Noticias Antivirus - zonavirus.com http://www.zonavirus.com/noticias/ Noticias relacionadas con la seguridad informatica, virus, antivirus, zonavirus.com es Copyright 1998 2018 Tue, 10 Dec 2018 18:25:40 GMT Tue, 10 Dec 2018 18:25:40 GMT http://www.zonavirus.com Noticias :: zonavirus.com http://www.zonavirus.com http://www.zonavirus.com/imagenes-antivirus-virus/cabecera/logo-zonavirus-rss.jpg <![CDATA[Nueva version de elistara 40.26]]> Para control de nuevas variantes de malware segun muestras recibidas para analizar, hemos desarrollado la nueva version 40.26 del ElistarA de hoy







ElistarA







---v40.26-(10 de Diciembre del 2018) (Muestras de BackDoor.Blackshades

"WindowsUpdate.exe", BackDoor.Kirts "winsvcs.exe", DownLoader.Zurgop "*.exe",

(2)KeyLogger.Remcos "Microsoft Hd Audio.exe", PWS.Heye "Order

Ref#69765GH29-pdf.exe", (4)Ransom.GandCrab.C "*.exe", RiskTool.BitCoinMiner.BW

"winsrvcs32.exe", (11)Trojan.Emotet.C "impreadme.exe", (2)Trojan.Neurevt

"aywa539e.exe" y Trojan.Totbrick "*.exe")







saludos



ms, 10-12-2018]]>
http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4026.asp http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4026.asp Noticias Tue, 10 Dec 2018 18:25:40 GMT
<![CDATA[Informes de los preanalisis de virustotal sobre nuevas muestras que pasaremos a controlar con elistara 40.26 de hoy]]> ElistarA 40.26









BackDoor.Kirts

https://www.virustotal.com/es/file/70fdb2548ed599a5766c9fb6abffbfcb3539b8acc194a0c4a1f1947393b5270b/analysis/1544439051/





KeyLogger.Remcos

https://www.virustotal.com/es/file/76f2798819701028eae64ffa94f94c252408e6c5450ab24402be15f019324623/analysis/1544439106/





Ransom.GandCrab.C

https://www.virustotal.com/es/file/5fa15568f82ebe5bd3c70930b93d7ef0a348d06c80e441d18f53724408be65d9/analysis/1544439332/





RiskTool.BitCoinMiner.BW

https://www.virustotal.com/es/file/5a4a45a92d7de0c3e7048058e3c2e2408797b8d458cb27ce7c6619e41d351d29/analysis/1544439496/





Trojan.Emotet.C

https://www.virustotal.com/es/file/f5f4e7b656f8cfcdef2fa2fb56c9e3825c8b10047408c6020fdf86261c06b067/analysis/1544439622/





Trojan.Totbrick, TrickBot o Trickster

https://www.virustotal.com/es/file/b363a02b73bf9363c468904aa13653b877112aa44b0c6e5c101b238e39ff3cce/analysis/1544439693/





Trojan.Neurevt

https://www.virustotal.com/es/file/fbb9a6ca72e463f9961b1e2aba98184f1d7c8f2dc049f9cce4bcbf2979fec206/analysis/1544442168/













saludos



ms, 10-12-2018]]>
http://www.zonavirus.com/noticias/2018/informes-de-los-preanalisis-de-virustotal-sobre-nuevas-muestras-que-pasaremos-a-controlar-con-elistara-4026-de-hoy.asp http://www.zonavirus.com/noticias/2018/informes-de-los-preanalisis-de-virustotal-sobre-nuevas-muestras-que-pasaremos-a-controlar-con-elistara-4026-de-hoy.asp Noticias Tue, 10 Dec 2018 11:50:33 GMT
<![CDATA[Nueva variante de malware que pasamos a controlar como trojan.heyes (pws)]]>


El texto del mail es el siguiente:



___________



Asunto: Order Ref#4502300 (LAST ORDER FOR THE YEAR)

De: SALES <Sales@molco.nl>

Fecha: 06/12/2018 7:54

Para: undisclosed-recipients:;



Dear Sir,



How are you?



it was long time no contact since the fair , we hope everything is good for you.



Please kindly see attached our last order for your perusal.



Kindly give us your most competitive price and payment term for your new order as this should be our last order for the year.



Your urgent reply will be highly appreciated





My best regards



Andrew







MOLCO TRADINGS CO.,LTD

Tel:86-757-28830618

Fax:86-757-28830608ab

Mobile:86-13928299600







anexado: Order Ref#69765GH29-pdf.RAR (contiene Order Ref#69765GH29-pdf.exe malware PWS HEYE)



_______________





El preanalisis de virustotal sobre el EXE resultante ofrece el siguiente informe:



https://www.virustotal.com/es/file/fa623c9ff1ba5ce5f0b3b84c58419289332070ad2a72fc74e90e18af099c9c8f/analysis/1544437705/





Resulta ser un cazapasswords que está empaquetado dentro del RAR, expandiendose con doble extension, .PDF.EXE para engañar al usuario que no vea la segunda extensión, lo cual ocurre si no se tiene seleccionado "ver todas las extensiones"



Mucho cuidado con los mails que se reciben sin ser solicitados, como ya indicamos repetidamente:



COMO YA VAMOS INDICANDO REPETIDAMENTE, NO SE DEBEN EJECUTAR NI FICHEROS NI ENLACES NI IMAGENES, DE MAILS QUE NO SE HAYAN SOLICITADO, AUNQUE SE CONOZCA EL REMITENTE O VENGAN DE ALGUNA ENTIDAD CONOCIDA, Y MENOS ENVIAR DATOS QUE PUDIERAN SOLICITAR ...



Y CUIDADO, QUE AHORA YA NOS LLEGAN CON TODO EL MAIL EN UNA IMAGEN QUE ES UN ENLACE A UNA URL ACORTADA MALICIOSA, ASI QUE DESDE AHORA, SEGUIR LO INDICADO ANTERIORMENTE, AÑADIENDO NO PULSAR EN NINGUNA PARTE DEL MAIL, POR SI ACASO FUERA TODO ÉL UNA IMAGEN CON ENLACE A URL MALICIOSA !!!



y en particular con los XLSX anexados a mails no solicitados, no abrirlos con el Microsoft Office, sino con el WordPad, dado que no son realmente ficheros de Excel sino simples RTF con exploit similar al CV-2012 o CV-2017, que con el WordPad no actúan. Y tener en cuenta que ahora también se estila anexar RTF con extensión DOC, proceder igual que con lo indicado anteriormente.






