Noticias Antivirus - zonavirus.com

Nuevo malware casi no detectado por los antivirus actuales, trojan.win32.pincav.afqa

Fri, 02 Sep 2010 15:15:32 GMT

Una nueva variante que solo es controlada actualmente por muy pocos antivirus (solo 7 de 42) ser� controlada a partir del ElistarA 21.53 de hoy:

Trojan.Win32.Pincav.afqa

Nombre Archivo : VSBNTLO.EXE.Muestra EliStartPage v21.52
Tama�o Archivo : 26112 byte
Tipo Archivo : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : dfa42b23b551906ac81502c6c8bf9923
SHA1 : 21ebedb758ba186a4089fe1b6238fdd5c008f3ff

Ha sido gracias a una muestra pedida por el ElistarA que hemos detectado como sospechoso dicho fichero, el cual aparcaba dicho fichero, pero ya con la version 21.53 de hoy, que estar� disponible en nuestra web a partir de las 19 horas, pasamos a controlarlo y eliminarlo

saludos

ms, 2-9-2010

Un nuevo falso mail, que esta vez aparenta venir de "caixa catalunya"

Fri, 02 Sep 2010 14:21:53 GMT

Se est� recibiendo un falso mail con estas caracteristicas:

__________________

From: Caixa Catalunya
X-Mailer: The Bat! (v3.80.06) Educational
Reply-To: versusuo28@rhovyl.com
X-Priority: 3 (Normal)
Message-ID: <197813251.57382721882221@rhovyl.com>
To: snpicy@
Subject: actualizar la informacion de su cuenta
MIME-Version: 1.0

Estimado cliente,

Ha llegado a nuestra atenci�n que de su Caixa Catalunya cuenta las necesidades de informaci�n que se actualizar� como parte de nuestro continuo compromiso para proteger su cuenta y para reducir los casos de fraude en nuestra p�gina web. Si por favor pueden tomar 5-10 minutos fuera de su experiencia en l�nea y actualizar sus registros personales, no se publicar�n en el futuro problemas con el servicio online.

Sin embargo, el hecho de no actualizar sus registros se traducir� en cuenta la suspensi�n.

Una vez que haya actualizado los registros de su cuenta, su cuenta de Caixa Catalunya actividad no ser� interrumpida y continuar� con normalidad.

Haga clic aqu� para actualizar la informaci�n de su cuenta <--- link malicioso que redirije a una IP de dominio italiano ??? http://chilp.it/, pero lleva a una web rusa que intercepta el SiteAdvisor de McAfee

Nota: Este e-mail es generado de manera automatica, por favor no responda a este mensaje.

Copyright � Caixa d�Estalvis de Catalunya, Tarragona y Manresa todos los derechos reservados.

___________________

Si bien la redacci�n ya duele a los ojos, al pulsar en el link (lo cual NO DEBE HACERSE) se accede realmente a una web rusa, que el Site Advisor de McAfee intercepta:

virtdcru.JPG
http://www.satinfo.es/blog/wp-content/u ... rtdcru.jpg

Est� claro que es otra variante de cazapasswords bancario que conviene evitar ... !!!

saludos

ms, 2-9-2010

Un nuevo troyano bancario utiliza el rescate de los mineros en chile para su difusi�n

Fri, 02 Sep 2010 11:56:56 GMT

El c�digo malicioso Banbra.GUC accede a datos bancarios de los usuarios afectados e instala malware adicional en los equipos.

Los cibercriminales son especialistas en utilizar las noticias de mayor repercusi�n para difundir sus c�digos maliciosos. En esta ocasi�n, el drama que est�n viviendo los 33 mineros chilenos atrapados a casi 700 metros de profundidad se ha convertido en un gancho ideal para difundir un troyano bancario.

El c�digo malicioso se denomina Banbra.GUC y se difunde a trav�s de un video sobre el rescate de los mineros. Al ejecutarse, el troyano muestra el v�deo a la vez que captura contrase�as de acceso a servicios de banca online, sin que el usuario se de cuenta.

Este troyano es especialmente peligroso, ya que adem�s del robo de datos bancarios te instala malware adicional que el ciberdelincuente que lo controla puede actualizar a su antojo.

Entre las entidades afectadas por este troyano, se encuentra el Banco Santander o el Banco do Brasil.

Cuando el usuario visita los sites de estos bancos, el c�digo malicioso descarga unos ejecutables que simulan ser la p�gina en cuesti�n. Una vez que el usuario ha introducido sus datos, el ejecutable se cierra y devuelve al internauta a la p�gina real del banco, para despu�s enviar la informaci�n robada a su creador a trav�s de correo electr�nico. Escrito por Helga Yag�e
Fuente

Comentario:
Pues ojo que este no solo es cazapasswords, sino que ademas instala un backdoor para lo que se le antoje al autor ...!

saludos

ms, 2-9-2010

Ampliaci�n detalles de este nuevo malware:

El archivo malicioso llega al ordenador con el siguiente icono:

icono troyano Chile http://www.satinfo.es/blog/wp-content/uploads/2010/09/Icon_Chile.jpg

Cuando este archivo es ejecutado, se abre el navegador de Internet Explorer con la p�gina original de YouTube y muestra un v�deo de un canal de noticias sobre el rescate de los mineros chilenos atrapados en una mina desde hace varios d�as.

Las siguientes im�genes corresponden al v�deo mostrado por el troyano:

imagenes youtube Chile http://www.satinfo.es/blog/wp-content/uploads/2010/09/YouTube_Chile.jpg

Pero todo esto no es m�s que una maniobra de distracci�n.

Mientras estamos viendo el v�deo, el troyano se instala en el ordenador, crea una copia de s� mismo y una entrada en el Registro de Windows para ejecutarse en cada inicio.

En el siguiente reinicio, se conecta a un servidor FTP, desde el que se descarga diversos archivos ejecutables que guarda en el sistema.

Estos archivos contienen p�ginas web falsas que copian el formato y el contenido de las p�ginas web originales de los servicios afectados, entre ellos, varios bancos brasile�os, el servicio de correo de Hotmail y la red social Orkut.

Los bancos brasile�os afectados, entre otros, son:

Banco do Brasil
Banco Real
Banco Santander Brasil
Bradesco
Caixa Brasil
Ita�
Unibanco

El archivo principal monitoriza el tr�fico de red y cuando detecta que el usuario teclea en la barra de direcciones alguna de las p�ginas web afectadas, selecciona el archivo que contiene la p�gina web falsa del servicio afectado.

A continuaci�n, cierra el navegador de Internet Explorer y activa el ejecutable correspondiente. Este archivo mostrar� una p�gina que imita a la original, pero en la que no funcionar�n ninguno de los enlaces y secciones, excepto las partes correspondientes a formularios, con el objetivo de robar informaci�n bancaria, contrase�as, direcciones de correo electr�nico, etc.

Una vez que hayamos completado los campos correspondientes, la p�gina web falsa se cerrar� y se abrir� la original.

Toda la informaci�n recogida se almacena en el ordenador en unos archivos, que son posteriormente enviados a trav�s de correo electr�nico a su creador.

Este troyano puede ser distribuido a trav�s de mensajes de correo electr�nico o enlaces publicados en redes sociales, por lo que es necesario extremar las precauciones ante este tipo de situaciones y, sobre todo, ser prudente.
Fuente

ms.

Nuevo downloader que utiliza el nombre de svchost.exe

Fri, 02 Sep 2010 09:48:02 GMT

Ya son bastantes los malwares que utilizan el nombre del Lanzador de Tareas de WINDOWS para pasar desapercibidos

En este caso es mas de lo mismo, detectado por un 51 % de los antivirus, por lo que segun el que se tenga instalado, puede ser detectado o no.

