Noticias Antivirus - zonavirus.com http://www.zonavirus.com/noticias/ Noticias relacionadas con la seguridad informatica, virus, antivirus, zonavirus.com es Copyright 1998 2017 Wed, 26 Sep 2017 20:14:14 GMT Wed, 26 Sep 2017 20:14:14 GMT http://www.zonavirus.com Noticias :: zonavirus.com http://www.zonavirus.com http://www.zonavirus.com/imagenes-antivirus-virus/cabecera/logo-zonavirus-rss.jpg <![CDATA[Las 'botnets' extractoras de criptomoneda atacan a 1,65 millones de usuarios en 2017]]>




Las 'botnets' extractoras, un tipo de 'malware' que se oculta en los ordenadores e instala aplicaciones de extracción de 'bitcoins' y otras criptomonedas, han registrado un total de 1,65 millones de ataques en los ocho primeros meses de 2017, según ha advertido la compañía de ciberseguridad Kaspersky Lab.



Los analistas de Kaspersky Lab han informado de la existencia de dos redes de 'botnets', una de ellas formada por 5.000 ordenadores y con la que los cibercriminales han obtenido más de 165.000 euros al mes, y otra con 4.000 equipos con la que se han embolsado otros 25.000 euros mensuales, según recoge un comunicado de la compañía.

La firma especializada en antivirus asegura haber protegido a más de 1.650.000 personas ante ataques de 'botnets' extractoras durante los primeros ocho meses de 2017, una cifra que en el mismo periodo del año 2013 alcanzaba los 205.000 usuarios y que en 2014 se encontraba en los 701.000 afectados.



CÓMO FUNCIONAN LAS 'BOTNET' EXTRACTORAS

Las 'botnets' extractoras consisten en una red de ordenadores infectados con un 'malware', un 'software' especializado que permite crear las monedas virtuales con tecnología blockchain. El 'malware' se infiltra en los equipos y lleva a cabo la minería de criptomonedas de manera oculta.

No obstante, y como apuntan desde la compañía de seguridad, el impacto de este proceso resulta limitado, ya que cuantas más monedas se han creado, más tiempo y más recursos de PC son necesarios para crear una nueva unidad, por lo que el ataque pronto deja de resultar rentable.

El aumento de la cotización del 'bitcoin' ha hecho que las redes extractoras vuelvan a ser detectadas en la actualidad. En diciembre de 2016, Kaspersky Lab alertó de la existencia de una red 'botnet' integrada por más de 1.000 PC dedicada a la extracción de la criptomoneda Zvash que suponía unos 5.000 euros por semana.



CÓMO SE DISTRIBUYEN LAS 'BOTNETS'

Los cibercriminales detrás de las 'botnets' distribuyen el 'malware' mediante programas de 'adware' que instalan voluntariamente las víctimas. Después, el 'adware' descarga el extractor de 'bitcoins', lo instala, y ejecuta algunas actividades para asegurar que la extracción trabaja todo el tiempo posible.

Tan pronto como la primera moneda se extrae, se transfiere a las carteras de los criminales, dejando a las víctimas con un ordenador que no rinde adecuadamente y unas facturas de luz ligeramente más altas de lo habitual. Como explican desde Kaspersky Lab Los cibercriminales tienden a extraer sobre todo dos criptomonedas: Zcash y Monero, porque ofrecen una forma viable de anonimizar las transacciones y las carteras de los propietarios.



RECOMENDACIONES PARA PROTEGERSE DE LAS 'BOTNETS'

Para prevenir que los usuarios sean infectados por este tipo de 'malware', Kaspersky Lab recomienda no instalar ningún 'software' sospechoso procedente de fuentes no fiables.

Para evitar la entrada de 'adware' malicioso, la compañía de seguridad recomienda, asimismo, tener un antivirus instalado en el ordenador y activar la funcionalidad de detección de 'adware'. Además, Kaspersky Lab aconseja poner una especial atención en la protección en los casos en los que se utilice un servidor, dado que son un objetivo predilecto de los cibercriminales.



Ver información original al respecto en Fuente

http://www.cuatro.com/noticias/tecnologia/botnets-extractoras-criptomoneda-millones-usuarios_0_2441775320.html]]>
http://www.zonavirus.com/noticias/2017/las-botnets-extractoras-de-criptomoneda-atacan-a-165-millones-de-usuarios-en-2017.asp http://www.zonavirus.com/noticias/2017/las-botnets-extractoras-de-criptomoneda-atacan-a-165-millones-de-usuarios-en-2017.asp Noticias Wed, 26 Sep 2017 20:14:14 GMT
<![CDATA[540.000 registros de clientes expuestos en internet]]> Nuevo leak. 540.000 registros de datos de clientes de una empresa han sido expuestos públicamente, durante un tiempo indeterminado, en Internet.





Los registros pertenecen a la empresa SVR Tracking, cuyo servicio principal es proveer de un sistema de seguimiento GPS y alertas de movimiento de vehículos. Este tipo de servicios suele ser instalado en flotas comerciales y como sistema de recuperación en caso de robo.



El problema fue descubierto por la empresa Kromtech Security Center, al encontrar un servidor caché al que se podía acceder sin contraseña, y en el que se encontraba el grueso de datos expuesto. Entre los datos estaban el nombre de usuario, contraseña, número de identificación del vehículo, IMEI del dispositivo GPS además de la localización física del dispositivo instalado en el coche.





Otro de los pecados cometidos por la empresa fue el tipo de almacenamiento de las contraseñas, en SHA-1, un algoritmo de hash ya superado; además ni tan siquiera se estaba generando una sal para dificultar ataques por tablas rainbow.




Captura de pantalla 2017-09-25 a las 11.05.08.png

Cómo podemos aprender, no hace falta una vulnerabilidad crítica o un exploit next-gen para morder el polvo. Basta con no tener la más mínima idea de principios básicos de seguridad y desplegar un servidor con información crítica en Internet, sin control alguno, para facilitar el trabajo a un atacante. Dos fallos fundamentales, que podrían exponer a una empresa a sanciones y una grave pérdida en su reputación.



http://unaaldia.hispasec.com/2017/09/540000-registros-de-clientes-expuestos.html]]>
http://www.zonavirus.com/noticias/2017/540000-registros-de-clientes-expuestos-en-internet.asp http://www.zonavirus.com/noticias/2017/540000-registros-de-clientes-expuestos-en-internet.asp Noticias Wed, 26 Sep 2017 19:47:44 GMT
<![CDATA[Mas sobre el ccleaner hackeado con trojan floxif]]> CCleaner HACKEADO CON TROJAN FLOXIF



Qué es CCleaner Trojan.Floxif Malware y cómo eliminarla



Como sea que hay muchos usuarios afectados por el infector TROJAN FLOXIF que se propaga a través del CCleaner 5.33.6162 hackeado recientemente, si bien acabamos de publicar método para detección/eliminación de dicho mlware en Windows 10, hemos creido oportuno informar mas a fondo sobre las caracteristicas del troyano que instalaba dicha versión hackeada de CCleaner antes indicada.



Este artículo trata de explicar cuál es el infector Trojan.Floxif que se propaga a través CCleaner y cómo quitar dicho malware Floxif de tu ordenador, que puede instalar keylogger, adware e incluso ransomware...



Una infección escandalosa ha sido detectada por los investigadores de malware, que infecta los ordenadores directamente a través del CCleaner 5.33.6162. Los piratas informáticos lograron introducir el Trojan.Floxif en dicha versión de la popular utilidad, el cual instala un archivo en el ordenador y comienza a realizar una variedad de actividades maliciosas que son la última cosa que se quiere en un equipo.



Además de ser un Keylogger, el troyano también puede robar sus datos de acceso, información financiera e incluso descargar e instalar otros programas maliciosos, como ransomware, por ejemplo, que bloquea sus documentos y las mantiene como rehenes de un pago de rescate.



Si el equipo tiene CCleaner hackeado instalado, es aconsejable eliminarlo de inmediato y leer la siguiente información para aprender a detectar y eliminar el Trojan.Floxif en él instalado.:







Nombre CCleaner Trojan.Floxif



Descripción breve



Se puede detectar a través de la existencia de la sub-clave Agomo con el Editor de Registro de Windows.



Método de distribución A través de los correos electrónicos de spam, Archivos adjuntos de correo electrónico, Archivos ejecutables, o a través de instalar la versión hackeada del CCleaner, objeto de este artículo.



CCleaner Trojan.Floxif - ¿Cómo infecta?