Esperando que lo indicxado les sea de utilidad, reciban saludos



ms, 10-12-2018]]>
http://www.zonavirus.com/noticias/2018/nueva-variante-de-malware-que-pasamos-a-controlar-como-trojanheyes-pws.asp http://www.zonavirus.com/noticias/2018/nueva-variante-de-malware-que-pasamos-a-controlar-como-trojanheyes-pws.asp Noticias Tue, 10 Dec 2018 10:44:05 GMT
<![CDATA[Nueva versión del troyano bancario ‘marcher’ para android]]>


Una nueva versión del troyano bancario ‘Marcher’ ha sido detectada recientemente en Android





https://i1.wp.com/unaaldia.hispasec.com/wp-content/uploads/2018/12/android.jpg?w=720&ssl=1

ANDROID





‘Marcher’ es un troyano bancario destinado, principalmente, a robar datos bancarios, incluyendo datos de tarjetas de créditos y credenciales de acceso al sistema bancario. Para llevar a cabo el robo de datos, este malware actúa de forma similar a otras familias de malware para Android, comprobando en segundo plano las aplicaciones activas en cada momento. Si se abre una aplicación bancaria o cualquier otra aplicación afectada, el troyano muestra una ventana falsa con la imagen del banco afectado y solicitando los datos de acceso, simulando a la aplicación real para engañar al usuario y obtener las credenciales.



El equipo de análisis de malware de Hispasec ha analizado la nueva muestra, y como resultado del análisis podemos apreciar que esta nueva versión del malware introduce algunos cambios con respecto a versiones anteriores del mismo.



En primer lugar, la aplicación conecta al servidor de control a través del protocolo HTTP. Realiza una petición a las URLs hxxp://aperdosali.top/get_key y hxxp://aperdosali.top/get_file, para descargar un fichero cifrado y la clave de descifrado. Dicho fichero es un fichero APK, es decir, una nueva aplicación. Pero esta no se instalará en el dispositivo, sino que se utilizará para cargar dinámicamente el código malicioso que se encarga de mostrar y ocultar las inyecciones (ventanas falsas para robar los credenciales).



Una vez descargado el código del inyector, la aplicación envía información sobre el dispositivo (imei, número de teléfono, aplicaciones instaladas, etc.).



https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2018/12/Captura-de-pantalla-de-2018-12-08-03-29-31.png?w=1348&ssl=1



Envío de información del dispositivo cifrada



https://i2.wp.com/unaaldia.hispasec.com/wp-content/uploads/2018/12/Captura-de-pantalla-de-2018-12-08-02-00-28.png?w=1161&ssl=1



Información del dispositivo que se envía





Como podemos apreciar en la imágenes, todo el envío de información al servidor de control se hace cifrando la información e indicando el identificador del ‘bot’ (dispositivo infectado).



Esta versión de ‘Marcher’ incluye la lista de bancos y aplicaciones afectadas cifrada, por lo que no es posible acceder a ella directamente. La lista de aplicaciones afectadas y el resto de la configuración del troyano se encuentran entre los ‘assets’ de la aplicación cifrados con algoritmo DES y usando la clave 6b34f4f6.



https://i2.wp.com/unaaldia.hispasec.com/wp-content/uploads/2018/12/Captura-de-pantalla-de-2018-12-08-03-44-12.png?w=1044&ssl=1



Parte de la lista de aplicaciones afectadas



Además de la posibilidad de mostrar una ventana falsa con una versión web para el robo de credenciales, esta versión incluye inyectores nativos específicos. Para estos inyectores, se realiza una petición a la URL hxxp://aperdosali.top/inj_pkg/BASE64_PACKAGE_ID , donde BASE64_PACKAGE_ID es el identificador del paquete codificado en Base64. Como respuesta, el servidor devuelve un fichero ZIP que contiene los datos necesarios para mostrar la ventana falsa (logos de la entidad afectada y texto en el idioma que corresponda).



https://i2.wp.com/unaaldia.hispasec.com/wp-content/uploads/2018/12/Captura-de-pantalla-de-2018-12-08-03-56-38.png?w=1303&ssl=1



Datos descargados para la inyección de Eurobank



Y una vez descargados los datos necesarios para realizar la inyección, la aplicación espera a que el usuario abra la aplicación afectada para mostrar la ventana falsa.



https://i1.wp.com/unaaldia.hispasec.com/wp-content/uploads/2018/12/Captura-de-pantalla-de-2018-12-08-01-30-17.png?w=330&ssl=1



Ventana falsa para la aplicación de Eurobank



Una vez que el usuario rellena los datos y los envía, la aplicación oculta la ventana falsa y muestra la aplicación legítima mientras envía los datos al servidor de control a través de la URL hxxp://aperdosali.top/api/form. En el caso de las inyecciones que solicitan datos de tarjetas de credito, estos se envían al servidor de control a través de la URL hxxp://aperdosali.top/api/cards.



La muestra analizada afecta a aplicaciones de entidades bancarias Europeas (Austria, Alemania, Francia, Polonia, Turquía), de Estados Unidos, China, Singapure y Taiwan.



Como siempre, desde Hispasec recomendamos instalar aplicaciones de plataformas reconocidas como Google Play y nunca de lugares desconocidos. Y aunque se descarguen de plataformas reconocidas, siempre deben tener cuidado porque incluso en estas plataformas podemos encontrar de vez en cuando alguna aplicación maliciosa, como ya se hemos visto en otras ocasiones







Ver información original al respecto en Fuente:

https://unaaldia.hispasec.com/2018/12/nueva-version-del-troyano-bancario-marcher-para-android.html]]>
http://www.zonavirus.com/noticias/2018/nueva-version-del-troyano-bancario-‘marcher’-para-android.asp http://www.zonavirus.com/noticias/2018/nueva-version-del-troyano-bancario-‘marcher’-para-android.asp Noticias Tue, 10 Dec 2018 06:07:36 GMT
<![CDATA[Más de 100.000 computadoras personales se han visto afectadas en china en tan solo 4 días por un programa malicioso]]>


https://cdni.rt.com/actualidad/public_images/2018.12/article/5c0900a2e9180ffb408b4568.JPG?v=2



Se trata de un programa de secuestro o 'ransomware' que cifra los archivos —a excepción de las extensiones .gif, .exe y .tmp— y obtiene las credenciales de diferentes cuentas del usuario para pedir dinero a cambio.



La increíble compra on line de un chino ebrio: un pavo real, un cerdo vivo y una salamandra gigante

Sus blancos son exclusivamente los internautas chinos y roba contraseñas de aplicaciones populares en el país como Alipay, NetEase, Baidu Cloud Disk, Jingdong, Taobao, Tmall, QQ y AliWangWang. Toda la información recopilada se almacena en un servidor remoto controlado por los atacantes.



Además de todo ello, el virus añade un 'script' malicioso en el 'software' de programación EasyLanguage, que la mayoría de los desarrolladores utilizan para crear sus aplicaciones. Como resultado logran expandir directamente el código del 'malware' en cada aplicación.



No es un programa malicioso al uso, porque en lugar de pedir la cantidad por el rescate en bitcoines insta a pagar 16 dólares (110 yuanes) con la función WeChat Pay, informó este martes la empresa china de ciberseguridad Velvet Security.



Pese a todo ya se han encontrado vulnerabilidades en el virus, lo que ha permitido a los expertos chinos en ciberseguridad acceder al servidor de mando y control (C&C, por sus siglas en inglés) empleado para los ataques y desarrollar una herramienta para ayudar a las víctimas a recuperar sus datos. También se ha podido identificar al creador del 'ransomware' —'Luo'— y su información personal ha sido enviada a las autoridades para continuar con la investigación.