El preanalisis con el VirusTotal ofrece el siguiente informe

File name: svchost.exe
Submission date: 2010-09-01 18:58:14 (UTC)
Current status: finished
Result: 22 /43 (51.2%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.01.01 2010.09.01 Worm/Win32.Agent
AntiVir 8.2.4.46 2010.09.01 TR/Downloader.Gen
Antiy-AVL 2.0.3.7 2010.09.01 Worm/Win32.Agent
Authentium 5.2.0.5 2010.09.01 -
Avast 4.8.1351.0 2010.09.01 Win32:Agent-NGJ
Avast5 5.0.594.0 2010.09.01 Win32:Agent-NGJ
AVG 9.0.0.851 2010.09.01 Generic18.AISN
BitDefender 7.2 2010.09.01 -
CAT-QuickHeal 11.00 2010.09.01 -
ClamAV 0.96.2.0-git 2010.09.01 -
Comodo 5936 2010.09.01 -
DrWeb 5.0.2.03300 2010.09.01 Trojan.Siggen.64503
Emsisoft 5.0.0.37 2010.09.01 Trojan.Inject!IK
eSafe 7.0.17.0 2010.09.01 -
eTrust-Vet 36.1.7830 2010.09.01 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.01 -
Fortinet 4.1.143.0 2010.09.01 -
GData 21 2010.09.01 Win32:Agent-NGJ
Ikarus T3.1.1.88.0 2010.09.01 Trojan.Inject
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2406 2010.08.31 -
Kaspersky 7.0.0.125 2010.09.01 Email-Worm.Win32.Agent.gld
McAfee 5.400.0.1158 2010.09.01 Generic.dx!tqe
McAfee-GW-Edition 2010.1B 2010.09.01 Heuristic.BehavesLike.Win32.Downloader.F
Microsoft 1.6103 2010.09.01 Spammer:Win32/Campsafe
NOD32 5416 2010.09.01 a variant of Win32/Wigon.DC
Norman 6.05.11 2010.09.01 W32/Suspicious!api.A
nProtect 2010-09-01.01 2010.09.01 -
Panda 10.0.2.7 2010.09.01 Suspicious file
PCTools 7.0.3.5 2010.09.01 -
Prevx 3.0 2010.09.01 Medium Risk Malware
Rising 22.63.02.04 2010.09.01 Trojan.Win32.Generic.522DC26E
Sophos 4.56.0 2010.09.01 Mal/Basine-A
Sunbelt 6822 2010.09.01 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.09.01 -
Symantec 20101.1.1.7 2010.09.01 -
TheHacker 6.5.2.1.360 2010.09.01 -
TrendMicro 9.120.0.1004 2010.09.01 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.09.01 -
VBA32 3.12.14.0 2010.09.01 -
ViRobot 2010.8.31.4017 2010.09.01 -
VirusBuster 12.64.13.0 2010.09.01 -
Additional informationShow all
MD5 : 77b07157bfa725d4671de2df0bb26396
SHA1 : c90335261f1aec40f9bf45eec98d94d296bcc8b7

Con la version de hoy del ElistarA 20.53 , que estar� disponible a partir de las 19 h de hoy en nuestra web, ya se controlar� y eliminar� esta nueva variante

saludos

ms, 2-9-2010

Denegaci�n de servicio en cisco ios xr

Fri, 02 Sep 2010 05:57:04 GMT

Cisco ha confirmado una vulnerabilidad de denegaci�n de servicio remota que afecta a todos los dispositivos con Cisco IOS XR configurados con rutado BGP.

El problema se produce cuando un par BGP anuncia un prefijo con un atributo transitivo espec�fico y v�lido, pero no reconocido. A la recepci�n de este prefijo, el dispositivo Cisco IOS XR destinatario corrompe el atributo antes de enviarlo a los dispositivos vecinos. Esto provoca que los dispositivos vecinos reinicien la sesi�n de pares BGP.

Ni Cisco IOS ni los dispositivos Cisco IOS XR que no est�n configurados para rutado BGP no se ven afectados.

Cisco ha publicado actualizaciones para evitar este problema, disponible desde el sitio de descargas: http://www.cisco.com/public/sw-center/sw-usingswc.shtml
Fuente

Comentario:
Se recomienda consultar el bolet�n publicado disponible en:
http://www.cisco.com/warp/public/707/ci ... -bgp.shtml

saludos

ms, 2-9-2010

Problema en novell identity manager revela contrase�as

Fri, 02 Sep 2010 05:51:09 GMT

Se ha anunciado un problema de seguridad en Novell Identity Manager por la que un usuario local podr�a obtener las contrase�as del administrador.

Novell Identity Manager es una familia de soluciones destinada a gestionar la identidad y el acceso a trav�s de entornos f�sicos, virtuales y en la nube.

El problema surge durante la instalaci�n de Novell Identity Manager (IDM) cuando se solicitan las credenciales al administrador para el �rbol de eDirectory. Sin embargo, todos los pasos de la instalaci�n se graban en un archivo de log en "/tmp/idmInstall.log" y en algunos casos puede almacenar las credenciales del administrador.

El archivo log generado no es necesario por IDM una vez finalizada la instalaci�n, tan s�lo se crea para posibles fallos durante dicho proceso. Por ello, debe ser eliminado una vez completada la instalaci�n.
Fuente

Comentario:
Pues a borrar este "/tmp/idmInstall.log" !!!

saludos

ms, 2-9-2010

Actualizaci�n de tweetdeck, nuevo pretexto de cibercriminales

Thu, 01 Sep 2010 13:30:52 GMT

Desde el lunes pasado un grupo de cibercriminales comenzaron a distribuir mensajes en la red social que invitan a los usuarios a descargar la �ltima versi�n de TweetDeck, que en realidad es un troyano que infecta su equipo y compromete su informaci�n sensible.

La informaci�n divulgada en diversos sitios web asegura que los mensajes con la actualizaci�n falsa incluyen leyendas como Ap�rate a descargar la actualizaci�n de TweetDeck o Descarga ahora mismo el update de Tweet Deck.

Sin embargo, aquellos usuarios que han ca�do en la trampa aseguraron que el mensaje falso contiene un archivo ejecutable bajo el nombre de tweetdeck-08302010-update.exe., contenido en un hiperv�nculo que, contrario a llevarte al sitio de TweetDeck los usuarios descargan un programa malicioso en su equipo de c�mputo, seg�n los datos revelados por Graham Culey, investigador de seguridad de Sophos en su blog.

Culey inform�, que al ser TweetDeck una compa��a de origen londinense, el ataque por el momento �nicamente se ha distribuido en Reino Unido, sin embargo, espera que su distribuci�n alcance otras regiones en poco tiempo. De igual forma reconoci� que no es la primera vez que los cibercriminales utilizan la imagen de la aplicaci�n para infectar usuarios.

Hace un par de meses, la misma gente de TweetDeck advirti� a los usuarios de un grupo criminales que subieron una aplicaci�n falsa de TweetDeck al Andriod Market de Google, para dispositivos m�viles, record� Culey.

La compa��a ya liber� un comunicado en su sitio web, en donde advierte de este problema y recuerda a todos sus usuarios que las actualizaciones del programa, nunca ser�n distribuidas por Twitter y, �nicamente podr�n obtenerse del sitio oficial de TweetDeck.
Fuente

Pues los que usan el Twitter, mucho cuidado con ello !

saludos

ms, 1-9-2010

Top de los timos m�s extendidos en internet

Thu, 01 Sep 2010 12:55:32 GMT

- Cada a�o, miles de usuarios son v�ctimas de timos a trav�s de la Red que buscan siempre el beneficio econ�mico a trav�s de la estafa y el enga�o. Aprender a reconocerlos es la mejor defensa

Los tecnicos de Panda han elaborado el ranking de los timos m�s frecuentes que han ido apareciendo a lo largo de los �ltimos a�os y que se siguen cobrando v�ctimas. El objetivo es siempre el mismo: conseguir estafar a los usuarios para conseguir cuant�as econ�micas que pueden ir desde los 500 $ hasta miles de d�lares.