La mala noticia es que si se ha descargado las versiones afectadas de cualquiera de los CCleaner (5.33.6162) Nube o CCleaner (1.07.3191) ya ha sido infectado por la amenaza.



La infección se lleva a cabo a través del infector Trojan.Floxif que ha sido introducido por los hackers en dichas versiones.



Según los investigadores el indicador más fuerte de tener este malware en el ordenador es que tras la infección se crea un sub-clave de registro con el nombre de Agomo. Se encuentra en la siguiente sub-clave del registro:



? HKEY_LOCAL_MACHINE SOFTWARE piriforme Gomo



Si usted tiene esta clave de registro existente en un ordenador, se debe asumir que su ordenador ha sido comprometido por la infección Trojan.Floxif.



? Relacionado:Puerta trasera en CCleaner afecta a millones, La razón detrás de Hack desconocido: CCleaner-reason-hack-unknown/" rel="no follow" target="_blank">https://sensorstechforum.com/es/backdoor-CCleaner-reason-hack-unknown/





Trojan.Floxif – Análisis de la actividad



El troyano Floxif es un malware que tiene varias versiones diferentes. La actividad de esas versiones, sin embargo, es bastante similar. Cuando se ha iniciado el troyano Floxif, se ejecuta inmediatamente un guión que coloca un archivo .dll, llamado symsrv.dll. El archivo tiene un tamaño de de unos 67 Kb y se instala en la siguiente ubicación:



? C:\Archivos de programa Archivos comunes System symsrv.dll



Con el fin de ejecutar el archivo malicioso cuando Windows arranca, el virus puede añadir la siguiente entrada de registro en la sub-clave Windows, situado en HKEY_LOCAL_MACHINE’ SOFTWARE Microsoft Windows NT CurrentVersion :



? AppInit_DLLs = C:\Archivos de programa Archivos comunes System symsrv.dll

LoadAppInit_DLLs = 1



Además de esto, el troyano Floxif también puede configurar las entradas del registro de modo que permanece oculto en su ordenador. Para hacer esto, instala las siguientes sub-claves del Registro:



? HKEY_CURRENT_USER ¬Software ¬Microsoft ¬Windows ¬CurrentVersion Explorer ¬Advanced

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced Folder SuperHidden

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon



En esas llaves, las entradas se crean con los siguientes valores en ellas:



? ShowSuperHidden = 0

NoDriveTypeAutoRun = 145

Escribe = radio

SFCDisable = 4294967197



Otra actividad que se realiza por este virus es que se conecta con las siguientes interfaces de programación de aplicaciones de Windows (API):



? CredReadW (advapi32.dll)

CreateServiceA (advapi32.dll)

CreateServiceW (advapi32.dll)

OpenServiceA (advapi32.dll)

OpenServiceW (advapi32.dll)

WinVerifyTrust (wintrust.dll)

CreateFileW (kernel32.dll)

ExitProcess (kernel32.dll)

RegOpenKeyExA (kernel32.dll)

RegOpenKeyExW (kernel32.dll)

CreateProcessInternalW (kernel32.dll)

MessageBoxTimeoutW (user32.dll)

KiUserExceptionDispatcher (ntdll.dll)

WahReferenceContextByHandle (ws2help.dll)



Pero esto no es donde termina el proceso de infección, el malware Trojan.Floxif también intenta eliminar archivos del sistema desde el propio Windows:



? %Archivos de programa% Archivos comunes System symsrv.dll.dat

%Usuarios% Administrador Local Temp …\*.tmp



El objetivo final de los programas maliciosos Floxif es robar información de su ordenador o instalar otros programas maliciosos en él. Además de la recogida de las listas con los programas instalados en su PC, la información de red de la misma y los identificadores únicos, El virus también puede conectarse a un host remoto y descargar otros malware. Para almacenar la información robada, la Trojan.Floxif puede crear los siguientes archivos:



? %Drive System% pagefile.pif

%Drive System% autorun.inf

%Temp% update.exe



De esos archivos, se ejecuta automáticamente el archivo update.exe.





Cómo detectar y quitar Trojan.Floxif



Con el fin de eliminar el malware Trojan.Floxif de tu ordenador, se recomienda seguir los pasos de extracción manual o automático a continuación. Están diseñados específicamente para ayudar a aislar y eliminar este virus.



Tener en cuenta que, dado que la amenaza Trojan.Floxif crea múltiples objetos en su equipo y asume el control parcial de la misma, razón por lo que puede ser difícil de eliminar manualmente. Los expertos no aconsejan la detección y eliminación de forma automática mediante la instalación y el escaneo de su ordenador con un software anti-malware avanzado. Esto también se asegurará de que la amenaza se ha ido permanentemente y su sistema está protegido contra cualquier infección futura al respecto, al igual que el malware CCleaner Floxif.





Ver información original al respecto en Fuente:

https://sensorstechforum.com/es/ccleaner-trojan-floxif-malware-how-to-remove/





Por todo lo indicado parece que pueden ser millones los usuarios afectados, por lo que sugerimos lean con atención lo indicado al respecto y actuen correctivamente antes de que puedan verse afectados por sus efectos !!!





saludos



ms, 26-9-2017]]>
http://www.zonavirus.com/noticias/2017/mas-sobre-el-ccleaner-hackeado-con-trojan-floxif.asp http://www.zonavirus.com/noticias/2017/mas-sobre-el-ccleaner-hackeado-con-trojan-floxif.asp Noticias Wed, 26 Sep 2017 09:45:34 GMT
<![CDATA[Si tu sistema es windows 10, existe un método para eliminar el hackeo del virus del ccleaner con malware]]> https://as01.epimg.net/betech/imagenes/2017/09/23/portada/1506118611_317288_1506119362_noticia_normal.jpg

CCleaner



Con Windows 10 es posible eliminar de raiz el problema del hackeo de CCleande una vez para siempre.





Los hackers tienen los objetivos siempre claros: estudiar el software más popular, encontrar sus fallos (o esperar a que se produzcan) y atacar. De esa forma se aseguran que su virus va a infectar a gran parte de los usuarios de un sistema operativo o programa concreto. El último caso que ha hecho saltar las alarmas de empresas y particulares ha sido el hackeo de CCleaner. Si crees que tu máquina ha sido infectada por el virus te contamos cómo localizar y eliminar el virus de CCleaner con este truco de Windows 10.









Cómo saber si CCleaner ha infectado tu PC



El primer paso es saber si tu máquina ha sido infectada. Lo primero que tienes que saber sobre el hackeo de CCleaner son las versiones que contienen el virus. En este caso hablamos de CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191. Como es lógico, no hay un botón en cada programa que te indique si está o no comprometido: Ni siquiera tu antivirus será capaz de encontrarlo.



https://as01.epimg.net/betech/imagenes/2017/09/23/portada/1506118611_317288_1506119386_sumario_normal.jpg

CCleaner



Entonces, ¿cómo sabes que CCleaner te ha infectado?. Lo primero que tienes que hacer es meterte en el Registro. El procedimiento clásico de pulsar la tecla de Windows+R y escribir Regedit se mantiene, ahora viene la parte complicada: encontrar el parámetro Agomo. Debes seguir la ruta HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo. Esto lo que hace es encontrar el software malicioso que está robando tus datos. Si no lo encuentras puedes respirar tranquilo, tu PC está a salvo. En caso contrario lee las siguientes líneas.







