tu sistema ciertas opciones de configuración, con lo que podrás deshacer todos los cambios realizados Spyware por algún Spyware que acceda a tu sistema.

SpywareBlaster está disponible para los sistema operativos Win2000/XP/Vista, y puede ser descargado de forma gratuita desde la página de SpywareBlaster.

fuente: websecurity

Informe Anual 2008 de Seguridad by Panda Lab

Finaliza el año 2008 y se presenta el último informe que servirá para realizar una revisión de los acontecimientos más importantes ocurridos durante el 2008. Se cierra el año presentando los datos más relevantes correspondientes al cuarto trimestre, para posteriormente centrarnos en analizar la evolución del malware a lo largo del año.El spam también ha dado que hablar este último trimestre. Pero en este caso de forma positiva, ya que tras la caída de McColo, el volumen de spam en circulación se vio notablemente reducido. Sin embargo, parece que se trató de una situación transitoria, ya que los niveles de spam vuelven a ser, a día de hoy, los habituales.

Una importante vulnerabilidad descubierta en el servicio RPC provocó que Microsoft se saltara su ciclo de emisión de parches habitual para solventar este fallo de seguridad. Además, esta vulnerabilidad permitió que un gusano de red se propagara en un tiempo record.
Los falsos antimalware ha sido una de las amenazas que más ha crecido durante el 2008.
Y es que éstos junto con los troyanos bancarios son las familias que más beneficios económicos reportan a los ciberdelincuentes.

Para cerrar el informe, se presenta un artículo en el que se muestran las tendencias más destacadas de este año y las que se esperan para el año que viene. Tambien se presenta la evolución de malware activo por países durante el año 2008 y las cifras de este trimestre

Los troyanos siguen siendo la categoría de malware predominante este trimestre incrementándose en un 17,96% con respecto al trimestre anterior, hasta situarse en un 77,49% del total del malware

En cuanto al malware activo, durante el primer semestre del año, España y especialmente Estados Unidos superaron el 40% de infección aunque su media anual es del 29,17% y 24,36% respectivamente.
Durante los primeros meses del 2008, los niveles de spam supusieron entre un 60% y un 94% de todo el correo electrónico enviado a Internet.
A raíz de la caída de McColo, los niveles de spam monitorizados por Panda Security descendieron entre un 50% y un 70%.
En los primeros 8 meses de 2008, PandaLabs ya había detectado más ejemplares de malware que en todos los años de vida de Panda, con una media de 22.000 ejemplares recibidos al día.

reporte-2008-by-panda-lab

VER EL REPORTE COMPLETO

fuente: pandalabs blog

panda_security_logo_highres