09 noviembre 2006

 

MCAFEE ANUNCIA NUEVA TÉCNICA Y AUMENTO DE SPAM


"Island Hopping" es la nueva técnica para enviar spam que están utilizando los emisores de correos basura, informó McAfee.

De acuerdo con investigaciones realizadas por sus expertos, se observó un aumento significativo de spam que utilizan dominios con nombres de islas pequeñas como enlaces en sus campañas. McAfee rastreó actividad de spam en todo el globo, desde la Isla de Mann hasta la pequeña isla tropical de Tokelau.

Tradicionalmente, los spammers han empleado nombres de dominios conocidos (TLDs, Top Level Domains) como .com, .biz o .info. Al usar dominios de primer nivel desde países islas de tamaño pequeño (en cuanto a población y superficie), quienes envían spam intentan evitar la detección por los filtros de spam, ya que se trataría de dominios reconocidos anteriormente cómo legítimos por el anti-spam.

Por tanto, usar la técnica "island hopping", cambia el juego y dificulta distinguir el spam del correo electrónico legítimo al examinar los enlaces en los e mail.

Esta tendencia fue descubierta originalmente cuando los investigadores de McAfee observaron un aumento considerable en el uso de dominios .st, que era el dominio de primer nivel para Santo Tomé y Príncipe, una pequeña isla en la costa occidental de África.

Esta actividad poco usual alertó a los investigadores de McAfee, quienes rastrearon a los emisores de spam en una migración virtual a través del mundo. Luego de esto, el spam con el uso de dominios de primer nivel desde islas pequeñas ha seguido aumentado.

"Esta nueva tendencia es otro ejemplo de la búsqueda implacable de los emisores de spam para diseminar su abuso de los dominios de Internet por todas partes. Algunas de estas islas tienen docenas de dominios de spam por milla cuadrada", comentó Guy Roberts, gerente senior de desarrollo de McAfee Anti-Spam Research & Development Team.

13 mayo 2006

 

APARECE NUEVO GUSANO QUE SE PROPAGA A TRAVÉS DE MSN MESSENGER

Un gusano, un backdoor y un troyano son los tres nuevos virus destacados que aparecieron durante la última semana, según consigna el informe entregado por Panda Software.

El primero de ellos es Nugache.A, gusano que puede propagarse de tres formas distintas: aprovechando las conocidas vulnerabilidades de software LSASS y RPC DCOM, mediante la popular aplicación de mensajería instantánea MSN Messenger, o por correo electrónico.

Una vez instalado en el computador, Nugache.A crea una copia de sí mismo en el directorio de sistema de Windows en un archivo que lleva por nombre MSTC.EXE. Además de ello, genera varias entradas en el registro de Windows. Hecho esto, abre varios puertos de comunicaciones para conectarse a una serie de direcciones IP desde las que recibe instrucciones remotas a través de redes P2P (peer-to-peer), permitiendo a un atacante realizar acciones maliciosas en el sistema afectado.

En tanto, Hiviti.A es un backdoor o “puerta trasera” que no tiene capacidad para propagarse por sí mismo, sino que necesita la intervención de un usuario malicioso. Cuando se encuentra instalado en el equipo, crea una copia de sí mismo con el nombre Loadcntr.EXE, introduce nuevas entradas en el registro de Windows, y se inyecta en el proceso explorer.exe de manera que su presencia pase desapercibida para el usuario. De esta manera, el troyano queda a la espera de recoger las pulsaciones que el usuario introduce a través del teclado, consiguiendo así todo tipo de información confidencial, como nombres de usuario o contraseñas. Los datos recogidos son enviados después a ciertas direcciones de correo predeterminadas.

Finalmente, nos encontramos con un nuevo troyano bancario, diseñado para robar datos confidenciales relativos a servicios de banca online. Se trata de Banker.CTD, el cual espera a que el usuario acceda a páginas Web pertenecientes a varias entidades bancarias, como Banking, Bradesco, NetBanking, Santander y Sudameris, para tratar de obtener los datos que el usuario introduce. Tras ello, envía la información robada a cierta dirección de correo electrónico.

Para llegar a los equipos, Banker.CTD necesita la intervención de un usuario atacante. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), entre otras.

05 mayo 2006

 

APARECEN TRES NUEVOS TROYANOS Y UN VIRUS QUE SE PROPAGA POR MESSENGER


Cuatro son las nuevas amenazas para la seguridad informática detectadas durante los últimos siete días por el informe que semanalmente entrega Panda Software.

La primera de ellas es LootSeek.AU, un troyano que descarga otro troyano, detectado como Rizalof.BL en el computador afectado, y utiliza un servidor proxy anónimo para enviar masivamente nuevo malware. Además, finaliza varios procesos correspondientes a herramientas de seguridad y actualizaciones de Windows.

Este troyano, como otros muchos, no puede propagarse automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante.

En tanto, el también troyano Briz.F está diseñado para robar datos relacionados con servicios bancarios y que, para instalarse en los equipos, utiliza como reclamo páginas pornográficas de todo tipo que se encuentran disponibles en la Red. Se da la circunstancia de que la aparición de Briz.F es una consecuencia de la trama de venta y creación de troyanos personalizados Briz que PandaLabs descubrió y desmanteló recientemente.