Elimina la amenaza de una vez



Para eliminar el malware instalado en CCleaner, el cual estaba destinado a espiar a las grandes empresas, tiene dos formas de solucionarse. La primera es actualizar el software. Es el paso más sencillo. Como sabrás, las actualizaciones de las apps no están destinados a corregir fallos, también añaden más y mejor protección. Pero esto es solo una parte del proceso



En los párrafos anteriores te hemos hablado de una entrada del Registro que había que eliminar. Ahora es el momento de hacerlo. Cuando lo hayas logrado realiza un escaneo con tu antivirus para verificar que todo funciona correctamente. Pero aquí no acaba la solución al problema del virus. Si tu antivirus detecta algo raro tenemos malas noticias: debes resetear el Registro, o lo que es lo mismo, reinstalar Windows. Es la única forma de eliminar la amenaza al 100 por cien. Todas las apps se desinstalarán, pero tus datos permanecerán intactos. ¿Habrá sido esta una maniobra del país que más hackea? (Singapur) https://as.com/betech/2017/09/22/portada/1506102670_087509.html









Ver información original al respecto en Fuente:

https://as.com/betech/2017/09/23/portada/1506118611_317288.html]]>
http://www.zonavirus.com/noticias/2017/si-tu-sistema-es-windows-10-existe-un-metodo-para-eliminar-el-hackeo-del-virus-del-ccleaner-con-malware.asp http://www.zonavirus.com/noticias/2017/si-tu-sistema-es-windows-10-existe-un-metodo-para-eliminar-el-hackeo-del-virus-del-ccleaner-con-malware.asp Noticias Wed, 26 Sep 2017 08:34:49 GMT
<![CDATA[Redboot, una mezcla entre ransomware y wiper que acaba con tus datos]]>


https://www.redeszone.net/app/uploads/2016/09/Philadelphia-ransomware-ransomware.jpg?x=634&y=309



Aunque generalmente solemos referirnos como ransomware a todo aquel malware que secuestra, cifra y/o nos hace perder nuestros datos, en realidad, técnicamente, no es así. Además del ransomware tal y como lo conocemos (malware que cifra nuestros datos y nos pide el pago de un rescate por ellos), existe una herramienta que funciona de forma similar, ataca los datos, los cifra (o cifra el MBR) pero no permite la recuperación de los datos, ya sea por la ausencia de clave o por la falta de herramienta para descifrar los datos, lo que conocemos como Wiper. También hay amenazas que mezclan estos dos conceptos en uno solo, como el nuevo y peligroso RedBoot.



RedBoot es una nueva amenaza vista en la red que mezcla estos dos conceptos. Este malware, por un lado, cifra uno a uno todos los datos personales que la víctima tiene guardados en su ordenador, mientras, por otro lado, cifra también el MBR y modifica la tabla de particiones, dejando toda la información del disco duro inservible.



Cuando descargamos y ejecutamos este malware en nuestro ordenador, el archivo principal extrae automáticamente una serie de archivos en una ruta al azar de nuestro sistema, archivos utilizados para llevar a cabo la tarea de cifrado:



assembler.exe – herramienta utilizada para compilar el malware boot.asm para crear el nuevo MBR.

boot.asm – archivo en ensamblador que forma el nuevo MBR modificado.

boot.bin – el archivo que se genera cuando se compila el boot.asm.

overwrite.exe – programa utilizado para escribir el MBR modificado en el disco duro.

main.exe – ransomware que cifra los datos del PC.

protect.exe – Herramienta maliciosa utilizada para finalizar varios procesos (antivirus, por ejemplo) e impedir su ejecución.



Cuando se ejecuta el malware, lo primero que hace es compilar el nuevo y modificado MBR y, a continuación, escribirlo en el disco duro. Tras ello, ejecutará el programa protect.exe para bloquear los antivirus y empezará a analizar y cifrar uno a uno todos los datos almacenados en el disco duro, archivos a los que se añadirá la extensión .locked.



Una vez termina el cifrado, el malware reinicia automáticamente el PC pero, en lugar de cargar directamente Windows, nos mostrará una pantalla roja como la siguiente.



https://www.redeszone.net/app/uploads/2017/09/RedBoot-Ransomware.png

RedBoot Ransomware



Por un fallo o a propósito, RedBoot, aunque tenemos un ID, no permite recuperar los archivos



Tal como nos cuentan los expertos de seguridad de Bleeping Computer, aunque a grandes rasgos debería permitir la recuperación de los archivos, este ransomware no lo permite.



No se sabe si es por un error o despiste del pirata informático o está hecho a propósito, pero, salvo que al pagar se facilite una herramienta que permita arrancar el ordenador en modo live para descifrar el MBR (cosa bastante improbable), este ransomware no tiene forma de introducir una clave de descifrado manualmente, por lo que más que ransomware parece un wiper que, aunque paguemos, no nos recuperará los datos.







Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/09/25/redboot-ransomware-wiper/]]>
http://www.zonavirus.com/noticias/2017/redboot-una-mezcla-entre-ransomware-y-wiper-que-acaba-con-tus-datos.asp http://www.zonavirus.com/noticias/2017/redboot-una-mezcla-entre-ransomware-y-wiper-que-acaba-con-tus-datos.asp Noticias Wed, 26 Sep 2017 05:29:54 GMT
<![CDATA[Controla el funcionamiento de tu tarjeta de red con networkcounterswatch]]> máscara-de-subred-para-que-sirve.jpg

Aunque la mayoría de las veces solo nos preocupamos de que nuestra conexión a Internet funcione, en realidad puede que no lo esté haciendo de forma óptima. Windows, por defecto, no nos muestra mucha más información que la básica en lo relacionado con nuestra tarjeta de red y el estado de nuestra conexión. Por ello, si queremos poder conocer al detalle cómo funciona nuestra tarjeta de red u obtener algún dato interno de la misma, es necesario recurrir a aplicaciones especiales para este fin. Una de las aplicaciones más simples y sencillas para recopilar información sobre nuestra tarjeta de red es NetworkCountersWatch.



NetworkCountersWatch es una aplicación gratuita desarrollada por NirSoft que nos permite conocer toda la información posible sobre nuestra tarjeta de red, así como controlar, en tiempo real, su funcionamiento. Esta aplicación por defecto reconocerá todas las tarjetas de red conectadas a nuestro ordenador, tanto de hardware como de software, y nos mostrará todo tipo de información sobre ellas, desde el nombre, la descripción y el fabricante hasta la MAC de la misma.



Además, también nos va a permitir conocer una serie de datos que nos pueden ser útiles para comprobar que esta está funcionando con normalidad, como, por ejemplo, la velocidad de conexión, la velocidad de descarga y subida en tiempo real, los paquetes que se han detectado con errores, los paquetes descartados, etc.



Podemos descargar esta aplicación de forma totalmente gratuita desde el siguiente enlace. La aplicación no requiere instalación ni tiene ninguna dependencia adicional que pueda hacer que no nos funcione. Una vez descargada, simplemente la descomprimimos, ejecutamos, y veremos una ventana similar a la siguiente.



El único requisito para poder utilizar esta aplicación es utilizar una versión de Windows entre Vista y 10, ya que Windows XP, y las versiones anteriores, no están soportadas.




NetworkCountersWatch-655x213.png

Cómo funciona NetworkCountersWatch



Como hemos dicho, una vez descargada y descomprimida la aplicación la ejecutaremos y nos cargará su ventana principal. El programa, por defecto, solo nos mostrará las tarjetas de red físicas, de hardware, aunque si queremos también podemos mostrar tarjetas de red virtuales, como, por ejemplo, las de VirtualBox o VMware.



El programa no tiene mucho más. Desplazando la barra horizontal vamos a poder ver toda la información que nos muestra el programa y, además, si pulsamos la tecla F7 vamos a poder resetear todos los valores, lo que es muy práctico, por ejemplo, si queremos utilizar esta herramienta como un monitor y medidor de red.



Sin duda, una sencilla aplicación, al más puro estilo NirSoft, que no debe faltar en nuestra colección de aplicaciones de red.



https://www.redeszone.net/2017/09/25/networkcounterswatch-informacion-tarjeta-red/]]>
http://www.zonavirus.com/noticias/2017/controla-el-funcionamiento-de-tu-tarjeta-de-red-con-networkcounterswatch.asp http://www.zonavirus.com/noticias/2017/controla-el-funcionamiento-de-tu-tarjeta-de-red-con-networkcounterswatch.asp Noticias Tue, 25 Sep 2017 16:17:35 GMT
<![CDATA[Nvidia corrige multiples vulnerabilidades en sus productos]]> La empresa de hardware ha publicado un boletín donde describe ocho vulnerabilidades presentes en sus productos. Algunas de ellas permiten la denegación de servicio o la escalada de privilegios.




maxresdefault.jpg


Tres de las vulnerabilidades (CVE-2017-6269, CVE-2017-6268 y CVE-2017-6277) se encuentran en la capa de modo kernel para 'DxgkDdiEscape', situada en el fichero 'nvlddmkm.sys', y están relacionadas con el paso de valores al controlador sin validación previa. Esto podría ser aprovechado para realizar una denegación de servicio o una elevación de privilegios, y por ello son calificadas con severidad alta.



Existe una cuarta vulnerabilidad (CVE-2017-6272) con la misma severidad, causa e impacto, aunque no relacionada con 'DxgkDdiEscape'.



Las cuatro vulnerabilidades restantes son de severidad media. Dos de ellas, con identificadores CVE-2017-6270 y CVE-2017-6271, se encuentran en la capa de modo kernel para 'DxgkDdiCreateAllocation'. Al no validarse los datos introducidos para una división, se puede provocar una división entre cero y denegación de servicio.



