HISPANEW

En Intego han encontrado una copia pirata y troyanizada de iWork 09 circulando por las redes de pares. Lo relevante en este caso es que el software es para el sistema operativo Mac OS X. Los atacantes parecen seguir teniendo cierto interés en este sistema operativo.

Los investigadores han encontrado una copia completa y funcional de iWork 09 para Mac OS X en redes de torrent, pero con un añadido: OSX.Trojan.iServices.A. El troyano se oculta en el paquete iWorkServices.pkg. Se instala en la carpeta de inicio para asegurar su ejecución continuada en el sistema infectado. Según la compañía que lo ha descubierto, (que se dedica a vender software para proteger sistemas Macintosh) 20.000 usuarios ya lo han descargado gratuitamente desde estas redes. El iWork 09 cuesta unos 80 dólares.

El troyano no es muy sofisticado. Notifica a un servidor (perteneciente al atacante) de que un sistema ha sido infectado, lo introduce en su red controlada de bots y, entre otras cosas, está diseñado para provocar denegaciones de servicio distribuidas a servidores web a través de una avalancha de peticiones. Al parecer está programado en un principio para atacar al servidor dollarcardmarketing.com al que ya ha causado serios problemas de disponibilidad.

El malware para Mac va en aumento. En los últimos años en especial, los de la familia DNSChanger que modifican los servidores DNS para que la víctima se dirija a páginas arbitrarias. Lo interesante de este suceso es que el atacante ha buscado una forma relativamente poco usada de difundir el troyano. El iWork pirata está completo, no es un “fake”. Durante la instalación (sea original o no) el programa pedirá credenciales de root para poder ejecutarse y ahí es donde el atacante salva un importante escollo: el usuario entenderá que para ahorrarse el pago del software original e instalar el pirata, necesita temporalmente privilegios de administrador.

Aunque las vulnerabilidades para Mac OS X son muchas y muy graves, los atacantes todavía no las están aprovechando en masa para difundir malware en este sistema operativo. Esta técnica la dejan para usuarios de Windows, principalmente. Esto es así porque normalmente, el usuario de Windows trabaja como administrador por defecto (excepto en Vista), y la explotación de vulnerabilidades no requerirá elevación de privilegios. Así, de forma transparente el atacante podrá ejecutar e infectar a sus anchas de una sola vez.

Por el contrario, para las víctimas de Apple se valen normalmente de la ingeniería social para intentar tomar control del sistema. Quizás por el hecho de que habitualmente en Mac se trabaja con usuarios limitados. Si el atacante desea infectar realizando cambios significativos en el sistema, necesita conocer de alguna forma la clave de root o que el usuario se la proporcione, y ahí es donde entran “las malas artes” para hacer creer a la víctima que el malware camuflado las necesita. Si aprovechase vulnerabilidades de programas que se ejecutan bajo cuentas limitadas, la infección significativa del sistema no sería del todo transparente.

En cualquier caso, esta técnica de infección es usada desde hace años contra usuarios Windows con muchísimo éxito, pero la (ir)responsabilidad es exclusiva del usuario, esto no es problema del sistema operativo. Las redes de pares están llenas de programas y archivos troyanizados o de troyanos directamente. Descargar y ejecutar software de dudosa procedencia sin tomar las medidas de seguridad adecuadas, es jugar a la ruleta rusa con el sistema operativo, independientemente del que se utilice y de lo seguro (o no) que se crea que es.

Fuente: Hispasec.com

Se trata de un tipo de gusano muy similar a los utilizados hace años y que causaron grandes epidemias como “I love you”, “Melissa”, etc. Al igual que aquellos, este gusano busca infectar el mayor número de computadores posible y tan sólo cambia que aquellos gusanos infectaban los disquetes para propagarse y este, más actual, infecta dispositivos USB.

Diario Ti: Conficker, una nueva familia de gusanos informáticos, ha infectado miles de computadores en todo el mundo. PandaLabs ha localizado tres variantes de este código malicioso (Conficker.A, B y C). Las primeras infecciones de este gusano se produjeron a finales de noviembre, aunque ha sido después de las vacaciones navideñas cuando se ha producido un importante aumento en su actividad.

Este gusano está aprovechando una vulnerabilidad de Microsoft Windows, concretamente la denominada MS08-067, para propagarse. Esta vulnerabilidad, además de permitir al gusano entrar en el equipo, permite al atacante realizar diversas acciones en el computador infectado pudiendo, incluso, llegar a tomar el control del mismo. Este gusano también se propaga a través de dispositivos USB como llaves de memoria o reproductores MP3.