T�picamente, todos funcionan de la misma manera: suelen llegar bien a trav�s de correo electr�nico o por las aplicaciones de mensajer�a interna de redes sociales que ofrecen gratuitamente este tipo de servicios. En la comunicaci�n, instan al usuario a realizar alguna acci�n proactiva (contestar por correo, llamar por tel�fono, enviar un fax, etc.). Al contestar, se inicia una conversaci�n que busca generar confianza en la v�ctima, terminando siempre en la solicitud de una cuant�a econ�mica para diferentes motivos.

En t�rminos de distribuci�n y frecuencia de recepci�n de este tipo de mensajes, PandaLabs ha elaborado el ranking de los timos m�s frecuentes de los �ltimos 10 a�os, que son los siguientes:

- Nigerianos: este es el primer tipo de timo que apareci� en internet, y a�n hoy en d�a sigue siendo utilizado por los ciberdelincuentes. Nos llega en forma de correo electr�nico, donde nos comunican que necesitan sacar una importante cantidad de dinero (millones de d�lares) de su pa�s (normalmente Nigeria, de ah� el nombre de �timo nigeriano�). Nos quieren utilizar para sacar el dinero de su pa�s, llegando a prometernos grandes cantidades de dinero. Si accedemos finalmente nos pedir�n que les paguemos una �peque�a� suma para sufragar los gastos de la transferencia bancaria (alrededor de 1.000$). Una vez ingresado este dinero en una cuenta bancaria suministrada, el contacto desaparece y habremos perdido nuestro dinero.

- Loter�as: el mecanismo es muy parecido al de los timos nigerianos. Recibimos un correo en el que nos notifican que hemos sido ganadores de un sorteo, y que necesitan nuestros datos para transferirnos el dinero (de nuevo cantidades de muchos millones de d�lares). Al igual que en el timo nigeriano, finalmente nos solicitar�n una cantidad para hacer frente a los gastos de la transferencia, unos 1.000$, que volveremos a perder.

- Novias: Una chica guapa, normalmente procedente de Rusia, ha encontrado nuestra direcci�n de correo y quiere hablar con nosotros. Siempre son j�venes y les encantar�a visitar nuestro pa�s y conocernos, debido a un enamoramiento que alagar� a cualquiera. Querr�n venir a visitarnos y en el �ltimo momento habr� alg�n problema que requerir� que enviemos una peque�a cantidad (1.000$) para pagar los billetes, solucionar un problema de visado, etc. Evidentemente, no s�lo desaparecer� el dinero, sino tambi�n la novia.

- Ofertas de trabajo: recibimos un mensaje de una compa��a extranjera que busca agentes financieros en nuestro pa�s. Prometen un trabajo sencillo, desde casa, donde podremos ganar alrededor de 3.000$ trabajando 3-4 horas diarias. Si aceptamos nos pedir�n nuestros datos bancarios. Realmente se trata de ciberdelincuentes que nos utilizar�n para robar el dinero de personas a las que han robado sus credenciales bancarias. Transferir�n dinero de las cuentas comprometidas a nuestras cuentas, y luego nos pedir�n que les enviemos ese dinero utilizando Western Union. De esta forma nos convertimos en muleros, y cuando la polic�a investigue los robos nos detendr� a nosotros como c�mplices. Tambi�n llamado scam, es una combinaci�n, aunque no un timo como el resto, ya que el mulero tambi�n sale beneficiado, aunque est� cometiendo un delito sin saberlo.

- Facebook / Hotmail: los delincuentes acceden a una cuenta de Facebook, Hotmail, o un servicio similar, tras conseguir la contrase�a. A continuaci�n, cambian las credenciales para que el usuario real no pueda acceder, y env�an un mensaje a todos sus contactos diciendo que est� de viaje (Londres suele ser la ciudad elegida) y que le han robado justo antes de marcharse, que tiene los billetes de avi�n pero necesita pagar el hotel y nos solicita que le enviemos una peque�a cantidad de dinero, entre 500 y 1.000$.

- La compensaci�n: esta es una de los timos m�s recientes, derivado del timo nigeriano. Es un mensaje de correo donde se nos comunica que se ha creado un fondo para compensar a v�ctimas de timo nigeriano, y que han visto que nuestra direcci�n de correo se encontraba entre las posibles afectadas. Nos ofrecen una compensaci�n (alrededor de 1 mill�n de d�lares) pero como en el timo original, nos pedir�n que adelantemos una peque�a suma, 1.000$.

- La equivocaci�n: se est� volviendo muy popular en los �ltimos meses, sobre todo debido a la crisis econ�mica y a la dificultad que entra�a la venta de bienes e inmuebles. Se ponen en contacto con usuarios que han publicado un anuncio de venta de una casa, apartamento, coche, etc., en cualquiera de los portales de anuncios clasificados que existen. Tras expresar un gran inter�s en comprar nuestra oferta, y de forma muy r�pida, nos env�an un cheque por una cantidad equivocada (siempre m�s de lo solicitado). Posteriormente, nos pedir�n que le devolvamos la diferencia ya que ha habido una confusi�n. Tras hacer el ingreso, la v�ctima nunca cobrar� el cheque, seguir� con su propiedad sin venderla y habr� perdido el dinero transferido.

�Qu� hacer ante un timo de estas caracter�sticas?

Es natural que si no conocemos este tipo de t�cnicas delictivas, podamos pensar que realmente nos ha tocado la loter�a o hemos ligado a trav�s de Internet. Algunos consejos para intentar estar a salvo de estos timos son:

- Tener instalado un buen antivirus con capacidad de detecci�n de spam. Muchos de estos mensajes son detectados y clasificados como correo basura por la mayor�a de soluciones de seguridad. Esto nos ayudar� a desconfiar de la veracidad del contenido de los correos electr�nicos.

- Aplicar el sentido com�n. Como siempre decimos, es nuestro mejor aliado. Pensemos que nadie regala nada, y que el amor a primera vista por foto y a trav�s de Internet es remotamente posible. Por regla general, recomendamos siempre desconfiar de este tipo de contactos desde el principio.

- Internet es muy buena herramienta para muchas cosas, pero si queremos vender algo, es mejor tener al comprador f�sicamente frente a nosotros. Por lo tanto, en el caso de contactos virtuales, recomendamos trasladar la operaci�n al mundo real de forma que nos aseguremos en mayor medida de las intenciones de nuestro comprador.

Si a�n as� hemos sido estafados, se recomienda siempre proceder a denunciar el hecho ante las autoridades. Aunque es complicada la persecuci�n del delito, cada vez m�s los cuerpos de seguridad est�n siendo capaces de llegar hasta estos ciberdelincuentes, se�ala Luis Corrons de Panda.
Fuente

saludos

ms, 1-9-2010

Otro autorun con ejecutable con una carpeta como icono

Thu, 01 Sep 2010 11:39:18 GMT

Este nuevo especimen es un AUTORUN.VB.GS, que mas de lo mismo, pero con la particularidad de tener como icono una carpeta

http://www.satinfo.es/blog/wp-content/uploads/2010/09/icono-importanteexe.jpg

Como siempre, recomendamos configurar windows de forma que se vean las extensiones, para, en lo posible, poder evitar ejecutar estos ficheros pensando que se trata de una carpeta ...