Ver información original al respecto en Fuente:

https://actualidad.rt.com/actualidad/298138-virus-wechat-secuestra-100000-computadoras-china-alipay]]>
http://www.zonavirus.com/noticias/2018/mas-de-100000-computadoras-personales-se-han-visto-afectadas-en-china-en-tan-solo-4-dias-por-un-programa-malicioso.asp http://www.zonavirus.com/noticias/2018/mas-de-100000-computadoras-personales-se-han-visto-afectadas-en-china-en-tan-solo-4-dias-por-un-programa-malicioso.asp Noticias Sat, 07 Dec 2018 17:40:30 GMT
<![CDATA[Elevación de privilegios en kubernetes]]>

kubernets-logo.png

Kubernetes es un sistema de orquestación open-source para gestionar aplicaciones en contenedores Docker, entre otros.



La vulnerabilidad, considerada de gravedad crítica, se encuentra en el componente OpenShift Container Platform 3.x y permitiría comprometer los pods en ejecución de un determinado nodo. Los pods son las unidades mínimas que puede manejar Kubernetes, y se componen de uno o más contenedores y volúmenes.



El fallo reside en una conexión TCP vulnerable, a través de la cuál un atacante remoto podría enviar peticiones especialmente manipuladas al servidor de API de Kubernetes y establecer una conexión con el backend utilizando las credenciales TLS de dicho servicio. De esta forma, podría acceder a cualquier pod en ejecución y acceder a información secreta, variables de entorno, procesos en ejecución, volúmenes, etc. Así como acceder a contenedores privilegiados. Adicionalmente, en versiones 3.6 y superiores de OpenShift Container Platform, la vulnerabilidad permitiría acceder con permisos de administrador de cluster a cualquier API del servidor de API de OpenShift, como por ejemplo los servicios ‘metrics-service’ y ‘servicecatalog’.



Un atacante con privilegios de administrador de cluster podría desplegar código malicioso o alterar alguno de estos servicios en ejecución.



Decir, que el servidor de API de OpenShift está incluido por defecto en todas las instalaciones de Kubernetes.



La vulnerabilidad ya se ha corregido y se recomienda actualizar cuanto antes.



Versiones seguras de OpenShift Container Platform:



v3.11.43-1

v3.10.72-1

v3.9.51-1

v3.8.44-1

v3.7.72-1

v3.6.173.0.140-1

v3.5.5.31.80-1

v3.4.1.44.57-1

v3.3.1.46.45-1

v3.2.1.34-2





Más información:



CVE-2018-1002105: proxy request handling in kube-apiserver can leave vulnerable TCP connections

https://github.com/kubernetes/kubernetes/issues/71411



Kubernetes Security Announcement – v1.10.11, v1.11.5, v1.12.3 released to address CVE-2018-1002105

https://groups.google.com/forum/#!forum/kubernetes-announce



Kubernetes privilege escalation and access to sensitive information in OpenShift products and services – CVE-2018-1002105

https://access.redhat.com/security/vulnerabilities/3716411



https://unaaldia.hispasec.com/2018/12/elevacion-de-privilegios-en-kubernetes.html]]>
http://www.zonavirus.com/noticias/2018/elevacion-de-privilegios-en-kubernetes.asp http://www.zonavirus.com/noticias/2018/elevacion-de-privilegios-en-kubernetes.asp Noticias Sat, 07 Dec 2018 16:35:33 GMT
<![CDATA[La detención de la vicepresidenta de huawei reaviva la tensión entre ee uu y china]]>


https://fotos.perfil.com/2018/12/05/840/0/huawei-508242.jpg

La detención de la vicepresidenta de Huawei reaviva la tensión entre EE UU y China





Canadá anunció el miércoles la detención en Vancouver de Meng Wanzhou, directora financiera de la marca china de tecnología Huawei e hija del fundador de la compañía, el pasado 1 de diciembre por violar presuntamente las sanciones de Estados Unidos sobre Irán, informa Jaime Porras. Su arresto ha sido criticado por el Gobierno chino, que ha exigido este jueves su liberación, y amenaza la reciente tregua comercial entre Estados Unidos y China, aunque Pekín ha tratado de separar ambos asuntos.



Washington ya ha solicitado la extradición de Meng, pero los detalles del caso se mantienen bajo secreto por orden judicial. El diario canadiense The Globe and Mail, que adelantó la noticia, asegura que el arresto está ligado a una supuesta violación de las sanciones contra Teherán. Al parecer, Huawei pudo enviar productos elaborados en suelo estadounidense a Irán, rompiendo con ello las normas del embargo contra Teherán. En abril, The Wall Street Journal ya informó de que el Departamento de Justicia norteamericano había abierto una investigación sobre este asunto.



La detención se produjo el mismo día en que Trump y el presidente chino, Xi Jinping, cenaban en Buenos Aires en el marco de la cumbre del G20 y acordaban una tregua comercial hasta el próximo 1 de marzo. La Casa Blanca no ha aclarado este jueves si el presidente Trump estaba informado de la detención durante la cena con su homólogo chino. En una entrevista horas después, el consejero de Seguridad Nacional, John Bolton, ha dicho que él sabía con antelación que la ejecutiva iba a ser detenida, pero que desconocía si Trump lo sabía. "Yo lo sabía con antelación. Esto es algo que recibimos del Departamento de Justicia", ha asegurado, según la NPR, la radio nacional pública.



En un intento de marcar distancias con la Administración estadounidense, el primer ministro canadiense, Justin Trudeau, ha asegurado que había sido informado previamente del arresto pero ha insistido en que no hubo intervención política en esta decisión ya que respetamos la independencia del sistema judicial.



El riesgo de que el arresto de Meng Wanzhou complique la guerra comercial de China y Estados Unidos, tras las señales de que esta iba camino de reconducirse, ha provocado caídas en los mercados internacionales. Las acciones en Wall Street perdieron más de un 3% el martes, y las bajadas continuaron en la apertura de este jueves. El miércoles los mercados permanecieron cerrados por el luto oficial decretado por el funeral del expresidente George H. W. Bush.



La protección de la industria tecnológica nacional es una prioridad de la Administración de Trump. Washington ha expresado en el pasado sus reservas a la utilización de productos de Huawei por miembros del Gobierno, alegando el riesgo de espionaje, por los supuestos vínculos entre la compañía y las autoridades de Pekín. Esas invocaciones a la seguridad nacional han frenado el desarrollo de la marca en Estados Unidos.



Huawei se convirtió recientemente en el segundo mayor fabricante del mundo de teléfonos inteligentes, desbancando a Apple y solo por detrás de la surcoreana Samsung. En reiteradas ocasiones la empresa ha negado cualquier implicación del régimen en sus operaciones, pero una nueva ley china que exige a sus empresas nacionales a acudir en ayuda de su Gobierno si así se lo exige Pekín pone en cuestión esa independencia.