Para aumentar su peligrosidad, este gusano se actualiza cada día descargando nuevas versiones de sí mismo en los equipos infectados desde páginas web cuya URL cambia continuamente, lo que hace más difícil bloquearlo. Así mismo, algunas variantes están diseñadas para descargar otros ejemplares de malware en los computadores afectados. Esto parece indicar que el gusano se está preparando para llevar a cabo un importante ataque en los computadores e infectarlos con nuevos ejemplares de malware.

“Lo más probable es que los ciberdelincuentes busquen descargar en los equipos, una vez tengan infectados un gran número de ellos, códigos maliciosos que les permitan obtener algún tipo de beneficio económico como, por ejemplo, troyanos diseñados para robar contraseñas bancarias o falsos antivirus que se promocionen en los computadores mediante pop-ups haciendo casi imposible el uso de la máquina hasta que el usuario los compre”, explica Luis Corrons, director técnico de PandaLabs.

FUENTE : http://www.diarioti.com/gate/n.php?id=20942

La compañía coreana se une a la lista de fabricantes –cada vez más amplia- que por Navidad entrega un regalito extra a sus clientes. En concreto con el software que acompaña al marco digital SPF-85H, según han alertado desde Amazon.

La compañía de comercio electrónico, Amazon, ha alertado sobre la inclusión del virus W32.Sality.AE en el disco óptico de drivers y software que se entrega con el marco digital de 8 pulgadas de Samsung. El virus y sus variantes es muy conocido, relativamente antiguo y de bajo riesgo, por lo que cualquier equipo con antivirus actualizado lo habrá detectado parando la infección.

Aún así, en ZDNet califican el hecho de vergüenza para la multinacional coreana por no controlar la calidad de producto o al subcontratista encargado de las copias de los discos ópticos.

La inclusión de malware en el software que acompaña a ordenadores o productos electrónicos es absolutamente minoritario, pero en los últimos tiempos se han detectado suficientes casos para que los fabricantes aumenten su control de calidad sobre el mismo.

FUENTE : http://www.theinquirer.es/2008/12/30/samsung-entrega-productos-con-un-regalito-de-serie-el-virus-%e2%80%9csality%e2%80%9d.html

Hace unos días, tanto el SANS como distintas casas antivirus advertían de un comportamiento más que curioso en la vieja conocida familia de malware DNSChanger. Esta ha evolucionado sustancialmente: Comenzó con el cambio local de la configuración de servidores DNS en el sistema (para conducir a la víctima a los servidores que el atacante quiera). Ha llegado hasta el punto de instalar una especie de servidor DHCP e infectar así a toda una red interna. Los servidores DNS que instala el malware suelen estar en la red conocida como UkrTeleGroup.

La familia DNSChanger

Una característica interesante de DNSChanger es que es una de las familias que más han atacado a sistemas Mac, además de a Windows. Entre otras muchas formas de toparse con ellos, se suelen encontrar en servidores eMule, camuflados bajo la apariencia de otros programas.

Es una familia conocida desde hace unos tres años. Se caracterizan por modificar los servidores DNS de la víctima a la que infectan. De esta forma, la asociación IP-Dominio queda bajo el control del atacante, de manera que la víctima irá a la IP que el atacante haya configurado en su servidor DNS particular. Normalmente, se confía en los DNS de los ISP, pero si se configura cualquier otro, realmente la resolución queda a merced de su administrador, cualesquiera que sean sus intenciones.

DNSChanger comenzó modificando la configuración del sistema en local, de forma que cambiaba los servidores DNS del ISP de la víctima por otros controlados por el atacante. Después, el malware evolucionó hacia la modificación del router ADSL de la víctima. Buscaba la “puerta de enlace” del sistema, que suele corresponderse con el router, y realizaba peticiones o aprovechaba vulnerabilidades de routers conocidos para modificar estos valores. Así el usuario se veía afectado por el cambio pero de una forma mucho más compleja de detectar. Además, también se verían afectadas el resto de las máquinas que tomaran estos valores del propio router.

Dando un paso más allá

La última evolución observada implica la instalación en la víctima de un pequeño servidor DHCP. Este es el protocolo usado en las redes locales para que cuando un sistema se conecta a la red, el servidor lo reconozca y le proporcione de forma automática los valores necesarios para poder comunicarse (dirección, ip, puerta de enlace…). Habitualmente también proporciona los valores de los servidores DNS que haya establecido el administrador o el router.