El preanalisis con el Virus Total nos reporta el siguiente informe:

File name: importante.gxe
Submission date: 2010-09-01 10:32:22 (UTC)
Current status: finished
Result: 36 /43 (83.7%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.01.00 2010.09.01 Worm/Win32.VB
AntiVir 8.2.4.46 2010.09.01 Worm/VB.azt.18
Antiy-AVL 2.0.3.7 2010.09.01 Worm/Win32.VB
Authentium 5.2.0.5 2010.09.01 W32/Worm.AXQH
Avast 4.8.1351.0 2010.09.01 Win32:Malware-gen
Avast5 5.0.594.0 2010.09.01 Win32:Malware-gen
AVG 9.0.0.851 2010.08.31 Worm/Generic.APMM
BitDefender 7.2 2010.09.01 Worm.Generic.252793
CAT-QuickHeal 11.00 2010.09.01 Trojan.Agent.ATV
ClamAV 0.96.2.0-git 2010.09.01 W32.Sality-81
Comodo 5933 2010.09.01 -
DrWeb 5.0.2.03300 2010.09.01 -
Emsisoft 5.0.0.37 2010.09.01 Email-Worm.Win32.Brontok.N!IK
eSafe 7.0.17.0 2010.08.30 -
eTrust-Vet 36.1.7830 2010.09.01 -
F-Prot 4.6.1.107 2010.08.31 W32/Worm.AXQH
F-Secure 9.0.15370.0 2010.09.01 Worm.Generic.252793
Fortinet 4.1.143.0 2010.08.31 -
GData 21 2010.09.01 Worm.Generic.252793
Ikarus T3.1.1.88.0 2010.09.01 Email-Worm.Win32.Brontok.N
Jiangmin 13.0.900 2010.08.30 Worm/VB.bbd
K7AntiVirus 9.63.2406 2010.08.31 EmailWorm
Kaspersky 7.0.0.125 2010.09.01 Worm.Win32.VB.azt
McAfee 5.400.0.1158 2010.09.01 Artemis!7A8FC49162A4
McAfee-GW-Edition 2010.1B 2010.09.01 Artemis!7A8FC49162A4
Microsoft 1.6103 2010.09.01 Worm:Win32/Autorun
NOD32 5414 2010.09.01 Win32/AutoRun.VB.GS
Norman 6.05.11 2010.08.31 W32/Rustock.CFT
nProtect 2010-09-01.01 2010.09.01 Worm.Generic.252793
Panda 10.0.2.7 2010.08.31 Trj/Clicker.WM
PCTools 7.0.3.5 2010.09.01 Net-Worm.SillyFDC
Prevx 3.0 2010.09.01 -
Rising 22.63.02.04 2010.09.01 -
Sophos 4.56.0 2010.09.01 Mal/Generic-L
Sunbelt 6820 2010.09.01 Trojan.Win32.Generic!SB.0
SUPERAntiSpyware 4.40.0.1006 2010.09.01 Trojan.Agent/Gen-Faker
Symantec 20101.1.1.7 2010.09.01 W32.SillyFDC
TheHacker 6.5.2.1.360 2010.09.01 W32/VB.azt
TrendMicro 9.120.0.1004 2010.09.01 BKDR_RUSTOCK.DV
TrendMicro-HouseCall 9.120.0.1004 2010.09.01 BKDR_RUSTOCK.DV
VBA32 3.12.14.0 2010.09.01 Trojan.VB.Tribant
ViRobot 2010.8.31.4017 2010.09.01 Worm.Win32.VB.77824.BJ
VirusBuster 5.0.27.0 2010.08.31 Worm.VB.HSUI
Additional informationShow all
MD5 : 7a8fc49162a4c5eafd3ab0dfb9b5f5af
SHA1 : d30bd95dd77b97c6e7374cfd414b6498f9f9dac2

A partir del ElistarA 21.52 de hoy ya controlaremos esta nueva variante

Estar� disponible a partir de las 19 h en nuestra web

ms, 1-9-2010

Peligroso 0-day exploit para apple quicktime player en windows

Thu, 01 Sep 2010 11:17:00 GMT

Ayer, Rub�n Santarmarta, investigador espa�ol de seguridad, sac� a la luz p�blica una vulnerabilidad que permite ejecutar c�digo arbitrario en todas las versiones de Windows a partir de una vulnerabilidad en Apple Quicktime Player que lleva 9 a�os escondida y que ha dado la vuelta al mundo.

La vulnerabilidad se debe a un par�metro olvidado, llamado "_Marshaled_pUnk", en el visor de QuickTime que se utilizaba para cargar elementos dentro de la ventana. Esta funcionalidad se elimin�, pero como dice el propio Rub�n Santamarta en la publicaci�n de su exploit, parece que alguien se olvido de limpiarlo.

Para explotar la vulnerabilidad, Rub�n utiliz� una t�cnica llamada ROP (Return Oriented Programing) por la que, mediante la carga de la librer�a WindowsLiveLogin.dll, presente en todos los equipos en los que est� instalado Windows Live Messenger, pudo reorganizar el c�digo para generar un exploit funcional en Internet Explorer 8 y Windows 7.

Como mitigar el impacto

Actualmente no hay parche oficial, y es posible que el n�mero de exploits que utilicen este vector de ataque se dispare, por lo que se recomienda controlar el uso del visor de QuickTime en Internet. Para ello, se puede utilizar la funcionalidad que ofrece Internet Explorer para elegir qu� usuarios y qu� dominios pueden cargar un determinado componente en Internet Explorer 8.

En el blog Windows T�cnico hay un interesante art�culo que explica como configurar los componentes de Internet Explorer 8 de esta forma.

Adem�s, desde que Internet Explorer 8 est� integrado completamente en las pol�ticas de Active Directory, se recomienda gestionar la carga de componentes en el navegador de forma centralizada mediante una pol�tica corporativa.
Fuente

Comentario:
Esperemos que el proximo dia 14, 2� martes de Setiembre, Microsoft publique el parche al resp�cto, pero de momento tener presente lo indicado.

saludos

ms, 1-9-2010

Nuevo phishing del bbva que se esta recibiendo masivamente

Thu, 01 Sep 2010 08:28:57 GMT

Se recibe un mail aparentando venir del BBVA:

____________________

BBVA net Office
Estimado cliente de BBVA net Office:

BBVA net Office concede un premio en tu cuenta con un bono de fidelidad.
A fin de recibir bono es necesario leer servicio en linea las proximas 72 horas cuando usted recibio el correo electronico.
Bono sera acreditada directamente a la cuenta en las proximas 72 horas.

Conectarse a servicios en linea para la acreditacion! (es un link malicioso !!!)

Bono Importacion gano: 100,00 Euros
Comisiones:5,00 Euro
Importacion total: 105,00 Euros

. BBVA S.A. 2010

______________________

Si se pulsa en el link , que conduce a una IP extranjera < PhishTank: Details on suspected phish #1042114 - Submitted Sep 1st 2010 4:36 AM by joewein (Current time: Sep 1st 2010 4:38 AM UTC). > ,

Visualiza la siguiente pantalla, al mas puro estilo phishing:

http://www.satinfo.es/blog/wp-content/u ... O-BBVA.jpg

Ni que decir tiene que no se deben rellenar los recuadros con sus datos ... !!!

Ya es uno mas de los muchos que intentan que se entren los datos para disponer de acceso a las cuentas, pero la argucia de regalar un bono de 100 euros, es nuevo y muy picaresco ...

MUCHO CUIDADO QUE SE LAS PIENSAN TODAS

saludos

ms, 1-9-2010

NOTA: El detalle que lo delata es la redacci�n del mail:

Bono Importacion gano: 100,00 Euros
Comisiones:5,00 Euro
Importacion total: 105,00 Euros

Donde lo de Bono importacion gano , no es un l�xico que se use normalmente � ms.