La firma china publicó este jueves un comunicado en el que sostiene que Meng Wanzhou fue detenida cuando hacía escala en el aeropuerto de Vancouver. La compañía ha recibido muy poca información sobre los cargos y no tiene conocimiento de ninguna infracción por parte de la señora Meng. Huawei confía en que los sistemas legales de Canadá y Estados Unidos finalmente lleguen a una conclusión justa.



La Embajada china en Ottawa ha publicado en su página web una nota, solicitando que las autoridades canadienses y estadounidenses corrijan cualquier irregularidad en la detención y liberen a Meng. Seguiremos de cerca el desarrollo de este problema y tomaremos todas las medidas necesarias para proteger los derechos e intereses legítimos de los ciudadanos chinos, añade el mensaje.



Desde Pekín, sin embargo, intentaban bajar las revoluciones del enfrentamiento para que el arresto no haga descarrilar las negociaciones comerciales, tras el pacto alcanzado en Buenos Aires por Trump y Xi. Los equipos negociadores de China y EE UU mantienen una comunicación fluida y una buena cooperación. Confiamos en alcanzar un acuerdo en los próximos 90 días, ha declarado el portavoz del Ministerio de Comercio Gao Feng.



Similitudes con ZTE



A falta de conocer los cargos que han motivado su arresto, el caso parece similar al de la tecnológica china ZTE, que también fue objeto de una investigación en Estados Unidos por haber vendido tecnología a Irán y Corea del Norte. El Departamento de Comercio incluso llegó a prohibir a esta empresa comprar componentes fabricados en Estados Unidos, lo que puso a la compañía en serios aprietos. Finalmente, tras la orden de Trump y con el objetivo de allanar las negociaciones comerciales con China, se alcanzó un acuerdo que levantó ese veto.



La investigación sobre Huawei, en la que ha intervenido directamente el Departamento de Justicia, podría ser más grave no solamente porque nadie fue arrestado en el caso de ZTE, sino también por el enorme peso y nombre de la mujer actualmente bajo custodia en Canadá.



Huawei y ZTE son las dos empresas que registraron más patentes en el año 2017 a nivel global, según datos de la Organización Mundial de la Propiedad Intelectual. En 2017, Huawei tuvo ganancias netas por cerca de 7.300 millones de dólares (unos 6.400 millones de euros).



Las autoridades judiciales deben decidir este viernes si Meng recupera su libertad bajo fianza o si aguarda el desarrollo del proceso judicial en prisión. La propia detenida expresó a las autoridades canadienses su deseo de que no se informara a la opinión pública sobre su caso.







Ver información original al respecto en Fuente:

https://www.perfil.com/noticias/tecnologia/detuvieron-a-directiva-de-huawei-por-presunta-violacion-de-sanciones-de-eeuu-contra-iran.phtml]]>
http://www.zonavirus.com/noticias/2018/la-detencion-de-la-vicepresidenta-de-huawei-reaviva-la-tension-entre-ee-uu-y-china.asp http://www.zonavirus.com/noticias/2018/la-detencion-de-la-vicepresidenta-de-huawei-reaviva-la-tension-entre-ee-uu-y-china.asp Noticias Sat, 07 Dec 2018 08:04:27 GMT
<![CDATA[La última actualización de windows 10 genera pantallazos azules]]>


https://www.adslzone.net/app/uploads/2018/12/windows-10-1.jpg

?

El cuento de nunca acabar. Microsoft se ha visto obligada a retirar por enésima vez una actualización acumulativa de Windows 10 por provocar problemas a algunos de los usuarios que la instalaban. En este caso, los usuarios afectados estaban experimentando pantallazos azules tras instalar el parche KB4467682.



El parche KB4467682 genera pantallazos azules en algunos ordenadores



El fallo para estar concentrándose en los usuarios que tienen un Surface Book 2 que tienen instalada April 2018 Update y han recibido el parche KB4467682. Desde Microsoft han reconocido el fallo, pero actualmente no saben cuál es el patrón que genera el pantallazo azul, por lo que no están pudiendo replicarlo para encontrar una solución.



windows 10 bsod pantallazo azul



Por ello, Microsoft se ha visto obligada a retirar la actualización, y recomienda hacerlo hasta que encuentren una solución. Este parche arreglaba numerosos fallos que se producían en la última versión del sistema operativo, incluyendo el que impedía establecer un programa por defecto para abrir determinado tipo de archivos.





En palabras de la compañía, después de instalar este parche, algunos usuarios pueden encontrarse con una pantalla azul o negro con un código de error que diga System thread exception not handled. La compañía ha dejado de entregar esta actualización mediante Windows Update, y afirman que tendrán una solución disponible para la semana que viene, probablemente el martes 11 de Diciembre 2018.



El problema está en que quienes desinstalen esta actualización vuelven a encontrarse con otros problemas, como el no poder establecer programas por defecto para determinados tipos de archivo, o no poder entrar al sistema operativo usando Windows Hello para elementos como el lector de huellas o la cámara.



Como vemos, actualizar Windows 10 se está convirtiendo en una auténtica montaña rusa. Desde April 2018 Update, Microsoft ha lanzado ya más de una decena de actualizaciones y parches que han generado algún tipo de problema en los ordenadores de los usuarios. Cuando arreglan una, rompen otra sin querer, y así van arreglando e introduciendo fallos nuevos.



Este es el problema que comentamos recientemente de ver Windows 10 como un servicio, en lugar de ser un sistema operativo sólido con una única actualización anual como hace Apple con macOS. Es importante recordar también que Windows 10 es un sistema operativo de pago, y la compañía no es capaz de hacerlo estable al 100%; incluso con dispositivos que son de ellos mismos como es el caso del Surface Book 2.







Ver infirmación original al respecto en Fuente:

https://www.adslzone.net/2018/12/05/windows-10-kb4467682-bsod/]]>
http://www.zonavirus.com/noticias/2018/la-ultima-actualizacion-de-windows-10-genera-pantallazos-azules.asp http://www.zonavirus.com/noticias/2018/la-ultima-actualizacion-de-windows-10-genera-pantallazos-azules.asp Noticias Fri, 06 Dec 2018 04:36:16 GMT
<![CDATA[Nueva version de elistara 40.25]]> Para control de nuevas variantes de malware segun muestras recibidas para analizar, hemos desarrollado la nueva versión 40.25 del ElistarA de hoy







ElistarA







v40.25-( 5 de Diciembre del 2018) (Muestras de BackDoor.Kirts "winsvcs.exe",

(2)BackDoor.NetWired "Host.exe", KeyLogger.Ekstak "*.exe", (4)KeyLogger.Remcos

"cos.exe, defender.exe y remcos.exe", Ransom.Crypted007 "csrss.exe",

(5)Trojan.Emotet.C "impreadme.exe" y Trojan.Totbrick "*.exe")











saludos



ms, 5-12-2018]]>
http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4025.asp http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4025.asp Noticias Thu, 05 Dec 2018 18:28:31 GMT
<![CDATA[Nueva version de elistara 40.25]]> Para control de nuevas variantes de malware segun muestras recibidas para analizar, hemos desarrollado la nueva versión 40.25 del ElistarA de hoy







ElistarA







v40.25-( 5 de Diciembre del 2018) (Muestras de BackDoor.Kirts "winsvcs.exe",

(2)BackDoor.NetWired "Host.exe", KeyLogger.Ekstak "*.exe", (4)KeyLogger.Remcos

"cos.exe, defender.exe y remcos.exe", Ransom.Crypted007 "csrss.exe",

(5)Trojan.Emotet.C "impreadme.exe" y Trojan.Totbrick "*.exe")











saludos



ms, 5-12-2018]]>
http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4025.asp http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4025.asp Noticias Thu, 05 Dec 2018 18:28:31 GMT
<![CDATA[Nuevo ransomware "asequible"se difunde rápidamente en china]]>


¿Por qué es diferente al resto de ransomwares vistos?



Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no pide como rescate un pago en Bitcoin, sino 110 yuanes (alrededor de 14€) que se deben enviar a través de la aplicación WeChat Pay, la función de pago que ofrece la aplicación de mensajería más popular de China.



¿Cómo funciona el ransomware?



Propagación:



Según los investigadores de Velvet Security, los atacantes agregaron código malicioso al software de programación EasyLanguage utilizado por un gran número de desarrolladores de aplicaciones.



El software modificado fue diseñado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de él.



Evasión de antivirus:



Para evadir los programas de antivirus, los atacantes firmaron su código con la firma digital confiable de Tencent Technologies.



Rescate:



Una vez cifrado, el ransomware crea una nota y le pide a los usuarios que paguen la cantidad de 110 yuanes a la cuenta de WeChat de los atacantes en un plazo de tres días. Si no se paga dentro del tiempo mostrado, amenazan con eliminar automáticamente la clave de descifrado de su servidor C&C.



Robo de información y credenciales:



Una vez infectado el dispositivo, el malware recopila las credenciales de inicio de sesión de los sitios web chinos más populares y las envía a un servidor remoto.



Además, recopila información del dispositivo como: modelo de CPU, resolución de pantalla, información de la red, software instalado, etc.

¿Existen soluciones contra este malware?



Los investigadores de seguridad han descubierto que el cifrado utilizado por el ransomware es más débil de lo que parecía. Mientras que los atacantes especifican en la nota que utilizan DES para cifrar los archivos, realmente utilizan XOR y almacenan una copia de la clave de descifrado localmente.



Ruta de la clave de cifrado:

% user% \ AppData \ Roaming \ unname_1989 \ dataFile \ appCfg.cfg



Con está información, el equipo de seguridad de Velvet ha lanzado una herramienta gratuita de descifrado de este ransomware que puede desbloquear fácilmente los archivos cifrados:

https://www.huorong.cn/download/tools/HRDecrypter.exe











Ver información original al respecto en Fuente:

https://unaaldia.hispasec.com/2018/12/nuevo-ransomware-se-difunde-rapidamente-en-china.html





saludos



ms, 5-12-2018]]>
http://www.zonavirus.com/noticias/2018/nuevo-ransomware-asequiblese-difunde-rapidamente-en-china.asp http://www.zonavirus.com/noticias/2018/nuevo-ransomware-asequiblese-difunde-rapidamente-en-china.asp Noticias Thu, 05 Dec 2018 15:17:46 GMT
<![CDATA[Un eslabón malicioso en la cadena de criptomonedas]]>

https://media.kasperskydaily.com/wp-content/uploads/sites/88/2018/11/30131434/copay-supply-chain-featured.jpg



Casi todos los desarrolladores utilizan bibliotecas de terceros, donde millones de desarrolladores comparten sus creaciones con el mundo, ya que utilizar módulos para ayudarte a solucionar tus tareas puede ser muy eficaz. Pero, cuando utilizas el código de otra persona, estás confiando plenamente en los creadores de ese código, ¿verdad? BitPay, desarrollador del monedero de criptomonedas de Copay, ha descubierto las desventajas de utilizar activos de terceros de código abierto.



Copay es básicamente una multiplataforma de monedero de criptomonedas Bitcoin/Bitcoin Cash que permite a los usuarios crear monederos compartidos; se ha desarrollado con JavaScript y TypeScript y depende de una gran cantidad de bibliotecas de código abierto de terceros.



Uno de ellos es un módulo Node.js de código abierto llamado event-stream. Su repositorio en el servicio de control de versiones GitHub se mantenía gracias a un desarrollador que había perdido interés en el proyecto hace mucho tiempo y que no se había interesado por el repositorio en años. Por tanto, cuando otro desarrollador con poca o ninguna actividad previa en GitHub se acercó y preguntó si podía obtener los derechos de administrador para mantener el repositorio, el desarrollador original le concedió derechos de acceso.



El nuevo desarrollador se puso directamente a trabajar. Primero, la biblioteca event stream comenzó a utilizar el módulo llamado flatmap-stream del repositorio de GitHub del mismo desarrollador. Entonces, modificó el módulo añadiendo un código malicioso y, tres días después de la actualización, subió otra versión de flatmap-stream, este sin el código malicioso, seguramente para ocultar su actividad.



Así acabo comprometida la biblioteca de evento-stream, la cual no solo utiliza BitPay, sino muchas otras compañías. Supuestamente, estuvo comprometida durante tres días, tiempo suficiente para que los desarrolladores de Copay, quienes no se percataron de la modificación con la carga maliciosa, incluyeran la versión actualizada en la biblioteca de su proyecto. El software del monedero de criptomonedas se publicó en tiendas de aplicaciones y muchos de sus usuarios lo acabaron descargando.



Quizá, los desarrolladores de Copay no quisieron dedicar mucho tiempo en revisar los cambios de las bibliotecas que utilizaron y de esta forma garantizar la seguridad del software. Actualmente, la actualización de las bibliotecas que se utilizan en un proyecto se puede automatizar fácilmente para que ofrezca servicios de gestión como npm, ya que con él un desarrollador puede ejecutar un único comando para actualizar todos los módulos de terceros utilizados en el proyecto.



Aunque los desarrolladores echaran un vistazo a las bibliotecas actualizadas, sería complicado encontrar el código malicioso. Las bibliotecas utilizadas en un proyecto pueden depender de otras bibliotecas (al igual que event-stream dependía de flatmap-stream) y comprobar todas las dependencias puede conllevar mucho tiempo.



Según CCN, la biblioteca de flatmap-stream fue modificada para filtrar claves privadas (básicamente, contraseñas de monederos de criptomonedas) desde aplicaciones que dependían tanto de las bibliotecas de event-stream como de las de copay-dash. Esto sugiere que fuera un ataque de ciberdelincuentes dirigido contra BitPay, los creadores de Copay y los autores de copay-dash. En este caso, las claves se filtrarían solo si ambas bibliotecas fueran utilizadas y solo en productos basados en el código de Copay.