El malware instala un driver que le permite manipular tráfico Ethernet a bajo nivel, o sea, fabricar paquetes de cualquier tipo. Con esta técnica simula ser un servidor DHCP. Cuando detecta preguntas de protocolo DHCP legítimas de algún sistema en la red, el malware responde con su propia configuración de DNS, de forma que el ordenador que acaba de enchufarse a la red local, quedaría configurado como el atacante quiere, y no como el administrador ha programado. El atacante confía en la suerte, pues el servidor DHCP legítimo de la red, si lo hubiese, también respondería. Quien llegue antes “gana”. Consiguen así infecciones “limpias”, pues es complicado saber quién originó el tráfico si éste no es almacenado y analizado. Además, con este método se pueden permitir realizar muchos otros ataques en red local con diferentes impactos.

¿Qué valores DNS introduce el malware?

DNSChanger es una familia que necesita de una importante infraestructura para que sea útil. Los servidores DNS (bajo el control de los atacantes) de los que se vale, los que modifica en el usuario, suelen estar alojados en la compañía ucraniana UkrTeleGroup, bajo el rango de red 85.255.x.y. Casi un 10% de todas las máquinas en ese rango de direcciones se corresponden con servidores DNS públicos que no contienen las asociaciones legítimas de domino y dirección IP. En ocasiones utilizan el servidor DNS para asociar dominios a la IP reservada 127.0.0.1, como es el caso del servidor de descargas de Microsoft download.microsoft.com. Con esto se consigue que la víctima no pueda actualizar el sistema operativo con parches de seguridad. Curiosamente, al parecer, las direcciones de actualización de Apple no están bloqueadas (a pesar de que suele afectar a este sistema operativo). También se bloquean un buen número de páginas de actualizaciones de casas antivirus.

Algunos de estos servidores DNS (ATENCIÓN: no configurarlos en el sistema bajo ningún concepto) son:

85.255.122.103, 85.255.113.114, 85.255.122.103, 85.255.112.112…

Sólo son necesarias algunas consultas “dig” (comando para averiguar qué direcciones están relacionadas con qué dominios en un servidor DNS) para comprobar qué dominios “interesan” o no a los atacantes.

FUENTE :http://www.hispasec.com/unaaldia/3711/familia-malware-dnschanger-instala-simuladores-dhcp

Un menú de McDonald’s o una tarjeta de felicitación electrónica suelen ser inofensivas cuando las encontramos en la bandeja de entrada de nuestro correo. Pero la cosa cambia si éstos reclamos son utlizados para introducir un virus en nuestro ordenador. Panda Security, un laboratorio especializado en seguridad informática, ha detectado la utilización de una promoción de la cadena de comida rápida y del tirón de la famosa marca Hallmark de tarjetas electrónicas como cebo para distribuir el gusano P2PShared.U.

El asunto del correo es: “Mcdonald’s wishes you Merry Christmas!” (McDonald´s te desea Feliz Navidad). En el cuerpo del mensaje puede leerse lo siguiente: “McDonald’s is proud to present our latest discount menu. Simply print the coupon from this Email and head to your local McDonald’s for FREE giveaways and AWESOME savings.”(McDonald´s se enorgullece de presentar nuestro último menú descuento. Simplemente imprime el cupón de este email y ve a tu local McDonald´s para conseguir regalos gratis y ahorrar dinero).

Para dar más validez a los mensajes, la dirección desde la que se envía tiene el dominio “mcdonalds.com”. Además, el mail cuenta con un menú desplegable que da la opción de elegir el país en el que se va a disfrutar de la supuesta promoción, algo muy adecuado si se quiere hacer creer que el mail procede de una multinacional como McDonald´s.

En el segundo caso, el asunto es “You have recieved a Hallmark E-Card from your friend” (Has recibido una tarjeta electrónica Hallmark de tu amigo) y en el cuerpo del mensaje, de nuevo, se incita al usuario a descargarse y ejecutar el archivo adjunto en el email, con la excusa, esta vez, de que así podrá ver la tarjeta que le han enviado.

En ambos casos, si el usuario hace caso al email y descarga el supuesto cupón, e intenta abrirlo, en realidad, estará ejecutando una copia del gusano P2PShared.U que se instalará en su ordenador. Una vez en el ordenador, este gusano enviará nuevos mails a otros usuarios con el mismo asunto y la misma apariencia.