Las dos últimas también pueden desembocar en denegación de servicio, y son causadas por controles de acceso incorrectos (CVE-2017-6266) y una incorrecta inicialización de valores internos, que puede dar lugar a un bucle infinito (CVE-2017-6267).



Las vulnerabilidades afectan a los productos Geforce, NVS, Quadro y Tesla tanto en sistemas Windows como Linux. Las actualizaciones ya están disponibles para los tres primeros en las versiones 385.69 para Windows y 384.90 para Linux, mientras que para el producto Tesla se publicarán en la semana del 25 de septiembre. Las actualizaciones también estarán disponibles a través de GeForce Experience.



http://unaaldia.hispasec.com/2017/09/nvidia-corrige-multiples.html]]>
http://www.zonavirus.com/noticias/2017/nvidia-corrige-multiples-vulnerabilidades-en-sus-productos.asp http://www.zonavirus.com/noticias/2017/nvidia-corrige-multiples-vulnerabilidades-en-sus-productos.asp Noticias Tue, 25 Sep 2017 15:16:20 GMT
<![CDATA[Finfisher ataca de nuevo, ahora con posible apoyo de isp's]]>
FinFisher (o FinSpy) es un spyware diseñado para ser usado por gobiernos para llevar a cabo labores de vigilancia. Esta última campaña parece apoyarse en los proveedores de servicio, según el último aviso de la firma antivirus ESET.



https://1.bp.blogspot.com/-r-9_BcrEUCI/WcUdVwzLn5I/AAAAAAAAAdM/vbXfrPwGIRoX0ptFb7bUPEcfXI2ij51TACLcBGAs/s1600/finfisher.jpg



FinFisher no es un spyware especial. Al menos en el sentido técnico. Captura en directo de webcams, micrófonos, pulsaciones de teclado, extracción de archivos...No tiene funcionalidades extravagantes que otros spywares no tengan. Lo que llama la atención de FinFisher sobre los demás es lo controvertido de sus métodos de distribución. Métodos como spearphishing (phishing dirigido, en este caso para introducir un troyano), instalación manual en dispositivos accesibles físicamente, exploits 0-day y ataques watering hole (se compromete una web confiable para infectar a visitantes específicos).



Esta vez la particularidad viene debida a que, según la investigación llevada a cabo por ESET, seha detectado la distribución de nuevas variantes de FinSpy a nivel del proveedor de servicio de Internet (ISP) utilizado por el usuario, a diferencia de los anteriores métodos comentados.



Se pudo determinar que aquellos usuarios que buscaban, por ejemplo, aplicaciones de mensajería segura como Threema, o de cifrado de volúmenes o ficheros, como TrueCrypt, eran internamente redirigidos mediante redirecciones de tipo 307 a descargas de esta variante de spyware. Por tanto, se estaba realizando un Man-In-The-Middle a un nivel mucho más bajo de lo habitual.



Esta capacidad de despliegue, sólo posible para determinados países y sus operadores, reafirma y parece validar los datos aportados por una reciente revelación en Wikileaks, sobre FinFly ISP, o la distribución de FinFisher mediante ISPs cooperantes que introducen este comportamiento en su servicio.



Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2017/09/finfisher-ataca-de-nuevo-ahora-con.html]]>
http://www.zonavirus.com/noticias/2017/finfisher-ataca-de-nuevo-ahora-con-posible-apoyo-de-isps.asp http://www.zonavirus.com/noticias/2017/finfisher-ataca-de-nuevo-ahora-con-posible-apoyo-de-isps.asp Noticias Mon, 24 Sep 2017 17:59:27 GMT
<![CDATA[Cómo eliminar all-io.net de google chrome o mozilla firefox]]> Google Chrome o Mozilla Firefox



https://www.redeszone.net/app/uploads/2017/09/all-io-net-eliminar.jpg?x=634&y=309

Eliminar All-io.net de los navegadores



All-io.net es una página falsa con malware incorporado. Actúa como adware y secuestrador de navegadores. Es utilizado por anunciantes desconocidos para impulsar el tráfico web mediante el secuestro de navegadores web comunes, como Internet Explorer, Google Chrome y Mozilla Firefox. All-io.net altera la configuración del navegador y el protector de seguridad se elimina. Permite anuncios publicitarios falsos apareciendo en los navegadores y anuncios de banners que aparecen cuando se visitan páginas webs. En este artículo vamos a hablar de cómo eliminarlo.



Eliminar All-io.net



El sitio web anunciado tiene enlaces a otras webs populares como Facebook, YouTube, Twitter, etc. También cuenta con un motor de búsqueda. El motor insertará los sitios webs patrocinados en los resultados para que se les redirija a ellos.



All-io.net con frecuencia se incluye con freeware y se ofrece durante la instalación de software legítimo. El software de varios sitios de descarga importantes puede contener archivos adicionales.





Paso 1. Quitar la página All-io.net del navegador



En primer lugar, All-io.net es un secuestrador de navegadores, como muchos otros. Así pues, aquí está una forma sencilla de eliminarlos del navegador y recuperar la página de inicio y el motor de búsqueda. Sólo tenemos que restablecer la configuración del navegador. Para hacerlo de forma automática y gratuita, podemos utilizar la herramienta Reset Browser Setting, de GridinSoft.



Reset Browser Setting es una herramienta incluida en el complejo programa anti-malware. Así que, en primer lugar, es necesario descargar e instalar GridinSoft Anti-Malware.

Lo siguiente es abrir la pestaña Herramientas en el menú superior. Seleccionar las herramientas Reset Browser Settings de la lista.

Posteriormente hay que seleccionar el navegador. Tiene que ser el que está infectado por All-io.net. Hay que tener en cuenta que esta acción reiniciará el navegador. Es por ello que debemos de guardar posibles ventanas que tengamos abiertas en ese momento.

Una vez finalice este proceso, volveremos a la pantalla del navegador. Esto significa que la configuración del navegador es la predeterminada ahora y All-io.net ha sido eliminado del mismo.

Hasta ahora hemos logrado restablecer los navegadores. Sin embargo puede ocurrir que All-io.net haya infectado otras áreas de nuestro equipo. Incluso que haya instalado otro tipo de software malicioso. Por ello conviene realizar un escaneo posterior en busca de malware



Paso 2. Eliminar los rastros de All-io.net del sistema



Hay que volver a la pantalla principal de GridinSoft Anti-Malware y elegir el tipo de escaneado.

Daremos a escanear el sistema.

Una vez completada la exploración, veremos si hay algún adware en elequipo. Eliminamos los elementos detectados haciendo click en el botón Aplicar.

Con esto nos aseguraremos de que en nuestro ordenador no queda rastro de All-io.net. Como siempre decimos, lo mejor es mantener nuestro equipo actualizado y con software de seguridad que pueda hacer frente a posibles amenazas. Recientemente publicamos un artículo donde hablábamos de algunos de los mejores programas y herramientas de seguridad gratuitos para Windows.



All-io.net afecta a los principales navegadores. Como hemos mencionado, alguno de estos son Google Chrome y Mozilla Firefox, los líderes del sector, así como Internet Explorer.



Fuente > Trojan Killer



Ver información original al respecto en Fuente:

Google Chrome-mozilla-firefox/" rel="no follow" target="_blank">https://www.redeszone.net/2017/09/23/eliminar-all-io-net-Google Chrome-mozilla-firefox/]]>
http://www.zonavirus.com/noticias/2017/como-eliminar-all-ionet-de-google-chrome-o-mozilla-firefox.asp http://www.zonavirus.com/noticias/2017/como-eliminar-all-ionet-de-google-chrome-o-mozilla-firefox.asp Noticias Mon, 24 Sep 2017 06:30:33 GMT
<![CDATA[Qué es el "efecto 2038", a qué dispositivos afecta y qué peligro podría suponer]]>


https://i.blogs.es/9d15d7/33318605932_2257058be1_k/1366_2000.jpg



El 19 de enero del 2038, cuando el reloj marque las cinco y catorce minutos con siete segundos de la madrugada (03:14:07 UTC), un bug informático hará que gran parte de los ordenadores, programas, servidores o cualquier tipo de dispositivo que utilice un sistema de 32 bits y no haya sido parcheado falle a escala global pensando que vuelve a ser el año 1901.



¿Te acuerdas del efecto 2000 que tanta preocupación causó a finales del siglo pasado? Pues "el efecto 2038" (Y2K38 para los amigos) es algo parecido. Posiblemente no acabe afectándonos, hay mucho tiempo para parchear o sustituir los sistemas de 32 bits, pero hoy te vamos a contar por qué existe este problema para que entiendas bien de qué se ha estado hablando, y se seguirá haciendo, cuando se refieren al Y2K38.