Según ArsTechnica, la carga maliciosa permitía al ciberdelincuente conseguir acceso sin autorización a los monederos de los usuarios y transferir fondos desde ahí. Fue un usuario de GitHub el que descubrió e informó del error. Pero antes, ya se habían distribuido varias versiones de monederos de Copay con código malicioso. Finalmente, BitPay lo admitió y aconsejó a los clientes que utilizaban las versiones de la 5.0.2 a la 5.1.0 que actualizaran hasta la última versión, 5.2.0. De momento, no hay información disponible sobre el número de usuarios afectados y el dinero que han perdido.



Se trata de un clásico ataque a la cadena de suministro, en el cual un ciberdelincuente compromete una biblioteca de terceros utilizada por los desarrolladores de una aplicación. El problema está en utilizar un software de código abierto gestionado por cualquiera, ya que nadie puede garantizar que funcione como ha funcionado en versiones anteriores. Pero no podemos culpar del ataque de ciberdelincuentes a los desarrolladores de software de código abierto, pues ellos proporcionan sus productos tan cual, no prometen nada.



El problema es que Copay también es de código abierto y lo utilizan muchos desarrolladores de otros monederos de criptomonedas, lo cual puede complicar aun más las cosas.



Las empresas que proporcionan software (y sobre todo software que se utiliza para transferir grandes cantidades de dinero) deberían asegurarse de que, antes de lanzar su producto, se realicen comprobaciones de seguridad con análisis exhaustivos de todas las versiones de las bibliotecas de terceros utilizadas en su proyecto.



Lo mejor para evitar problemas de seguridad en el software sería echar un vistazo al estado del repositorio, considerar las calificaciones de otros desarrolladores, comprobar la frecuencia con la que se actualiza el proyecto, cuánto tiempo hace desde la última actualización y echar un vistazo al registro de errores. En caso de encontrar algo sospechoso, se debería realizar una investigación más profunda, si no, se pasa a otro módulo.



Si una biblioteca tiene algún problema de seguridad, los clientes culpan a la compañía que proporciona el software y que depende, a su vez, de la biblioteca, aunque la culpa sea realmente de los desarrolladores de esta. Evidentemente, no estamos diciendo que no utilices productos de código abierto, pero sí te aconsejamos que estés alerta y seas precavido.







Ver información original al respecto en Fuente>

https://www.kaspersky.es/blog/copay-supply-chain-attack/17443/?utm_source=newsletter&utm_medium=Email&utm_campaign=kd%20weekly%20digest]]>
http://www.zonavirus.com/noticias/2018/un-eslabon-malicioso-en-la-cadena-de-criptomonedas.asp http://www.zonavirus.com/noticias/2018/un-eslabon-malicioso-en-la-cadena-de-criptomonedas.asp Noticias Thu, 05 Dec 2018 14:31:38 GMT
<![CDATA[Windows media player volverá a funcionar bien en windows 10 este mes]]>




En su página web oficial de soporte, la compañía de Redmond detalla los errores y problemas reconocidos en las diferentes versiones de Windows 10. Y entre algunos otros está este fallo en la barra de búsqueda de Windows Media Player. Según los detalles que aporta la propia Microsoft, es un problema que afecta a todas las versiones de Windows 10; sencillamente, cuando se reproducen determinados archivos específicos, desaparece la barra de búsqueda o deja de poder utilizarse. Algo que, por lo menos, no afecta de ninguna manera a la reproducción de archivos. Y en esta página incluyen también el tiempo previsto para la solución. En estos momentos, pone que debería llegar a mediados de diciembre de este año.





https://www.adslzone.net/app/uploads/2018/12/windows-media-player-big.jpg



¿Usas Windows Media Player? A mediados de diciembre, por fin se resolverá el problema que afecta a la barra de búsqueda en Windows 10



A mediados de diciembre quiere decir que será en el Patch Tuesday, que como decíamos, es cuando se libera la actualización más importante de Microsoft de cada mes. Además de la solución a este problema, hay una enorme cantidad de fallos de Windows 10 October 2018 Update que se resolverán con esta actualización. La mayoría de ellos, relacionados con incompatibilidad con componentes de hardware y programas de software. Y la actualización estará disponible el próximo martes 11 de diciembre.





Además de ser una actualización orientada a resolver problemas de funcionamiento del sistema operativo de Microsoft, el Patch Tuesday de cada mes trae también actualizaciones relativas a la seguridad de Windows 10. Siempre es importante aplicar estas actualizaciones más recientes tan pronto como están disponibles, por motivos de seguridad, pero esta vez es todavía más ‘urgente’, dados los fallos que ha producido Windows 10 October 2018 Update.









Ver información original al respecto en Fuente:

https://www.adslzone.net/2018/12/05/wmp-windows-10-bug-d18/]]>
http://www.zonavirus.com/noticias/2018/windows-media-player-volvera-a-funcionar-bien-en-windows-10-este-mes.asp http://www.zonavirus.com/noticias/2018/windows-media-player-volvera-a-funcionar-bien-en-windows-10-este-mes.asp Noticias Thu, 05 Dec 2018 11:14:36 GMT
<![CDATA[Nueva variante de keylogger remcos que pasamos a controlar a partir del elistara 40.25 de hoy]]>


%WinSys%\ Windows Defender\ defender.exe (+s+h+r)



intentando asi pasar desapercibido, y además guarda los datos capturados en diferentes carpetas, segun sean acciones del usuario:



%Datos de Programa%\ win\ logs.dat ->



o capturas de pantalla



%Datos de Programa%\ Screenshots\ ->





Este es el preanalisis de virustotal de la muestra recibida>

https://www.virustotal.com/es/file/590fac000e2f4cbe9a27520e6cf3223e045bc3386633c25088e55439679150f7/analysis/1543999680/





Su desarrollador, además de ser joven, es de origen italiano, segun se informó en du día en http://www.redeszone.net, indicando además que dicho malware estaba a la venta en la Dark Web.



A partir del ElistarA 40.25 de hoy lo pasaremos a controlar



saludos



ms, 5-12-2018]]>
http://www.zonavirus.com/noticias/2018/nueva-variante-de-keylogger-remcos-que-pasamos-a-controlar-a-partir-del-elistara-4025-de-hoy.asp http://www.zonavirus.com/noticias/2018/nueva-variante-de-keylogger-remcos-que-pasamos-a-controlar-a-partir-del-elistara-4025-de-hoy.asp Noticias Thu, 05 Dec 2018 09:24:11 GMT
<![CDATA[Informes de los preanalisis de virustotal sobre nuevas muestras que pasaremos a controlar con elistara 40.25 de hoy]]> ElistarA 40.25







KeyLogger.Remcos

https://www.virustotal.com/file/590fac000e2f4cbe9a27520e6cf3223e045bc3386633c25088e55439679150f7/analysis/1543999680/





BackDoor.Kirts

https://www.virustotal.com/es/file/29b1cf97d4c89bf83d4dd4f1447c3c36935ce2ec3e05ca56d47c9f3e2e581909/analysis/1544000201/





Trojan.Emotet.C

https://www.virustotal.com/es/file/46e167a396d766b855f451d2c14fce136a69458668a07174f640d3963bbdc621/analysis/1544004279/