FUENTE :http://www.publico.es/ciencias/181808/menu/mcdonald/s/convierte/virus

Los 120 millones de usuarios de la red social Facebook se han convertido en el objetivo del virus conocido como Koobface, que emplea el sistema de mensajería de la red para extenderse.

Según informa el portal Facebook en su apartado referente a la seguridad, han descubierto el gusano Koobface y aconsejan a los usuarios que hayan recibido correo no deseado o spam que utilicen uno de los antivirus gratuitos en línea, de una lista publicada en la misma página, y que cambien las contraseñas de sus cuentas.

Se trata de un gusano que envía mensajes desde perfiles de usuarios infectados a sus amigos en los que les recomienda ver un vídeo colocado en otra página web. Según cuenta el servicio de antivirus Kaspersky en su sitio de internet, si el usuario intenta ver el vídeo, la página le dice que necesita la última versión del Flash Placer y le ofrece la posibilidad de descargarlo. Sin embargo, lo que se descarga no es una actualización sino el virus.

Los mensajes enviados por Koobface llevan en el campo de asunto frases del tipo “Sales genial en esta película”, “Hola ¡tienes que ver esto!” y otros similares. Si los usuarios descargan el virus, este les redirigirá a páginas contaminadas cuando intenten usar los sistemas de búsqueda de Google, Yahoo, MSN y Lice.com, asegura la empresa de fabricante de antivirus McAfee.

El riesgo de contagio de este virus es alto, ya que los usuario de las redes sociales del tipo de Facebook tienden a confiar en los mensajes enviados por sus amigos en el portal, explica says Alexander Gostev, analista de virus en Kaspersky Lab. Esta teoría la corrobora también el investigador de FaceTime Security Labs, Chris Boyd, quién alega que el hecho de que Facebook requiera a los remitentes de mensajes ser ser miembros de la red social y oculte los datos de los usuarios a aquellos que no se han registrado con una cuenta, hace que la gente sea más confiada con los mensajes.

Una version de Koobface ya afectó a otra red social en internet, MySpace, donde, según un portavoz consultado por Reuters, la amenaza fue erradicada y no ha vuelto a aparecer desde entonces.

FUENTE:ELPAIS

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, de detectado una nueva herramienta (imagen aquí: http://www.flickr.com/photos/panda_security/3077399954/ ), BitTera.C, que permite a los ciberdelincuentes crea malware de una forma muy fácil.

Estas herramientas permiten crear cientos de ejemplares de malware en muy poco tiempo, sin necesidad de tener conocimientos de programación. Por ello, se han convertido en una de las principales causas del aumento del malware.

“Debido a herramientas como ésta que permiten crear malware de una manera muy sencilla, los niveles de malware en circulación continúan en cifras históricas: a finales de agosto nuestro laboratorio había detectado tanto malware como durante todo 2007. De media, estamos recibiendo unos 22.000 ejmplares de malware nuevos cada día”, afirma Luis Corrons, director técnico de PandaLabs
BitTera.C está diseñado para permitir elegir las características del malware creado: tipo, efectos, encriptación, polimorfismo, etc. Entre otras acciones maliciosas, esta herramienta permite:

# Deshabilitar el Registro, Administrador de Tareas, Restauración de Sistema Programas de seguridad, Firewall, actualizaciones automáticas, Messenger
# Ocultar el botón de Inicio, el reloj de sistema, los iconos del escritorio, etc.
# Cerrar Internet Explorer cada 10segundos
# apagar el equipo cada 5 minutos
# Formatear discos duros.

Todas estas acciones se realizan desde una consola en la que basta marcar una casilla para habilitar al nuevo malware con una de esas funciones.

Este tipo de herramientas son cada vez más comunes y se venden en foros online a precios muy bajos. PandaLabs ha descubierto, incluso, un programa diseñado para poder crear falsas páginas de YouTube

Ante la gran cantidad de malware que se pone en circulación cada día, PandaLabs recomienda extremar las precauciones, mantenerse informado sobre los riesgos de Internet y contar con un antivirus de última generación instalado y actualizado

Puede recibir todas las noticias de Panda Security automáticamente agregando esta URL (http://feeds.feedburner.com/panda_security) en su lector de Feeds.
Fuente:Oxygen3

Esta campaña utiliza los mensajes de e-mail en forma de tarjetas de felicitación, que supuestamente conducen a postales animadas.

Diario Ti: Websense Security Labs ThreatSeeker Network ha descubierto que los autores maliciosos están utilizando la temática navideña como táctica de ingeniería social este año, en un esfuerzo por ganar control sobre las máquinas comprometidas.