Empezamos a oír hablar con frecuencia del problema del año 2038 en diciembre del 2014, en plena fiebre del Gangman Style. El vídeoclip de PSY alcanzó las 2.147.483.647 reproducciones el 3 de diciembre de aquel año, y tras superar esa cifra YouTube dejó de ser capaz de contar más allá. Google tuvo que parchear YouTube, y el resto del mundo se dio cuenta de que teníamos un problema.



Qué es exactamente el problema del año 2038



https://i.blogs.es/d501e7/2038/1366_2000.jpg



2038



El problema del año 2038 se debe a la capacidad máxima de bits que pueden contar los sistemas de 32 bits. Estos almacenan memoria y ejecutan sus procesos utilizando 32 dígitos binarios, los cuales pueden representarse por un 1 o un 0, lo que permite permite un total de 4.294.967.295 combinaciones posibles.



Pero hay que tener en cuenta que estas combinaciones pueden ser positivas o negativas, por lo que en realidad los sistemas de 32 bits "sólo" cuentan con 2.147.483.647 valores positivos superiores a cero y otros 2.147.483.647 valores negativos.



Uno de los sistemas que estos procesadores usan para contar el tiempo es el POSIX, que calcula los segundos transcurridos desde el 1 de enero de 1970 a las 00:00:00 UTC. Esto quiere decir, que partiendo de ese 1 de enero de 1970, los ordenadores de 32 bits sólo son capaces de contabilizar las fechas comprendidas entre las 20:45:52 UTC del 13 de diciembre de 1901 hasta las 03:14:07 UTC del 19 de enero del 2038.



Por lo tanto, un segundo después de las 03:14:07 UTC del 19 de enero del 2038 los sistemas de 32 bits ya no serán capaces de contar más, y confundirán la fecha con el 13 de diciembre de 1901, que es la fecha de referencia de 1970 restándole los 2.147.483.647 segundos negativos.





Ver información original al respecto en Fuente:

https://www.xataka.com//seguridad/que-es-el-efecto-2038-a-que-dispositivos-afecta-y-que-peligro-real-puede-suponer?utm_source=NEWSLETTER&utm_medium=DAILYNEWSLETTER&utm_content=POST&utm_campaign=24_Sep_2017+Xataka&utm_term=CLICK+ON+TITLE





Comentario:



En los algo mas de 20 años que faltan para ello, creo que ya se habrá solucionado, pero bien está saberlo !



saludos



ms, 24-9-2017]]>
http://www.zonavirus.com/noticias/2017/que-es-el-efecto-2038-a-que-dispositivos-afecta-y-que-peligro-podria-suponer.asp http://www.zonavirus.com/noticias/2017/que-es-el-efecto-2038-a-que-dispositivos-afecta-y-que-peligro-podria-suponer.asp Noticias Mon, 24 Sep 2017 06:07:42 GMT
<![CDATA[Filtran 500,000 contraseñas de dispositivos de rastreo de automóviles]]>


Las credenciales de inicio de sesión de más de medio millón de registros pertenecientes a la compañía de dispositivos de seguimiento de vehículos SVR Tracking han sido filtrados en línea, exponiendo potencialmente los datos personales y los detalles de vehículos de los conductores y las empresas que utilizan su servicio.



https://1.bp.blogspot.com/-dPyyE5Ecy98/WcU6-g4kR4I/AAAAAAAAAPQ/S92mSXtOSWga5wtt5fGIB0nSbjA5E070wCLcBGAs/s1600/car-tracking.jpg



Hace apenas dos días, se descubrió que Viacom expuso las claves de su reino en un servidor Amazon S3 no asegurado, y esta violación de datos es otro ejemplo de almacenamiento de datos confidenciales en un servidor de la nube mal configurado.



El Centro de Seguridad de Kromtech fue el primero en descubrir un servidor de almacenamiento en la nube Amazon Web Server (AWS) S3, totalmente abierto al público, que contenía una caché perteneciente a SVR que se dejó accesible públicamente por un periodo desconocido.



El servicio de Rastreo SVR permite a sus clientes rastrear sus vehículos en tiempo real mediante la colocación de un dispositivo de rastreo físico a los vehículos en un lugar discreto, por lo que sus clientes pueden monitorearlos y recuperarlos en caso de que sus vehículos sean robados.



La caché filtrada contenía detalles de aproximadamente 540,000 cuentas SVR, incluyendo direcciones de correo electrónico y contraseñas, así como datos de vehículos de los usuarios, como VIN (número de identificación del vehículo), números IMEI de dispositivos GPS, entre otros.



Las contraseñas filtradas fueron almacenadas usando SHA-1, una función criptográfica de hash débil de 20 años de antigüedad que fue diseñada por la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés), que se puede romper con facilidad.



La base de datos filtrada también expuso 339 registros que contenían fotografías y datos sobre el estado del vehículo y los registros de mantenimiento, junto con un documento con información sobre los 427 concesionarios que utilizan los servicios de seguimiento de SVR.



Curiosamente, la base de datos expuesta también contenía información acerca de dónde estaba oculta exactamente en el coche la unidad de rastreo físico.



Según Kromtech, el número total de dispositivos expuestos "podría ser mucho mayor dado el hecho de que muchos de los revendedores o clientes tenían un gran número de dispositivos para el seguimiento".



Dado que el dispositivo de seguimiento de vehículos SVR monitorea un vehículo en cualquier lugar durante los últimos 120 días, cualquier persona con acceso a las credenciales de inicio de sesión de los usuarios de SVR podría rastrear un vehículo en tiempo real y crear un registro detallado de cada lugar que el vehículo ha visitado usando cualquier dispositivo conectado a Internet como un escritorio, un ordenador portátil, un teléfono móvil o una tableta.



Eventualmente, el atacante podría robar el vehículo o incluso robar una casa cuando saben que el dueño de un coche está fuera.



Kromtech responsable alertó a la compañía del servidor de almacenamiento en la nube AWS S3 mal configurado, que desde entonces se ha asegurado. Sin embargo, no está claro si los datos públicamente accesibles posiblemente fueron accedidos por hackers o no





Ver información original al respecto en Fuente

https://www.seguridad.unam.mx/filtran-contrasenas-de-500000-dispositivos-de-rastreo-de-automoviles]]>
http://www.zonavirus.com/noticias/2017/filtran-500000-contrasenas-de-dispositivos-de-rastreo-de-automoviles.asp http://www.zonavirus.com/noticias/2017/filtran-500000-contrasenas-de-dispositivos-de-rastreo-de-automoviles.asp Noticias Sun, 23 Sep 2017 18:23:11 GMT
<![CDATA[El troyano bancario retefe incluye el exploit eternalblue]]>


https://www.redeszone.net/app/uploads/2017/09/Rtefe-ahora-incluye-el-exploit-eternalblue.jpg?x=634&y=309



Utilizan el exploit EternalBlue junto con el troyano Retefe



Después de la NSA, ahora son los ciberdelincuentes los que se benefician de este exploit. Expertos en seguridad han detectado una nueva variante del troyano bancarios Retefe. Esta nueva versión ha recibido una actualización que podríamos considerar importante. La amenaza ahora cuenta con la ayuda del exploit EternalBlue, abriendo aún más el abanico de funciones a disposición de los ciberdelincuentes.



No ha sido el único troyano que se ha seguido este camino. Sin ir más lejos, TrickBot fue el último que se detectó en Internet que había añadido este exploit. Ahora es Retefe el que también se ha sumado a este listado, buscando de alguna forma alcanzar la reputación de otras amenazas similares, algo que no ha tenido en ningún momento, o al menos hasta este momento.



La última actualización de su código permite que la amenaza se pueda aprovechar de la vulnerabilidad SMBv1, existente todavía en muchos equipos Windows, algo que preocupa a los expertos en seguridad, existiendo una tasa de adquisición de la actualización que soluciona el problema baja. Sin embargo, esto es algo bastante habitual si hablamos de problemas de seguridad, y que no solo podemos encontrar a nivel de sistemas operativos



Austria, Suecia, Suiza o Japón son algunos países que se han visto salpicados hasta este momento por el troyano bancario Retefe.



¿Cuál es el funcionamiento de Retefe?



A diferencia de otros softwares maliciosos similares, basados en la inyección de código en formularios legítimos visitados por los usuarios, esta amenaza lo que hace es redirigir al usuario a través de unos proxy, ubicados generalmente en la red Tor.