��http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif

ULTIMA HORA:

Una segunda remesa est� llegando ofreciendo ahora 200 euros, y 10 de comisiones, o sea 210 de "importacion"

En este caso el link apunta a otra web, cuya base es:

all-hotels-vienna.com/ CZ Czech Republic 79 Jihocesky Kraj Prachatice 49.0167 14.0000 INTERNET CZ, a.s. Servers Ktis

asi que en la Republica Checa parece que est�n los que manejan este phishing...

saludos ms, 1-9-2010

Telefonica, vodafone, yoigo ... quieren acabar con las tarifas planas de internet

Thu, 01 Sep 2010 07:31:42 GMT

A lo que ya indicabamos en la Noticia de que Telefonica avisaba de que ve�a problemas en la tarifa plana tal como est� establecida de uso ilimitado, http://www.zonavirus.com/noticias/2010/ ... ternet.asp, ahora se unen al carro Vodafone y Yoigo, y las dem�s lo deben estar pensando ...:

Vodafone se alinea con Telef�nica contra el "uso ilimitado" de las tarifas planas :

El presidente de Vodafone en Espa�a, Francisco Rom�n, indic� que el t�rmino "ilimitado" asociado a tarifas planas es "un gancho peligroso", ya que es "imposible" con una capacidad determinada estimular una demanda "plural e infinita".

"La palabra ilimitada es un gancho peligroso, ya que �cu�ntas cosas ilimitadas se pueden alojar en algo que por naturaleza es finito?", explic� el directivo en un encuentro con periodistas celebrado en el marco del XXIV encuentro de telecomunicaciones celebrado en la Universidad Men�ndez y Pelayo de Santander.

As�, Rom�n aclar� que en la realidad casi todas las tarifas que Vodafone posee tienen alg�n tipo de "control", o bien por descenso de velocidad a partir de ciertos l�mites u otros mecanismos similares.

"Creemos en las tarifas planas y seguiremos empleando mecanismos que faciliten la posibilidad de que existan estas tarifas planas", a�adi� el presidente de la filial espa�ola del grupo Vodafone.

De esta forma, Rom�n explic� que las tarifas planas son "sencillas, c�modas y comprensibles" para muchos clientes y se seguir�n proporcionando, pero con una f�rmula que permita que convivan una oferta atractiva y a la vez practicable en un futuro.

Con estas declaraciones, el m�ximo responsable de Vodafone Espa�a se suma a la preocupaci�n manifestada ayer por el consejero delegado de su rival Telef�nica, Julio Linares, quien indic� que, si bien seguir� ofreciendo 'tarifas planas' a sus usuarios, a la compa��a le "inquieta" el uso ilimitado que algunos clientes hacen de las mismas.

"En Telef�nica no estamos en contra de las tarifas planas y vamos a seguir d�ndolas. Lo que creemos que es negativo son las tarifas planas ilimitadas que permiten manejar cualquier volumen de informaci�n.

En cuanto a una "limitaci�n" en banda ancha fija similar a la que se establece en el segmento m�vil, Rom�n indic� que, aunque no se puede "negar categ�ricamente" que se vaya a hacer en un futuro, en este momento la compa��a no se lo plantea, ya que a la l�nea fija no le afectan los problemas de congesti�n que se producen en la m�vil. Fuente

Yoigo se une a Telef�nica y prev� el fin de las tarifas planas ilimitadas:

Tras la preocupaci�n expresada por el consejero delegado de Telef�nica, Julio Linares, sobre el uso �ilimitado� de las tarifas planas, el presidente de Yoigo, Johan Andsj� se�al� que el futuro pasa por ofertas diferenciadas en donde �usuarios que consumen m�s, pagan m�s�.

Johan Andsj�, presidente de Yoigo El directivo explic� as� que el futuro no pasa por tarifas planas ilimitadas, pero a�adi� que, a diferencia de Telef�nica, creen que el aumento de precio recaer� en el usuario final y no en el cobro por uso de la red de los proveedores de contenidos como Google.
De esta forma, el directivo se sum� a las declaraciones de Linares quien indic� que, si bien la compa��a seguir� ofertando tarifas planas, hay que evitar que los usuarios que llevan a cabo un uso �normal de la red� se vean perjudicados por los que efect�an un consumo ilimitado. Fuente

La Asociaci�n de Internautas pide a Industria que se manifieste sobre las tarifas planas ilimitadas:

El presidente de la Asociaci�n de Internautas (AI), V�ctor Domingo, ha hecho un llamamiento al ministro de Industria para que se manifieste sobre la posibilidad de que las operadoras de telecomunicaciones eliminen las tarifas planas, lo que considera que "supondr�a volver diez a�os atr�s en el acceso a Internet".

La AI responde as� a las declaraciones realizadas este lunes por el Consejero Delegado de Telef�nica, Julio Linares, que afirm� durante el encuentro de telecomunicaciones de la UIMP que, pese a que la multinacional seguir� ofreciendo 'tarifas planas' a sus usuarios, existe una "preocupaci�n por el uso ilimitado" que algunos clientes hacen de las mismas.

En este sentido, Linares argument� que creen que las tarifas planas ilimitadas, que permiten manejar cualquier volumen de informaci�n, "son negativas".

A�adi� que la compa��a est� dispuesta a ofrecer una tarifa adecuada a cada tipo de cliente y a cada segmento del mercado, de manera que se ofrecer�n tarifas planas diferentes para los usuarios que s�lo quieran conectarse y acceder al correo a otras adaptadas a los clientes que, adem�s, quieran hacer descargas.

En la misma l�nea, el presidente de Yoigo, Johan Andsj�, se�al� que el futuro pasa por ofertas diferenciadas en donde "usuarios que consumen m�s, pagan m�s".

Sin embargo, para el presidente de la Asociaci�n de Internautas las tarifas planas se han manifestado como "una tendencia de mercado clara" y se�ala que es preocupante que "Telef�nica haga este tipo de consideraciones cuando est� dando el quinto ADSL m�s caro de la Uni�n Europea en t�rminos absolutos".

En opini�n de Domingo, subir las tarifas ante esta realidad de precios y velocidades -- pues asegura que el ADSL en Espa�a es de los m�s lentos de la UE -- es "absolutamente sorprendente y est� causando conmoci�n en la comunidad de internautas".

Desde la asociaci�n se�alan, adem�s, que la propuesta de Telef�nica sobre las tarifas planas "rompe de una manera brutal su anuncio de que el acceso a la banda ancha sea un derecho universal en enero de 2011". Por este motivo, requieren al ministro que se manifieste al respecto y esperan "que no deje el inter�s general por un inter�s corporativo".

El consejero delegado de Telef�nica tambi�n aludi� este lunes a la "necesidad actual de gestionar la red para evitar las 'asimetr�as' existentes entre los operadores de telecomunicaciones y los agentes de Internet", y record� que actuar en este sentido no supone un "ataque" a la neutralidad de la red.

Las declaraciones de Linares han coincidido en el tiempo con la interposici�n por parte de la Asociaci�n de Internautas de una carta abierta y una queja al presidente de la Comisi�n Europea, Jos� Manuel Durao Barroso y al Comisionado de la Sociedad de la Informaci�n y de Competencia para que "tomen en serio el tema de la neutralidad en la red y eliminen restricciones para una consulta propia sobre neutralidad en la red", explica Domingo.

En este sentido, el presidente de la AI considera que es necesario que se "establezca un di�logo neutral que tendr�a que liderar el Gobierno para que el debate sobre la neutralidad en la red tenga su fuerza". Y a�ade que, en Espa�a "por negligencia o dejadez del Gobierno, se est� dejando que el mercado haga y alguien deber�a poner orden antes de que los internautas salgan perjudicados".