Ransom.Crypted007

https://www.virustotal.com/es/file/0c8c5f08a6c584aaa9d1d329f8cd93d30112a5e124ca778665295672fa9575fd/analysis/1544006351/







KeyLogger.Ekstak

https://www.virustotal.com/es/file/27ba7e843135fda1c33a08d4889a698f495c754d1720d81564434c27f4bae052/analysis/1544023646/





BackDoor.NetWired

https://www.virustotal.com/es/file/08d8b50bec78d5d51973f2229a0d0d75dd88b8c4fe7efcc6d1067dd2d0c82008/analysis/1544023745/













TRABAJO EN PROCESO (Este post se irá actualizando a lo largo de la jornada, a medida que progresen mas analisis de nuevas muestras):





https://blog.satinfo.es/wp-content/uploads/2018/05/trabajo-en-proceso.jpg







saludos



ms, 5-12-2018]]>
http://www.zonavirus.com/noticias/2018/informes-de-los-preanalisis-de-virustotal-sobre-nuevas-muestras-que-pasaremos-a-controlar-con-elistara-4025-de-hoy.asp http://www.zonavirus.com/noticias/2018/informes-de-los-preanalisis-de-virustotal-sobre-nuevas-muestras-que-pasaremos-a-controlar-con-elistara-4025-de-hoy.asp Noticias Thu, 05 Dec 2018 08:53:45 GMT
<![CDATA[El riesgo de los keylogger y spyware para móviles y cómo protegernos]]> https://www.redeszone.net/app/uploads/2018/12/keylogger-spyware-movil.jpg?x=634&y=309

Keylogger y Spyware, amenazas frecuentes en móviles



Como sabemos, el malware está presente de muchas formas distintas. Podemos tener nuestro equipo infectado si navegamos por sitios fraudulentos o descargamos archivos maliciosos. Pero también al abrir un archivo adjunto que contenga alguna amenaza a través del e-mail, por ejemplo. Hoy vamos a hablar de dos amenazas que ponen en jaque a muchos usuarios de dispositivos móviles. Cada vez es más frecuente utilizar el móvil para nuestro día a día, para llevar a cabo tareas cotidianas como acceder a cuentas bancarias o redes sociales. Eso lo saben los ciberdelincuentes y es por ello que ponen sus miras en estos equipos. Vamos a explicar cómo puede afectar un keylogger y spyware a la seguridad y, especialmente, cómo protegernos de estos problemas.

Cómo actúa un keylogger para móvil



Siempre se ha dicho que los ciberdelincuentes ponen sus miras en aquello que alberga más usuarios. Esto deja claro que los móviles son hoy en día algunos de sus puntos de mira principales. El motivo es obvio: cada vez utilizamos más los móviles para navegar, para entrar en redes sociales o para confiar y utilizar aplicaciones bancarias o realizar compras.



Esto provoca que sea más importante que nunca mantener nuestros datos seguros. Evitar cualquier tipo de amenaza que pueda robar nuestras claves de acceso o llegar a la información personal. Y en este sentido hay dos amenazas que ponen en riesgo todo esto: los keylogger y los spyware. A su manera, en ambos casos corren peligro nuestras credenciales y claves de acceso.





Si nuestro sistema móvil se ve afectado por un keylogger, el ciberdelincuente no solo podría averiguar nuestras claves y todo lo que escribimos. También tendría acceso a poder enviar correos electrónicos o mensajes por redes sociales en nuestro nombre.



Un keylogger puede ser tanto una pieza de hardware como un software. Sin embargo, la inmensa mayoría es esta segunda opción. Básicamente se trata de un archivo malicioso que acaba en nuestro sistema y recopila todas las pulsaciones de teclas que realizamos. Puede, por tanto, conseguir nuestras contraseñas de acceso, detalles de contactos, cuentas de correo que iniciemos…



Hay que mencionar que algunos tipos de keylogger avanzados para móviles incluso son capaces de realizar capturas de pantalla. Esto hace que algunos métodos de acceso mejorados por parte de las aplicaciones sirvan de poco.



Aunque no es lo mismo, un spyware para móvil tiene como objetivo también recopilar información de la víctima. Modo de uso del dispositivo, información de las cuentas, etc. Un problema muy presente hoy en día, donde los datos de los usuarios son muy valiosos.



https://www.redeszone.net/app/uploads/2018/02/aumento-malware-movil-634x308.jpg

Aumento del malware para móviles



Consejos para evitar ser víctima de un ataque con keylogger



Son cada vez más aplicaciones las que permiten utilizar la autenticación de dos factores. Esto es muy interesante para protegernos de ciertas amenazas, así como la pérdida accidental de contraseñas. Una de las cuestiones más interesantes es precisamente para protegernos frente a ataques que utilicen keylogger.





Por tanto es importante utilizar esta opción disponible siempre que podamos. Pero además también conviene tener contraseñas únicas para cada servicio. De esta manera, en caso de haber sufrido un ataque de este tipo y haber expuesto nuestra clave para algún servicio, no afectaría a otras plataformas.



También es una buena idea contar con gestores de contraseñas. Son muy útiles para disponer de contraseñas fuertes y complejas, pero además disminuye la acción de un keylogger.



Por otra parte, hay que mencionar que este tipo de amenazas suele venir a través de la descarga de un archivo malicioso. Por ello hay que descargar siempre las aplicaciones desde sitios y tiendas oficiales.







Ver información original al respecto en Fuente:

https://www.redeszone.net/2018/12/04/keylogger-spyware-movil-protegernos/]]>
http://www.zonavirus.com/noticias/2018/el-riesgo-de-los-keylogger-y-spyware-para-moviles-y-como-protegernos.asp http://www.zonavirus.com/noticias/2018/el-riesgo-de-los-keylogger-y-spyware-para-moviles-y-como-protegernos.asp Noticias Thu, 05 Dec 2018 08:30:13 GMT
<![CDATA[Secuestran más de 400.000 routers en todo el mundo para minar criptomonedas]]>


?

https://www.adslzone.net/app/uploads/2018/12/mikrotik-router-715x374.jpg



Desde la creación de las criptomonedas ha surgido malware que busca aprovechar la capacidad de procesamiento de un ordenador u otro dispositivo para minarlas. Así, durante el tiempo que esté sin descubrirse, el atacante podrá ganar cientos o miles de euros sin hacer nada mientras otro paga la factura de la luz. El último ataque ha afectado a 415.000 routers en todo el mundo.



Cientos de miles de routers de MikroTik siguen sin parchearse meses después de haberse publicado la solución

Este ataque, que todavía está operativo, afecta sobre todo a los routers de la empresa MikroTik. La compañía se ha visto afectada recientemente por diversos ataques que han infectado a al menos 200.000 de sus routers. El código de la vulnerabilidad es CVE-2018-14847.