En lo que se refiere a su distribución, los expertos en seguridad han detectado que, en las últimas semanas, los ciberdelincuentes se afanado en distribuir mensajes con documentos de Microsoft Word adjuntos. Sin embargo, la apertura del archivo y la activación de las macros permite que se realice la descarga del instalador de Retefe.



¿Las herramientas de seguridad detectan la amenaza?



De acuerdo a los resultados de varios informes, parece que las herramientas de seguridad son capaces de detectar y detener la ejecución de la amenaza. Por este motivo, se recomienda a los usuarios disponer de una solución antivirus con análisis en tiempo real y que esté correctamente actualizada.



Otro consejo es rechazar directamente aquellos mensajes de correo electrónico cuya procedencia sea más que dudosa



La inclusión de EternalBlue



La nota más relevante es sin lugar a dudas la inclusión de este exploit. Su finalidad está bastante acotada. Ya hemos mencionado con anterioridad que los ciberdelincuentes buscan de alguna forma la difusión de las amenazas. La vulnerabilidad presente en SMBv1 ayuda y mucho a su distribución, siendo especialmente peligroso si hablamos de redes LAN corporativas. Es decir, la única funcionalidad que este exploit añade al dispositivo es la de su distribución a través del servicio afectado. Por lo demás continúa siendo un troyano bancario que puede tener una mayor o menor peligrosidad a nivel de robo de información de formularios.



Si queremos evitar que esto suceda, lo mejor es actualizar nuestro equipo si no lo hemos hecho.



Fuente > threatpost



Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/09/23/troyano-bancario-retefe-incluye-exploit-eternalblue/]]>
http://www.zonavirus.com/noticias/2017/el-troyano-bancario-retefe-incluye-el-exploit-eternalblue.asp http://www.zonavirus.com/noticias/2017/el-troyano-bancario-retefe-incluye-el-exploit-eternalblue.asp Noticias Sun, 23 Sep 2017 17:57:39 GMT
<![CDATA[Alerta ransomware de amazon!]]> http://cdn3.computerhoy.com/sites/computerhoy.com/files/styles/fullcontent/public/novedades/amazon_18.jpg?itok=mGHJ_Fm7

¡Alerta ransomware de Amazon!



Un nuevo ransomware que suplanta la identidad a Amazon ataca miles de ordenadores en todo el mundo



Unos piratas informáticos han atacado a miles de ordenadores en todo el mundo por medio de un ataque de ransomware, en el que se hacen pasar por el equipo del Marketplace de Amazon.



Mediante un correo electrónico con el asunto Invoice RE-2017-09-21-00102 (Invoice en inglés significa factura), con los logotipos de la compañía estadounidense y cuyo remitente es Amazon Marketplace uJLHsSYOYmvOX@marketplace.amazon.co.uk, los ciberdelincuentes han dejado un fichero que contiene una variante de un malware llamado Locky.



Este virus solo se ejecuta cuando se abre el archivo adjunto. En ese momento ejecuta un código en el ordenador que borra cualquier copia de seguridad que haya en un ordenador con sistema operativo Windows. Posteriormente el malware comienza a cifrar todos los ficheros que hay en la computadora.



Los ciberdelincuentes se han ‘tomado la molestia’ de programar al ordenador para que, una vez está cifrada toda la información del ordenador, se abra un fichero con las instrucciones para recuperar el equipo con pago previo.



Luis Corrons, director de PandaLabs de Panda Security, ha señalado que desde los sistemas de monitorización de Panda Security hemos visto como nuestros productos han localizado y bloqueado todos los intentos de infección en los ordenadores de nuestros clientes. No obstante, es muy recomendable extremar la precaución ante mensajes en los que nos hablen de facturas si no hemos realizado ninguna compra en un plazo máximo de dos o tres días.



En este sentido, hay que prestar especial atención al número de factura que se indica en el asunto del email, pues las seis últimas cifras que aparecen en él son aleatorias. Cada usuario recibirá una factura con un número distinto al del resto de usuarios.



El cuerpo del email, en inglés, es el siguiente:



Dear customer,

We want to use this opportunity to first say Thank you very much for your purchase!

Attached to this email you will find your invoice.

Kindest of regards,

your Amazon Marketplace



En castellano:



Estimado cliente:

Aprovechamos este email para decirle ¡Muchas gracias por su compra!

Adjunta en este email, encontrará su factura

Un cordial saludo

El Marketplace de Amazon





Ver información original al respecto en Fuente:

http://www.pandasecurity.com/spain/mediacenter/malware/alerta-ransomware-de-amazon/]]>
http://www.zonavirus.com/noticias/2017/alerta-ransomware-de-amazon.asp http://www.zonavirus.com/noticias/2017/alerta-ransomware-de-amazon.asp Noticias Sun, 23 Sep 2017 15:13:31 GMT
<![CDATA[Proxym, un nuevo malware que afecta a dispositivos iot]]> https://www.redeszone.net/app/uploads/2017/09/ProxyM-un-nuevo-malware-que-afecta-a-dispositivos-IoT.jpg?x=634&y=309

ProxyM, malware que afecta a dispositivos IoT



Los dispositivos pertenecientes al Internet de las cosas continúan dando mucho de qué hablar. Que su seguridad no es la mejor es un aspecto que ha quedado demostrado ampliamente en varias ocasiones. Cámaras IP, enchufes eléctricos, bombillas inteligentes manipuladas de forma inalámbrica, y así hasta completar un largo listado de dispositivos. ProxyM es un malware que está afectando a estos dispositivos y que les añade algunas funcionalidades.



En situaciones similares, los ciberdelincuentes se han afanado en afectar a estos dispositivos, buscando sobre todo la realización de ataques de denegación de servicio a gran escala.



La finalidad perseguida es bastante clara: cuanto mayor sea la botnet, mayor repercusión tendrá el ataque de denegación de servicio. Pero en este caso, los ciberdelincuentes buscan con ProxyM otra meta: distribuir correos spam a gran escala.



Teniendo en cuenta que la mayor parte (por no decir todos) de dispositivos IoT poseen un sistema operativo Linux, no sería para nada descabellado pensar que en algún momento los equipos de sobremesa de los usuarios se vean afectados. Es cierto que, por el momento, a los ciberdelincuentes les resulta mucho más atractivo estos, sobre todo porque los usuarios no son conscientes de qué es lo que está sucediendo durante el funcionamiento del dispositivo.





Detalles de ProxyM



Se trata de un software diseñado desde un primer momento para afectar a dispositivos basados en Linux. Para ser más exactos, es capaz de afectar a dispositivos con arquitecturas x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 y SPARC, cubriendo casi la totalidad de dispositivos IoT que pueden existir en los hogares.



Las funcionalidades de esta amenaza están muy acotadas. Sus orígenes se remontan al pasado mes de febrero. Desde entonces, su funcionalidad se ha visto inalterada y parece que sus propietarios y desarrolladores están centrados en distribuir grandes cantidades de mensajes spam.



Para ser más exactos, algunos análisis por parte de expertos en seguridad hablan de un envío de hasta 400 correos por dispositivo.



¿Por qué se puede ver mi dispositivo afectado?



En la mayoría de los casos no es por culpa del usuario, aunque es cierto que algunos tienden a mantener en la cuenta de administrador la existente por defecto, algo que no ayuda en exceso.



Sobre todo, que un dispositivo IoT se vea afectado por ProxyM depende de la existencia de vulnerabilidades en el dipositivo. Tal y como ya hemos comentado anteriormente, estos dispositivos no destacan por tener una buena seguridad.





Tamaño actual de la botnet



Desde febrero que apareció por primera vez, el tamaño máximo que ha alcanzado se encuentra próximo a los 10.000 dispositivos. Sin embargo, en los últimos meses su tamaño se ha visto reducido hasta los 4.000-5.000 dispositivos. Pero ya se sabe cómo funcionan las botnet, en cualquier momento puede alcanzar un nuevo pico.



Para poner las cosas un poco más difíciles a los ciberdelincuentes, se recomienda modificar la clave de acceso por defecto a estos dispositivos. Aunque muchos poseen acceso a Internet, expertos recomiendan que cuánto menos visible sean desde Internet, mejor para nuestra seguridad, ya que no sabemos si poseen algún tipo de vulnerabilidad que los ciberdelincuentes puedan explotar en algún momento.