El presidente de la Asociaci�n de Internautas (AI), V�ctor Domingo, ha hecho un llamamiento al ministro de Industria para que se manifieste sobre la posibilidad de que las operadoras de telecomunicaciones eliminen las tarifas planas, lo que considera que "supondr�a volver diez a�os atr�s en el acceso a Internet". Fuente

Comentario:
Ser�a un paso atr�s sin duda, pero se entiende la preocupaci�n de las operadoras ante algunos excesos.

saludos

ms, 1-9-2010

Desde febrero de 2001 hasta hoy, google ha adquirido 71 empresas

Wed, 31 Aug 2010 17:38:52 GMT

Aunque el modelo de negocios de Google contin�a gravitando en torno a la venta de anuncios vinculados a las b�squedas, la empresa ha incrementado considerablemente sus actividades en otras �reas comerciales y tecnol�gicas. Si bien gran parte de los productos de Google son resultado de desarrollo interno, en algunas ocasiones la compra de otra empresa ha marcado el inicio de actuales productos que llevan el logotipo de Google.

Diario Ti: El sitio Scores.org ha publicado una representaci�n gr�fica de la totalidad de las compras y fusiones hechas por Google. La relaci�n cronol�gica se inicia con la compra de Deja en 2001, y Scores ha publicado para el caso de cada compra informaci�n sobre el volumen de la misma, los servicios o �reas de negocio relacionadas y la medida en que la compra ha beneficiado a Google con tecnolog�a, cuotas del mercado o talento. Tambi�n se indica si la compra fue hecha con el fin de aumentar la facturaci�n de Google o sencillamente para reducir la competencia.

En total, la relaci�n cronol�gica incluye 70 empresas que han sido compradas total o parcialmente por Google. Diecinueve de las compras corresponden a 2010. A ellas debe a�adirse la reciente SocialDeck, indicada hoy mismo.

Scores anuncia que la relaci�n ser� actualizada en la medida que nuevas compras se vayan sumando a la lista. El gr�fico completo est� disponible en �sta p�gina
http://diarioti.com/gate/n.php?id=27452 Fuente

saludos

ms, 31-8-2010

Anuncian nuevo competidor para facebook dentro de dos semanas...di�spora

Wed, 31 Aug 2010 17:01:13 GMT

Di�spora, alternativa de c�digo abierto a Facebook, anuncia su lanzamiento para el 15 de septiembre.

Diario Ti: Di�spora es presentada como una alternativa m�s conveniente que Facebook, servicio que ha recibido diversas cr�ticas por la ligereza con que en algunas oportunidades ha manejado la privacidad y material personal de sus usuarios. En mayo pasado, la empresa de seguridad Sophos informaba que el 60% de los usuarios de Facebook considera abandonar esa comunidad debido a la mala gesti�n de sus datos.

Seg�n sus creadores, Di�spora permite al propio usuario definir qu� elementos compartir, y con quien. Di�spora se diferencia considerablemente de Facebook al permitir a los propios usuarios decidir en qu� lugar se almacenar�n sus datos; es decir, en un servicio de hospedaje corriente, en la nube, o en su propio hogar en un servidor o PC. Los usuarios menos t�cnicos tambi�n tendr�n la posibilidad de crear un perfil en el mismo estilo que ya conocen de Facebook.

Por tratarse de un proyecto de c�digo abierto, los propios usuarios decidir�n el rumbo que tome Di�spora. Como es natural, los responsables de la iniciativa tienen planes propios de incorporar funcionalidad al proyecto, como por ejemplo chat y voz.

Di�spora ha despertado un gran inter�s desde el primer momento. Mediante el servicio Kickstarter.com, los cuatro j�venes autores del proyecto lograron recaudar 1 mill�n de d�lares en corto tiempo.

El fundador de Facebook, Mark Zuckerberg, figuran entre los numerosos inversionistas que han donado dinero a Diaspora.

fuente

Hackers revientan cifrado cu�ntico

Wed, 31 Aug 2010 16:37:11 GMT

No hay manera. Ni siquiera la te�ricamente inexpugnable seguridad cu�ntica ha resistido los ataques de un grupo de expertos noruegos que han logrado hackear dos sistemas comerciales de encriptaci�n basada en las �ltimas tecnolog�as cu�nticas. Pero lo mejor de esto radica en que han logrado reventarlo sin dejar rastro de que han entrado en el sistema. Hasta ahora, se hab�a conseguido descifrar informaci�n enviada con este mecanismo pero quedaba constancia del ataque. Gracias al ingenio de estos hackers ya se puede hacer sin despertar sospechas y, para colmo, con material comprado en tiendas de toda la vida.

El cifrado cu�ntico se postulaba como el sistema m�s seguro de la historia, te�ricamente inexpugnable y adem�s, imposible asaltarlo sin dejar constancia del ataque, en caso de intentarlo siquiera. Tan felices se las promet�an los inventores de esta nueva filosof�a de seguridad inform�tica, que se quedaron mudos cuando un grupo de expertos canadienses consigui� reventar el cifrado cu�ntico. Se consolaron pensando que aunque hubieran podido acceder a la informaci�n, al menos no pudieron evitar dejar huella del intento. Sin embargo, los dioses/diablos de la era de la informaci�n, han vuelto a dar una vuelta de tuerca y han logrado lo que nadie puede creer: han conseguido reventar un sistema de seguridad cu�ntico sin dejar el m�s m�nimo rastro de su acci�n.

http://www.neoteo.com/Portals/0/imagenes/cache/BF15x580y1000.jpg
Makarov ha logrado violar lo que se consideraba inexpugnable

Por primera vez se ha violado un sistema comercial basado en tecnolog�a cu�ntica sin dejar huellas del ataque. El Grupo de Hacking Cu�ntico de la Universidad de Ciencia y Tecnolog�a de Noruega ha liderado una haza�a que ha dejado sorprendidos a los expertos que se jactaban de la invulnerabilidad de dicha tecnolog�a. Y lo mejor de todo es que se ha conseguido con materiales comprados en una tienda cualquiera. No han hecho falta complejos l�seres de ciencia ficci�n o imposibles reactores termonucleares de fusi�n. El jefe del grupo, Vadim Makarov, afirma que s�lo en un par de meses y armados con material comercial han enga�ado al sistema introduci�ndose por un agujero de seguridad que nadie hab�a descubierto antes.

http://www.neoteo.com/Portals/0/imagenes/cache/BF16x580y1000.jpg
El receptor es cegado por un l�ser y su reacci�n es lo que aprovechan para colarle la trampa

La criptograf�a cu�ntica basa su potencial de invulnerabilidad en lanzar el mensaje mediante fotones. Esta luz llega al receptor donde se descodifican sus posibles estados en forma de 0 y 1. Por el principio de incertidumbre enunciado en 1927 por el premio Nobel de F�sica Werner Heisenberg, en el mundo cu�ntico la simple observaci�n de un fen�meno produce su perturbaci�n, por tanto, s�lo con intentar mirar lo que dice el haz de luz, se destruye el mensaje y el receptor se da cuenta de ello, comunic�ndole al emisor que la clave secreta ha sufrido un intento de violaci�n. De esta manera, matan dos p�jaros de un tiro: por un lado evita que se sepa lo que dice el mensaje y, por otro lado, avisa del intento de hackeo. El grupo canadiense ya logr� descifrar el mensaje pero no evit� que saltaran las alarmas. Makarov ha llegado al punto m�ximo de todo hackeo y ha logrado la perfecci�n: descifrar la clave sin que se enteren de que lo han hecho.

http://www.neoteo.com/Portals/0/imagenes/cache/BF17x580y1000.jpg
Los directivos est�n encantados del hackeo porque as� podr�n redise�ar el sistema