Esta campaña utiliza los mensajes de e-mail en forma de tarjetas de felicitación, que supuestamente conducen a postales animadas. Estas llevan en realidad a la puerta trasera de un Trojan que ha sido distribuido en campañas previas de spam malicioso.

Los mensajes de e-mail, aparecen como si hubieran sido enviados desde el despliegue de un escenario navideño animado en postcards.org. Un link URL dentro del e-mail conduce a un archivo malicioso llamado postcard.exe hospedado en varios servidores, incluyendo esos con el espacio TLD .com.

Una vez ejecutado, el autor malicioso crea una puerta trasera permitiendo el acceso y el control sobre las fuentes de la máquina comprometida. El control se conduce por IRC, comunicando con ircserver.*snip*.la. Durante el proceso de instalación una imagen llamada xmas.jpg se despliega al usuario como técnica de distracción.

FUENTE :http://www.diarioti.com/gate/n.php?id=20542

Nombre: TrojanDownloader.Banload.NLO
Nombre NOD32: Win32/TrojanDownloader.Banload.NLO
Tipo: Caballo de Troya
Alias: Banload.NLO, TrojanDownloader.Banload.NLO, Banload.BSW, Downloader.Generic3.ESK, MalwareScope.Backdoor.Hupigon.7, TR/Dldr.Banload.bjo.24, Trojan-Downloader.Win32.Banload.bjo, Trojan-Downloader.Win32.Delf.ACC, W32/BANLOAD.BLK!tr, W32/Banload.BSW, W32/Downloader.AXES, Win32.Banload.blk, Win32/TrojanDownloader.Banload.NLO
Fecha: 8/ene/07
Plataforma: Windows 32-bit
Tamaño: 120,368 bytes

Se trata de un caballo de Troya del tipo downloader (descargador de archivos), enviado como adjunto en un correo electrónico no solicitado (spam), con el siguiente nombre:

video_sadan.exe
Si el usuario hace clic en dicho archivo, ejecuta al troyano que descarga una variante del Win32/Spy.Banker.

También redirecciona al navegador de Internet utilizado, al sitio web de Youtube.com, solicitando enlaces al video con la ejecución de Saddam Hussein.

Win32/Spy.Banker es un troyano capaz de robar información financiera, suplantando las páginas verdaderas de numerosos y conocidos bancos on-line.

Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

La familia de gusanos Win32/Stration (también conocido como Spamta) es una de las más activas de la actualidad, y durante los meses de Septiembre y Octubre se han encontrado decenas de variantes distintas de la amenaza.

Se han llegado a alcanzar tasas del 20% de emails infectados con alguna variante del gusano en emails escaneados, la mayoría mensajes infectados en Estados Unidos, Europa, Japón, Sudáfrica y algunos países de Sudamérica.

Stration es capaz de llegar a través de mensajes de correo electrónico, en inglés, que simulan provenir del soporte técnico de un proveedor de internet, informando al usuario que se han detectado mensajes infectados provenientes de su buzón de correo y adjuntando un supuesto “parche” para resolver el problema.

Dicho archivo adjunto al mensaje de “advertencia”, en realidad, es el gusano Stration en sí mismo, y si el usuario lo ejecuta, es infectado por el código malicioso. Tras esto, el gusano intentará detener las aplicaciones de seguridad con las que cuente el equipo infectado, y continuar su propagación.

Aunque los mensajes y nombres de archivos de correo adjunto varían entre las variantes actualmente en circulación, los formatos suelen tener un formato similar al siguiente:

Update-KB8281-x86.exe

Se recomienda a todos los usuarios verificar que sus antivirus están actualizados para detectar estas nuevas amenazas dado que los niveles iniciales de propagación detectados son muy altos. Además, reiteramos la recomendación de no abrir archivos adjuntos a correos electrónicos no solicitados, y que una empresa o proveedor de internet nunca envía “parches” por ese medio, por lo que no se debe confiar en ese tipo de mensajes.

“Nunca se había detectado tan altos niveles de actividad vírica en tan poco. Lo sucedido con esta nueva oleada del gusano Stration es una muestra clara de la importancia de la detección proactiva, ya que los usuarios de Eset NOD32 estuvieron siempre protegidos gracias a la tecnología heurística ThreatSense”, comentó Vicente Coll, Vicepresidente de Eset para España. “La heurística toma un papel importantísimo con tan altos niveles de propagación”, concluyó.
Fuente: Shell Security