Fuente > Bleeping Computer



Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/09/22/proxym-nuevo-malware-afecta-dispositivos-iot/]]>
http://www.zonavirus.com/noticias/2017/proxym-un-nuevo-malware-que-afecta-a-dispositivos-iot.asp http://www.zonavirus.com/noticias/2017/proxym-un-nuevo-malware-que-afecta-a-dispositivos-iot.asp Noticias Sun, 23 Sep 2017 07:42:41 GMT
<![CDATA[Nransom: el ataque virtual que te extorsiona para obtener ‘nudes’]]>


https://i1.wp.com/www.cbtelevision.com.mx/wp-content/uploads/2017/09/26-5.jpg?zoom=2&resize=830%2C402&ssl=1





Últimamente ha causado preocupación en diversas empresas e instituciones el ataque virtual denominado nRansom, ya que extorsiona para obtener ‘nudes’ o fotografías de las personas desnudas, esto como la única condición o posibilidad de que te dejen en paz.



Tu dispositivo queda sin posibilidades de ser utilizado libremente por culpa de estos hackers y no desisten hasta que obtienen lo que quieren; ya no se trata tanto del hecho de conseguir las famosas bitcoins, sino que han ido más lejos con esta petición.



Si la persona afectada cumple con el requerimiento de las fotografías con el cuerpo totalmente desnudo, quien esté detrás del ataque, le proporciona los códigos necesarios para que pueda desbloquear sus dispositivos y seguir con su vida.



Un comunicado que fue emitido por Kaspersky, señala que este tipo de extorsión no involucra una encriptación como suele suceder con otros como WannaCry o NotPetya, solamente bloquea el sistema operativo.



https://pbs.twimg.com/media/DKRYVLwWAAEwtgB?format=jpg



Las 10 fotografías que solicitan, pueden ser fácilmente usadas con fines ilegales o para colocarse en páginas de pornografía, por lo que Kaspersky recomienda que no caigan en esto, porque la extorsión podría ser peor cuando tengan en su poder las imágenes.



Este archivo que causa los conflictos, está solamente en Windows, por lo que se pide tener cuidado al momento de descargar cosas que puedan parecer extrañas.



Fuente: SDP Noticias



Ver información original al respecto en Fuente:

https://www.cbtelevision.com.mx/nransom-ataque-virtual-te-extorsiona-obtener-nudes/]]>
http://www.zonavirus.com/noticias/2017/nransom-el-ataque-virtual-que-te-extorsiona-para-obtener-‘nudes’.asp http://www.zonavirus.com/noticias/2017/nransom-el-ataque-virtual-que-te-extorsiona-para-obtener-‘nudes’.asp Noticias Sun, 23 Sep 2017 06:36:45 GMT
<![CDATA[Oracle lanza java 9, una gran y esperada actualización de esta plataforma]]> https://www.redeszone.net/app/uploads/2017/09/Java-9.png?x=634&y=309

Java 9



Java es un lenguaje de programación creado en 1995 con la intención de crear un lenguaje que tuviera el menor número de dependencias posible de manera que pudiera ser portable entre distintas plataformas. A medida que han pasado los años, esta plataforma ha ido mejorando con sus actualizaciones hasta que, hace algunas horas, Oracle confirmaba finalmente el lanzamiento de la nueva y esperada versión de Java, Java 9, que llega 3 años y medio más tarde desde el lanzamiento de Java 8, la que hasta ahora ha sido la última versión de esta plataforma.



JDK 9, o Java Platform, Standard Edition 9, es una gran actualización de este lenguaje de programación que llega con un gran número de cambios, mejoras y novedades tanto en seguridad y rendimiento como en muchos de los componentes de este lenguaje de programación multiplataforma y orientado a objetos.



Además de las nuevas funciones y características que vamos a ver a continuación, algunos de los cambios más importantes de esta nueva plataforma se basan en el soporte para la modularización (separando el JRE del JDK y mejorando la seguridad y rendimiento del ecosistema), mejora notable de rendimiento (algo muy necesario, especialmente en proyectos ya de un tamaño considerable o de las aplicaciones de Android) y compatibilidad con nuevos estándares solicitados por los propios desarrolladores de la plataforma.



Novedades de Java 9



No vamos a ver todos los cambios introducidos en esta nueva versión de Java ya que el número de mejoras y cambios es inmenso, tanto para los programadores como para los usuarios finales. Sin embargo, además de los cambios que, a grandes rasgos, hemos citado en el párrafo anterior, también vamos a ver las mejoras que afectarán directamente a los usuarios domésticos que utilicen el JRE en lugar del JDK.



La primera de las novedades del JRE 9 es que, a partir de ahora, durante la instalación del mismo, vamos a poder desactivar el contenido Java del navegador. Además, el plugin Java ha sido descontinuado y, aunque viene incluido por defecto, en futuras versiones dejará de estarlo. Lo mismo ocurre con la API del applet, que también se descontinúa.



Instalación Java 9



El Panel de Control de Java 9 también ha sido mejorado, y ahora, además de ser más sencillo de utilizar y encontrar lo que queramos o necesitemos, cuenta con nuevas características, como:



Desactivar la comprobación automática de actualizaciones.

Administrar los ajustes de Java en el escritorio.

Administrar los ajustes web de Java (reglas, excepciones, cache, etc).

Opciones avanzadas útiles, especialmente, para los desarrolladores.

Administrar los ajustes de seguridad de Java.

Panel de Control Java 9



Por último, esta nueva versión ahora cuenta con la posibilidad de desactivar el uso de los certificados SHA-1, así como un mejor soporte TLS.



Si queremos ver en detalle todas las novedades del nuevo Java 9 os recomendamos visitar su página web principal, donde Oracle nos habla de todos los cambios implementados.



Cómo descargar el JDK y JRE de Java 9



Si somos programadores y queremos empezar a programar con esta nueva versión, podemos descargar el JDK 9 desde el siguiente enlace. Por otro lado, si solo queremos el entorno JRE 9 para ejecutar proyectos y aplicaciones, podemos descargarlo desde el siguiente enlace.



Esta nueva versión está disponible para Windows, macOS y Linux. Los compañeros de SoftZone, además, nos explican cómo descargar, instalar y actualizar Java correctamente en Windows 10.









Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/09/22/java-9-disponible/]]>
http://www.zonavirus.com/noticias/2017/oracle-lanza-java-9-una-gran-y-esperada-actualizacion-de-esta-plataforma.asp http://www.zonavirus.com/noticias/2017/oracle-lanza-java-9-una-gran-y-esperada-actualizacion-de-esta-plataforma.asp Noticias Sat, 22 Sep 2017 17:31:11 GMT
<![CDATA[Comienzan a bloquear mac o iphone remotamente y piden rescate]]> P]]> http://www.zonavirus.com/noticias/2017/comienzan-a-bloquear-mac-o-iphone-remotamente-y-piden-rescate.asp http://www.zonavirus.com/noticias/2017/comienzan-a-bloquear-mac-o-iphone-remotamente-y-piden-rescate.asp Noticias Sat, 22 Sep 2017 17:19:06 GMT <![CDATA[Evita que webs o extensiones minen bitcoin a tu costa con este script]]> https://www.redeszone.net/app/uploads/2017/08/Valor-Bitcoin.png?x=634&y=309

Valor Bitcoin



La fiebre del Bitcoin, o de las criptomonedas en general, es cada vez más preocupante. Cada vez son más los usuarios que optan por utilizar sus recursos para minar estas criptomonedas y poder intentar sacar algo de beneficio, pero también cada vez son más las webs y los desarrolladores con malas intenciones que buscan aprovecharse de los usuarios y utilizar su hardware sin su permiso para minar criptomonedas a su costa. Cansados de esto, hemos decidido crear y compartir con vosotros un script para bloquear, de forma definitiva, esta práctica.



Mientras que existe una gran variedad de plataformas, o pools, para minar Bitcoin manualmente, hace apenas una semana nació una plataforma, que podríamos denominar como Mining as a Service que permite a los administradores web o desarrolladores esconder un script JavaScript personalizado que se carga en el ordenador de los usuarios y utiliza sus recursos para minar Bitcoin de forma oculta y sin permiso.



La primera web en empezar a utilizar esta técnica fue The Pirate Bay, tal como os contamos a principios de esta semana, aunque también han aparecido ahora desarrolladores que han escondido esta misma práctica dentro de extensiones de Chrome, haciendo que desde el momento que abrimos el navegador, este esté siendo utilizado para minar, sin permiso, esta criptomoneda.