Su t�cnica consiste en usar un l�ser com�n de 1 milivatio para cegar al receptor. Cuando esto sucede el grupo env�a una se�al cl�sica, no cu�ntica, que el receptor acepta sin rechistar. Por tanto, ya no se aplican las reglas cu�nticas sino las tradicionales, consiguiendo de esta manera enga�ar al sistema y apropiarse de la clave secreta sin que se perciban de ello los mecanismos encargados de la tarea. Makarov y su equipo han demostrado que el hack funciona con dos sistemas disponibles en el mercado: ID Quantique (IDQ), con sede en Ginebra (Suiza) y MagiQ Technologies, con sede en Boston(Massachusetts). Los directivos de ambas empresas se muestran encantados de la haza�a del grupo Makarov porque afirman que gracias a ellos podr�n rehacer el sistema y convertirlo en un producto m�s seguro. De todos modos, Makarov insiste en que los sistemas cu�nticos son lo mejor que existe en seguridad. Simplemente hay que actualizarlos un poco (como todos).
Fuente

Comentario:
Mas vale ma�a que fuerza, pero que con un puntero l�ser de 1 mw, haya sido suficiente para romper la seguridad del sistema criptogr�fico en cuesti�n... Chapeau !

saludos

ms, 31-8-2010

Cuando los americanos van de compras no hay quien los pare ... ! google adquiere ahora socialdeck

Wed, 31 Aug 2010 15:52:47 GMT

SocialDeck es la quinta adquisici�n en lo que va de mes del gigante de la red, que se prepara para lanzar su gran apuesta social con la rumoreada GoogleMe. Pero, �qu� es exactamente SocialDeck?. Se trata de un desarrollador de juegos, donde los usuarios pueden jugar con otros utilizando dispositivos, como iPhone, BlackBerry, o usando un ordenador.

http://www.muyinternet.com/wp-content/uploads/2010/08/google-voice.jpg

La compa��a, que fue fundada por Anish Acharya y Jeson Patel, dos ex de Amazon y Microsoft, tiene su sede en Ontario (Canad�), adem�s cuenta con trabajadores en Toronto y San Francisco. El equipo de SocialDeck trabajar� en estrecha colaboraci�n con el personal de Google en Waterloo (Ontario-Canad�) y se unir� a los empleados de Angstro, la �ltima de las compras de Google.

Seg�n aseguraba la start-up en comunicado, Estamos muy emocionados de anunciar que alguien encontr� nuestros juegos sociales tan divertidos como vosotros. En este caso, ese alguien ha sido Google. Social Deck ha sido adquirida y nos hemos unido al equipo de Google.
Fuente

Comentario:
Hay que reconocer que parece que algunos no han hecho vacaciones y han trabajado preparando adquisiciones...

saludos

ms, 31-8-2010

Spam propagado a trav�s del sistema de chat del facebook y twitter

Wed, 31 Aug 2010 15:35:53 GMT

Hace pocos d�as, se detect� un nuevo sistema de spam, propagado desde el servicio de chat del Facebook, a base de mensajes de conocidos con links maliciosos.

Los mensajes rezan lOl is this you? y anexan un link que aparenta ser un video en Facebook, pero que al pulsar en �l, indica el conocido mensaje de error "ERROR 404-Page Not Found" y a partir de dicho momento envia correos spam a todos los contactos del afectado.

Dicho spam tambien se detect� en Twitter, pero con propagacion muy inferior.

Los mensajes incluidos en este spam son parecidos a los existentes en el phishing del Twitter del pasado mes de febrero:

Lol. this is me??
lol , this is funny.
Lol. this you??

seguidos por un link del siguiente tipo:

http://example.com/?rid=http://twitter.verify.bzpharma.net/login

Fuente

Comentario:
Una raz�n mas para ir con cuidado con las Redes Sociales...

saludos

ms, 31-8-2010

Algunas variantes de pushdo reanudan operaciones de spam

Wed, 31 Aug 2010 12:48:52 GMT

A pocos d�as de que la mayor�a de los servidores de comando y control permanecieran libres de una de las variantes del botnet Pushdo, algunos investigadores declaran que todo parece indicar que partes del botnet han vuelto a atacar como anteriormente lo hac�an, descargando nuevas plantillas de spam para reanudar sus operaciones.

El equipo de investigaci�n en FireEye hizo un an�lisis de seguimiento a los resultados de esfuerzo de desmontaje realizado por investigadores de Last Line of Defensea la semana pasada, y encontr� que la variante de la botnet que fue objetivo del desmontaje est� mostrando se�ales de vida otra vez. El esfuerzo de desmontaje ten�a como objetivo Pushdo.D, la variante m�s reciente de la botnet, que se utiliza en muchos casos para descargar una segunda pieza de malware conocida como Cutwail, que es el programa utilizado para las operaciones de spam.

Pushdo, como muchos de los botnets modernos, no es simplemente una red monol�tica, est� dividido en varias piezas diferentes y casi con seguridad no es controlado por una persona o grupo. "Los guardias de bots a menudo alquilan o venden piezas de sus redes a otros atacantes, y los creadores de programas bot normalmente venden su software a todos los interesados. As�, el resultado final son varias redes diferentes, todas usando un software similar con el mismo nombre en las que se acoplan juntas.

Los investigadores de Last Line of Defense trabajaron con proveedores de alojamiento para derribar 20 de los aproximadamente 30 servidores C&C conocidos que la compa��a fue capaz de identificar. Sus an�lisis despu�s mostraron que el volumen de spam procedente de Pushdo despu�s del desmontaje fue aproximadamente cero.

Pero dentro de un par de d�as, los investigadores de FireEye comenzaron a ver que Cutwail estaba empezando a descargar nuevas plantillas de spam desde uno de los m�s conocidos servidores de C&C que est� ya en linea. Pushdo y Cutwail, a diferencia de otros bots y piezas de malware, tienen una lista no modificable de direcciones IP para servidores de C&C, por lo que el n�mero de servidores que se pueden conectar es finito. Sin embargo, algunos de los servidores de C&C que usan Cutwail son servidores leg�timos que se han comprometido, lo que resulta un Blackholing m�s problem�tico.

El investigador Atif Mushtaq de FireEeye en su an�lisis del desmontaje Pushdo, dijo: "Teniendo todos estos factores en mente, podemos especular que probablemente no ver�n a los masters bot haciendo un intento desesperado para pasar al nuevo CnCs. No hay prisa, como los servidores Pushdo hacen la copia de seguridad est�n ya en marcha y funcionando. Es probable que esperen un tiempo hasta que las cosas se calmen. Mientras tanto van a tratar de encontrar nuevos servidores CnC marc�ndose como objetivo una actualizaci�n silenciosa de los sistemas infectados. El �xito o el fracaso de este intento de recuperaci�n (si la hay) depender� del seguimiento que la comunidad haga despu�s de este intento por detenerlo. Los servidores Pushdo de backup est�n a�n con vida por lo que necesitamos mantener un ojo en Pushdo durante alg�n tiempo como lo hicimos en el pasado cuando Rustock y Srizbi trataron de escapar.

Es muy probable que Pushdo, despu�s de este tercer intento de cierre, empiece a seguir una arquitectura Koobface como la de CnC. Koobface utiliza mayoritariamente servidores web leg�timos comprometidos tal y como hiciera CnCs manteniendo al m�nimo servidores dedicados a una copia de seguridad, localizados en pa�ses como China y Rusia. Esa es la raz�n principal, ning�n intento real ha sido suficiente para acabar con ella. Hecho importante es el concepto de mantenimiento a algunos servidores de copia de seguridad fuera de los EE.UU. ya que �stos pueden tambi�n haber detectado ahora desde la lista anterior, que la mayor�a de la CNCS Pushdo permanecieron intactas fuera de EE.UU.".

fuente

Malware financiero zeus se enfoca a clientes de banca en l�nea explotando los programas de seguridad verified de visa y securecode de mastercard

Wed, 31 Aug 2010 12:30:17 GMT

Zeus, tambi�n conocido como Zbot, WSNPOEM, NTOS, y PRG, es el malware para fraudes en l�nea que m�s prevalece en las plataformas de la banca, y ha sido empleado por numerosas organizaciones criminales. Al infectar las PCs, el malware espera a que el usuario ingrese sus datos en sitios bancarios, entonces roba sus credenciales, las cuales son enviadas en tiempo real a un servidor de forma remota. Incluso, puede modificar, durante la navegaci�n del usuario, los sitios Web genuinos de los bancos para solicitar informaci�n personal como n�mero de tarjeta de n�mina, el PIN, la contrase�a, entre otras.