Las páginas en las que se aloja este malware están diseñadas para descargar de forma automática al código malicioso en los equipos de los usuarios que las visitan, aprovechando distintas vulnerabilidades de software.

La forma de actuar de Briz.F es compleja y muy elaborada. El ataque comienza con la instalación de un archivo llamado iexplore.exe, que tiene como misión preparar el terreno, detectando si existe conexión a Internet. En caso positivo, se conecta a cierto sitio Web para descargar otro archivo llamado ieschedule.exe. Por último, iexplore.exe desactiva los servicios de Windows Security Center y el acceso compartido a Internet.

Por su parte, ieschedule.exe envía los datos del equipo infectado (nombre, dirección IP, zona geográfica, etc) a una dirección predeterminada y descarga otros archivos, entre los que se encuentra smss.exe, que modifica el archivo hosts para impedir el acceso a sitios Webs relacionados con productos de seguridad, e ieredir.exe, que redirige al usuario hacia falsas páginas Web cuando intenta conectarse a determinados servicios online, principalmente relacionados con entidades bancarias.

En tanto, CrazyFrog.A es un gusano que se propaga a través del sistema de mensajería instantánea MSN Messenger, y está diseñado para robar tanto las contraseñas de acceso a dicha aplicación, como los datos bancarios del usuario afectado. Para ello, controla el tráfico de red y comprueba si el usuario accede a sitios Web cuya dirección contenga ciertas cadenas de texto relacionadas con entidades bancarias. En caso de que acceda a alguna de ellas, Crazyfrog.A instala un troyano bancario, que se encargará de capturar los datos bancarios que el usuario haya introducido.

Por último, nos encontramos con Matlab/Lagob, un virus capaz de infectar archivos con extensión M correspondientes a la popular aplicación Matlab -una herramienta para la resolución de problemas matemáticos- que se encuentren en el mismo directorio donde sea ejecutado, añadiendo su código al principio del archivo.


25 abril 2006

 

APARECE TROYANO QUE ROBA CONTRASEÑAS Y DIRECCIONES DE CORREO


Dos son los nuevos códigos malignos destacados por el informe que entrega Panda Labs todas las semanas. Aunque ambos tienen funciones y características diferentes, comparten un objetivo común: el intento de robo a los usuarios infectados. Además, los expertos advierten sobre la posible alarma que puede causar un falso virus.

La muestra más clara de este afán delictivo es el troyano Goldun.IL, de tipo ladrón de contraseñas, que trata de capturar los datos del sistema de pago "e-gold" del usuario afectado. Para hacerlo queda residente en memoria sin llevar a cabo ninguna acción, hasta que detecta que el usuario ha entrado en la página Web de e-gold, momento en el que captura las contraseñas tecleadas, que son enviadas a otro computador. Una vez allí, el hacker autor del código podrá recoger esos datos y operar con la cuenta del usuario.

La propagación de Goldun.IL se ha llevado a cabo mediante técnicas de spam, habiendo sido enviado masivamente (en un archivo adjunto de un mensaje) por correo electrónico a una gran colección de direcciones. El mensaje en el que iba el archivo malicioso conteniendo a Goldun.IL, escrito en inglés, anima al usuario a instalar un "Service Pack" que supuestamente bloquearía los troyanos que intenten robar sus datos de e-gold.

Asimismo, nos encontramos con el troyano llamado HarBag.A, cuya misión fundamental es sencillamente recoger direcciones de correo para enviar posteriormente el gusano Bagle. Para ello, busca diversos archivos (28 tipos distintos) y los analiza en busca de direcciones de correo electrónico. Estos archivos son los que suelen contener direcciones, como la libreta de direcciones de Windows, bases de datos, temporales de Internet, entre otros.

Una vez que la recolección de direcciones se ha llevado a cabo, éstas son enviadas a un servidor donde se centraliza toda la información. Como dato curioso, cabe señalar que HarBag.A solamente se ejecuta una vez en cada sistema, de manera que las direcciones de correo electrónico no aparezcan repetidas para el hacker que las utilice posteriormente.

Por último, PandaLabs advierte sobre un falso virus para blogs que está empezando a causar confusión. No es más que una broma creada por un autor holandés, que sugiere la inserción de un gráfico animado en los blogs de los autores. Este gráfico muestra un dibujo de un virus que hace diversos comentarios, como que quiere dominar el mundo de los blogs.

Pese a que en este caso particular, el virus no supone ningún riesgo, los expertos de todas formas señalan que es posible que en otras ocasiones, aprovechando el impacto que tiene esta broma en muchos blogs, esta misma técnica sea empleada para propagar códigos realmente perjudiciales.

Para evitar estos problemas, desde PandaLabs aconsejan no introducir referencias a códigos ajenos en páginas Web personales, aunque sean únicamente componentes humorísticos. En caso de querer introducir un elemento de otro sitio, el autor debe asegurarse de no efectuar llamadas a servidores remotos, sino guardar el contenido en el propio servidor del autor.


This page is powered by Blogger. Isn't yours?