Esta plataforma es coin-hive.com, y, aunque existen extensiones para bloquear el minado de criptomonedas sin permiso en nuestro ordenador, a continuación, os vamos a explicar cómo hacerlo fácilmente, y de forma definitiva, para que el cambio tenga efecto tanto en Chrome como en cualquier otro navegador o aplicación que intente conectarse a esa web





Bloquea todo el minado de criptomonedas sin permiso con Halt and Block Mining



Halt and Block Mining es un sencillo script creado por mi (ruvelro) en exclusiva para RedesZone que se encarga de modificar el fichero hosts de nuestro Windows de manera que el dominio de coin-hive quede totalmente bloqueado. De esta manera, si alguna aplicación, extensión o página web intenta comunicarse con este servidor, la conexión quede bloqueada y, al no establecerse, no se empieza a minar Bitcoin en nuestro PC.h



Este sencillo script lo he publicado en GitHub, por lo que cualquiera que no se fíe puede revisar las 6 líneas que lo forman. Además, desde este enlace:



https://github.com/ruvelro/Halt-and-Block-Mining/releases/tag/0.1



también podemos descargarlo para ejecutarlo en nuestro ordenador.



Una vez descargado el fichero HBmining.bat, simplemente debemos ejecutarlo en una ventana de CMD, con permisos de administrador (para poder editar el fichero hosts de Windows) de manera que se incluya la línea correspondiente en el fichero y se borre la caché DNS para bloquear toda conexión con este servidor, protegiendo así nuestro PC y evitando que codiciosos y piratas informáticos lo utilicen, sin permiso, para minar Bitcoin mientras navegamos.



https://www.redeszone.net/app/uploads/2017/09/Hosts-Windows-Nloquear-minar-BitCoin-en-webs.png

Hosts Windows - Bloquear minar BitCoin en webs



Seguiremos de cerca esta práctica e iremos actualizando este script a medida que descubramos más dominios que se utilicen para minar criptomonedas sin permiso desde nuestros navegadores web. Además, en la lista de cosas pendientes, también vamos a crear un script más completo que recopile absolutamente todos los dominios relacionados con el minado de criptomonedas de manera que bloqueemos todas estas plataformas si no queremos saber nada de criptomonedas, ayudándonos, además, a protegernos del malware y las aplicaciones maliciosas que minan Bitcoin en nuestros ordenadores.



Ver información original al respecto en Fuente:

https://www.redeszone.net/2017/09/22/bloquear-minado-bitcoin-script/]]>
http://www.zonavirus.com/noticias/2017/evita-que-webs-o-extensiones-minen-bitcoin-a-tu-costa-con-este-script.asp http://www.zonavirus.com/noticias/2017/evita-que-webs-o-extensiones-minen-bitcoin-a-tu-costa-con-este-script.asp Noticias Sat, 22 Sep 2017 16:54:29 GMT
<![CDATA[Nueva/s version/es de utilidad/es elistara 37.55]]> Para nuevas variantes víricas según muestras recibidas, hemos desarrollado las nuevas versiones de:











ElistarA





---v37.55-(22 de Septiembre del 2017) (Muestras de (2)Ransom.Ykcol "*.exe", DDoS.Dofoil.QHV "****.exe", (7)Malware.Procncb y (2)Trojan.Totbrick "*.exe")













saludos



ms, 22-9-2017]]>
http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3755.asp http://www.zonavirus.com/noticias/2017/nuevas-versiones-de-utilidades-elistara-3755.asp Noticias Sat, 22 Sep 2017 12:52:27 GMT
<![CDATA[Información relativa a mcafee endpoint security 10.5 parche 2]]>


McAfee Endpoint Security 10.5.0

McAfee ePolicy Orchestrator 5.1.1 ó superior





Objetivo

Esta versión de McAfee Endpoint Security contiene mejoras y fixes. Esta versión también incluye la capacidad de deshabilitar los escáneres de la bandeja del sistema de McAfee, agrega compatibilidad con la herramienta Endpoint Security Profiler y proporciona soporte Extra.DAT para Adaptive Threat Protection

Recomendamos que verifique esta actualización en grupos de prueba y piloto antes de su implementación masivamente.



Requisitos

Esta versión instala Endpoint Security en sistemas Windows: autogestionada y administrada con McAfee ePO o McAfee ePO Cloud.

Para obtener una lista completa de los requisitos actuales del sistema, consulte KB82761



Información importante sobre McAfee Host IPS

El paquete de instalación de Endpoint Security 10.5.2 incluye McAfee Host Intrusion Prevention Content 8.0.0.7850. Esta versión de contenido es requerida por McAfee Host IPS y agrega soporte para nuevas firmas utilizadas por Endpoint Security 10.5.2. La instalación actualiza el contenido de los sistemas que ejecutan McAfee Host IPS con versiones anteriores.



Software de gestión



McAfee ePO 5.1.1 (mínimo)

McAfee ePO 5.3.1

McAfee ePO 5.9.0

McAfee ePO Cloud

Para obtener la información más reciente sobre derechos y licencias de administración de Endpoint Security, consulte KB87057.

McAfee Agent 5.0 Patch 2 (5.0.2.333) (mínimo)

McAfee Agent 5.0.5 (recomendado)

Para sistemas que ejecutan una versión anterior de McAfee Agent:



En sistemas administrados por McAfee ePO, actualice el Agente de McAfee antes de la implementación.



En los sistemas gestionados por McAfee ePO Cloud, no se requiere ninguna acción. El nuevo agente está instalado automáticamente en sistemas gestionados desde la URL de instalación de McAfee ePO Cloud enviada a los usuarios.



En sistemas autogestionados, no se requiere ninguna acción para actualizar la versión 4.0 y posterior. Para versiones anteriores, actualice McAfee Agent manualmente.

Para obtener más información, consulte la Guía de instalación de McAfee Endpoint Security.



Productos heredados compatibles (necesarios sólo para la migración)

La migración admite todos los niveles de revisión de estos productos heredados.



McAfee VirusScan Enterprise 8.8

McAfee VirusScan Enterprise para Linux 2.0.2

McAfee Host Intrusion Prevention 8.0

McAfee SiteAdvisor Enterprise 3.5

McAfee Endpoint Protection para Mac 2.3

McAfee VirusScan para Mac 9.8

Productos que ya no son compatibles



McAfee Agent 5.0.2.132

Windows Server 2008

McAfee Agent 5.0.1

Windows Vista Service Pack 2 (SP2)

McAfee Agent 5.0.0



Nuevas características

La versión actual del producto incluye estas mejoras y cambios:



Soporte a informes acumulativos de McAfee ePO



La característica de informes acumulativos de McAfee ePO incluye la posibilidad de ejecutar consultas que informan datos de resumen de varias bases de datos.



Soporte de Endpoint Security Profiler Tool

La herramienta Endpoint Security Profiler funciona con esta versión de Endpoint Security.



Analiza la actividad del análisis en acceso.



Recopila estadísticas sobre procesos y archivos a los que accede el análisis en acceso.



Utiliza los perfiles de exploración predeterminada, baja y alta para presentar datos basados en diferentes configuraciones.



Analiza la actividad de los módulos de Prevención de amenazas y Protección adaptable frente amenazas.



Usando los datos recopilados, decida si desea excluir un fichero, excluir una carpeta o cambiar la forma en que se aplica la exploración a la actividad de un proceso colocándolo en un perfil de análisis diferente.



Soporte Cloud Threat Detection

McAfee Cloud Detection (McAfee CTD) agrega una capacidad de sandboxing basada en la nube a su infraestructura de seguridad existente a través McAfee ePolicy Orchestrator (McAfee ePO).

Para obtener información sobre la configuración de McAfee CTD para trabajar con Endpoint Security, consulte la documentación de McAfee Cloud Threat Detection.



Componentes actualizados



VSCore 15.6.0.2770

McAfee Agent 5.0.6

SysCore 15.6.0.2830

McAfee Anti-Malware Engine 5900

AMCore 1.5.0.3142

Para información más detallada consulte el siguiente documento:

Endpoint_Security_10_5_2_ReleaseNotes.pdf







Ver información original al respecto en Fuente:

http://www.satinfo.es/noticies/2017/mcafee-enpoint-security-10-5-parche-2/





SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMÁTICA 22 de Septiembre de 2017]]>
http://www.zonavirus.com/noticias/2017/informacion-relativa-a-mcafee-endpoint-security-105-parche-2.asp http://www.zonavirus.com/noticias/2017/informacion-relativa-a-mcafee-endpoint-security-105-parche-2.asp Noticias Sat, 22 Sep 2017 12:45:48 GMT