Inicialmente, la mayoría de routers afectados se encontraban en Brasil, pero se ha ido extendiendo por el mundo. De hecho, como podemos ver en el siguiente mapa, la vulnerabilidad está afectando a dispositivos que se encuentran presentes en España; y eso que ese mapa sólo muestra 500 dispositivos infectados de una de las tres maneras posibles de infectar los routers para minar criptomonedas.



https://www.adslzone.net/app/uploads/2018/12/Dtah2VKX4AEkVqD.jpg



Los scripts de minado de criptomonedas empezaron a popularizarse en 2017 después de que se desarrollase CoinHive. Añadirlo a una web era realmente sencillo, y aprovechaban la potencia del procesador para minar Monero durante el tiempo que el usuario estuviera visitando la página web.



Los scripts para minar criptomonedas siguen causando problemas en todo el mundo

Desde su creación, han surgido otros que están ganando popularidad y que se usan cada vez en más malware, como Omine o CoinImp. Mientras que CoinHive estaba presente en el 80-90% de los casos, últimamente Omine está ganando más popularidad. El objetivo que tienen es común: minar Monero, que es la que mejor se mina con procesadores.



Los usuarios afectados por esta vulnerabilidad deben descargar la última versión del firmware para el router, disponible en la página web oficial de la compañía. Además, instan a los operadores a que lancen las actualizaciones vía OTA para que se actualicen automáticamente y protejan los dispositivos sin que los usuarios tengan que hacer nada, ya que muchos de ellos no tienen ni idea de cómo se actualiza el firmware del router.



El parche para solucionar esta vulnerabilidad lleva disponible meses, y hay operadores que tenían miles de infecciones que han dejado de aparecer en los listados de infecciones. Sin embargo, hay otros tantos que no están aplicando las soluciones, y dejando vulnerables a sus clientes. El firmware más reciente de RouterOS se puede encontrar la web oficial de la compañía.











ver información original al respecto en Fuente>

https://www.adslzone.net/2018/12/04/mikrotik-400000-routers-criptomonedas/]]>
http://www.zonavirus.com/noticias/2018/secuestran-mas-de-400000-routers-en-todo-el-mundo-para-minar-criptomonedas.asp http://www.zonavirus.com/noticias/2018/secuestran-mas-de-400000-routers-en-todo-el-mundo-para-minar-criptomonedas.asp Noticias Thu, 05 Dec 2018 06:56:35 GMT
<![CDATA[Nueva version de elistara 40.24]]> Para control de nuevas variantes de malware segun muestras recibidas para analizar, hemos desarrollado la nueva versión 40.24 del ElistarA de hoy:









ElistarA











----v40.24-( 4 de Diciembre del 2018) (Muestras de BackDoor.Kirts "winsvcs.exe",

Java.SDrop(pk) "factura.jar", (3)KeyLogger.Ekstak "*.exe", KeyLogger.Remcos

"remcos.exe", (3)Ransom.Crypted007 "csrss.exe", RiskTool.BitCoinMiner.BW

"winsrvcs32.exe", (5)Trojan.Cloxer.B "jncmrrrenp.exe", (6)Trojan.Emotet.C

"impreadme.exe" y (3)Trojan.Totbrick "*.exe")











saludos



ms, 4-12-2018]]>
http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4024.asp http://www.zonavirus.com/noticias/2018/nueva-version-de-elistara-4024.asp Noticias Wed, 04 Dec 2018 18:11:30 GMT
<![CDATA[Mail que anexa fichero jar malicioso]]>




__________





Asunto: Fwd: Confirmación de pago

De: tonriera <tonriera@tonriera.net>

Fecha: 04/12/2018 4:24

Para: undisclosed-recipients:;





Buenos días ,



Adjuntamos su factura con fecha 30112018.



Gracias ,



Gerente de ventas

C / María Tubau 4, Planta 6, Oficina 5

28050 Madrid

Tel: 911 333 524 - 902 160 400

Fax: 911 330 038

http://www.tonriera.net





anexado: 095317000.JAR (malicioso)




______________





El analisis del fichero anexado ofrece el siguiente informe:





https://www.virustotal.com/es/file/b47bac828f53f3131c1453636f5f93b8d10cebcf9923de2fae94d80d5b1c43e0/analysis/1543935521/





Lo pasamos a controlar a partir del ElistarA 40.24 de hoy como JAVA SDROP (PK)





saludos



ms, 4-12-2018]]>
http://www.zonavirus.com/noticias/2018/mail-que-anexa-fichero-jar-malicioso.asp http://www.zonavirus.com/noticias/2018/mail-que-anexa-fichero-jar-malicioso.asp Noticias Wed, 04 Dec 2018 15:03:38 GMT
<![CDATA[Microsoft estaría trabajando en un navegador basado en chromium para sustituir al actual edge]]> 12c193_chromium-edge15_news.jpg

Puede que Edge no sea un mal navegador, pero tampoco se puede decir que haya logrado la más fabulosa de las recepciones a pesar de los intentos de Microsoft. El sustituto del clásico Internet Explorer apenas ha logrado dejar su huella en un mercado dominado por Google, motivo por el cual la firma de Redmond estaría dispuesta a abandonar sus fundamentos técnicos en favor de un fork de Chromium. Así lo cuenta Windows Central, habitualmente muy bien conectada.



De acuerdo con las fuentes del sitio, Microsoft tirará la toalla con EdgeHTML y dará el salto al motor de Chrome. El nuevo navegador, conocido internamente como Anaheim, será instalado por defecto en Windows. Lo que no está claro es si Microsoft mantendrá la marca Edge o si apostará por una nueva denominación, pero sea como sea estaríamos ante un navegador prácticamente nuevo a efectos técnicos.



A nivel de usuario existen ciertas dudas, como si por ejemplo Microsoft mantendrá la interfaz de Edge. Lo que sí notarán los usuarios es que los sitios web habituales se comportarán en este nuevo navegador igual que lo harían en Chrome, eliminando problemas de estabilidad y renderizado. Será interesante conocer si el nuevo motor también traerá consigo un mejor soporte para complementos, que iban a ser uno de los fuertes de Edge.



Como detalle curioso, Microsoft ya tiene un navegador basado en Chromium. Se trata de la versión de Edge para dispositivos Android.



Windows Central señala que Anaheim debería formar parte del ciclo de desarrollo de la primera mitad de 2019, por lo que los miembros del programa Insider deberían poder probarlo más pronto que tarde. De ser así (y todo apunta a ello, considerando que varios desarrolladores de Microsoft han comenzado a aportar código al proyecto Chrome), seguramente tendremos muchos más detalles sobre el nuevo navegador en cuestión no de meses, sino posiblemente semanas.



La disponibilidad pública abierta dependerá de numerosos factores, por lo que todavía resulta aventurado señalar una fecha de lanzamiento.



https://www.elotrolado.net/noticia_microsoft-estaria-trabajando-en-un-navegador-basado-en-chromium-para-sustituir-al-actual-edge_38816]]>
http://www.zonavirus.com/noticias/2018/microsoft-estaria-trabajando-en-un-navegador-basado-en-chromium-para-sustituir-al-actual-edge.asp http://www.zonavirus.com/noticias/2018/microsoft-estaria-trabajando-en-un-navegador-basado-en-chromium-para-sustituir-al-actual-edge.asp Noticias Wed, 04 Dec 2018 14:25:30 GMT