El malware financiero Zeus (Zbot) se dirige a clientes de banca en l�nea de 15 destacadas instituciones financieras de EE.UU. mediante la explotaci�n de dos programas de seguridad de confianza de tarjetas de cr�dito. Despu�s de que los usuarios inician una sesi�n en la banca de l�nea segura, el troyano Zeus inyecta en el navegador un facs�mil en la pantalla de inscripci�n de los programas de seguridad Verified de Visa y SecureCode de MasterCard. Luego pide a los usuarios introducir su n�mero de seguro social, tarjeta de cr�dito o d�bito, fecha de caducidad y el c�digo PIN o CSV.

La informaci�n reunida por Zeus es usada por los defraudadores para cometer transacciones con "tarjeta no presente" a trav�s de minoristas que emplean la protecci�n Verified y SecureCode�. Estos datos robados permiten a los delincuentes hacerse pasar por sus v�ctimas y registrase en estos programas para asegurar las transacciones fraudulentas y eludir sistemas de detecci�n de fraude.

Trusteer utiliz� su investigaci�n Flashlight de fraude remoto y servicio de mitigaci�n para descubrir este nuevo ataque de phishing en el per�odo de sesiones, recogiendo configuraciones de Zeus y ejemplos de c�digo de las computadoras infectadas. Esta versi�n de Zeus intenta enga�ar a los clientes de banca en l�nea para que dieran cuenta de su vida personal y tarjeta de cr�dito o d�bito alegando nuevas normas que exigen a la FDIC inscribir a los clientes en el programa Verified de Visa y SecureCode de MasterCard para proteger sus cuentas.

"Mientras algunos usuarios pueden comenzar a sospechar cuando se le solicita introducir su informaci�n de su tarjeta de cr�dito o d�bito, como parte del proceso de entrada en l�nea de banca, este ataque usa los conocidos programas de prevenci�n de fraude en l�nea de Visa y MasterCard al hacer la petici�n parece leg�timo", dijo Amit Klein, Director de Operaci�n T�cnica de Trusteer y jefe del organismo de investigaci�n de la compa��a. "Afortunadamente, los clientes de banca en l�nea protegidos por Trusteer Rapport no son vulnerables a este ataque, ya que bloquea e impide la inyecci�n HTML de Zeus en la presentaci�n de la solicitud fraudulenta de inscripci�n".

La detecci�n de anti malware de Zeus tiene un historial pobre. En un informe de 2009 sobre la base de informaci�n recopilada a partir de 3 millones de equipos en Am�rica del Norte y el Reino Unido; Trusteer encontr� que la mayor�a de las infecciones de Zeus ocurren en equipos dotados de antivirus. Espec�ficamente, Trusteer report� que de entre las m�quinas infectadas por Zeus, 55% ten�an instalada al d�a la protecci�n antivirus. La poblaci�n de equipos infectados por Zeus es enorme - uno de cada 100 computadoras de acuerdo a la investigaci�n Trusteer-.

fuente

Mensajer�a instant�nea propaga nuevo gusano en am�rica latina (shruken entre ventanas y windows )

Wed, 31 Aug 2010 11:44:36 GMT

Programas de comunicaci�n en tiempo real o mensajer�a instant�nea, como tambi�n se les conoce, han sido utilizados para propagar un nuevo gusano, que tiene por nombre IM-Worm.Win32.Zeroll.a.

Este nuevo malware cuenta con una versatilidad escalofriante, ya que puede manejarse con facilidad hasta en 13 idiomas (entre ellos el castellano) y tiene la capacidad de detectar el idioma predeterminado de nuestra�Fuente

File name: DSC0014084928-JPG.exe
Submission date: 2010-08-24 13:58:37 (UTC)
Current status: finished
Result: 16 /42 (38.1%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.24.00 2010.08.23 -
AntiVir 8.2.4.38 2010.08.24 Worm/Zeroll.A
Antiy-AVL 2.0.3.7 2010.08.23 -
Authentium 5.2.0.5 2010.08.24 -
Avast 4.8.1351.0 2010.08.23 -
Avast5 5.0.332.0 2010.08.23 -
AVG 9.0.0.851 2010.08.24 Dropper.Generic2.AOYJ
BitDefender 7.2 2010.08.24 -
CAT-QuickHeal 11.00 2010.08.24 -
ClamAV 0.96.2.0-git 2010.08.24 Suspect.Trojan.Generic.FD-1
Comodo 5843 2010.08.24 -
DrWeb 5.0.2.03300 2010.08.24 -
Emsisoft 5.0.0.37 2010.08.24 IM-Worm.Win32.Zeroll!IK
eSafe 7.0.17.0 2010.08.24 -
eTrust-Vet 36.1.7810 2010.08.23 -
F-Prot 4.6.1.107 2010.08.24 -
F-Secure 9.0.15370.0 2010.08.24 -
Fortinet 4.1.143.0 2010.08.24 -
GData 21 2010.08.24 -
Ikarus T3.1.1.88.0 2010.08.24 IM-Worm.Win32.Zeroll
Jiangmin 13.0.900 2010.08.23 -
Kaspersky 7.0.0.125 2010.08.24 IM-Worm.Win32.Zeroll.a
McAfee 5.400.0.1158 2010.08.24 Artemis!4E79C0A4C478
McAfee-GW-Edition 2010.1B 2010.08.24 Heuristic.BehavesLike.Win32.Downloader.D
Microsoft 1.6103 2010.08.24 -
NOD32 5393 2010.08.24 a variant of Win32/Injector.CSK
Norman 6.05.11 2010.08.24 W32/Dloader.ALFHL
nProtect 2010-08-24.01 2010.08.24 -
Panda 10.0.2.7 2010.08.24 Suspicious file
PCTools 7.0.3.5 2010.08.24 Downloader.Generic
Prevx 3.0 2010.08.24 High Risk Cloaked Malware
Rising 22.62.01.04 2010.08.24 -
Sophos 4.56.0 2010.08.24 Mal/Generic-L
Sunbelt 6784 2010.08.24 -
SUPERAntiSpyware 4.40.0.1006 2010.08.24 -
Symantec 20101.1.1.7 2010.08.24 Downloader
TheHacker 6.5.2.1.355 2010.08.24 -
TrendMicro 9.120.0.1004 2010.08.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.24 WORM_ZEROLL.A
VBA32 3.12.14.0 2010.08.24 -
ViRobot 2010.8.24.4005 2010.08.24 -
VirusBuster 5.0.27.0 2010.08.23 -
Additional informationShow all
MD5 : 4e79c0a4c478ce9d90e989c05cbb4799
SHA1 : 90dfe99fe4ade84416986937e97b8dba5b9ebf21

El tama�o de dicho fichero DSC0014084928-JPG.exe es de 29311 bytes

16 de los 42 antivirus ya lo detectan, entre ellos McAfee:

McAfee 5.400.0.1158 2010.08.24 Artemis!4E79C0A4C478
McAfee-GW-Edition 2010.1B 2010.08.24 Heuristic.BehavesLike.Win32.Downloader.D

pero tener cuidado ya que a diferencia de casi todos los demas, este cambia el idioma, y segun la Fuente del ordenador, lo cambia a texto en ingl�s, portugu�s, castellano, etc, asi no se distingue tan facilmente como los dem�s.

Mucho cuidado pues, incluso con los que llegan en castellano !

saludos

ms, 31-8-2010