Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Nokia, fabricante mundial de telefonía móvil, ha informado sobre un software malintencionado que está afectando a algunos de sus terminales, en especial al modelo Nokia 7610 y parece ser que puede afectar a algunos terminales de la serie 60 de este mismo fabricante. Este software malicioso ha sido denominado "Skulls/Extended Theme Manager", el cual hace una llamada al gestor de temas del teléfono móvil. Una vez descargado el software, los iconos del teléfono son cambiados por calaveras y el teléfono no vuelve a funcionar correctamente o deja de funcionar; para solucionar este problema el usuario tiene que acudir a un servicio técnico oficial para que eliminen este software malicioso.

El software se suele instalar al descargar código de alguna web maliciosa, por lo que se recomienda que sólo se descarguen ficheros de direcciones conocidas y fiables en el teléfono. La compañía F-Secure lanzó el 19 de Noviembre una solución para solucionar el problema:

"Detection for F-Secure Anti-Virus for Symbian series 60 has been published at on November 19th, 2004 in database build number 11.", recomendamos visitar http://www.f-secure.com/v-descs/skulls.shtml

Esta sería una imagen de un teléfono infectado con Skulls/Extended Theme Manager:

El FBI solicitó a Fyodor, responsable del sitio insecure.org, programador de la fantástica herramienta de seguridad "nmap" y responsable de la sección de programación de escaneo de Silicon Valley, los logs de acceso al sitio insegure.org.

Este portal no se considera ilegal ni contiene ningún material ilegal (aunque en España probablemente sí lo fuera, en Estados Unidos no). Esto probablemente se deba a que muchos atacantes suelen usar esta herramienta con malas intenciones para encontrar posibles víctimas, bien encontrar información sobre un host determinado o bien realizar búsquedas desde un host ya crackeado.

Por ello no quiere decir que toda persona que acceda a esta herramienta busque un fin no lícito, ya que es usado por muchos administradores para controlar sus redes.

Más información sobre la noticia en http://www.securityfocus.com/news/10011 y http://seclists.org/lists/nmap-hackers/2004/Oct-Dec/0004.html

Ultimamente está empezando a ser excesivamente frecuente la aparición de virus que al enviarse por correo o bien en el mensaje que muestran hacen alusión a algún determinado personaje famoso, como por ejemplo "Osama Bin Ladin was found hanged" ("Osama Bin Ladin fue encontrado ahorcado"), "JENNIFERLOPEZ_NAKED.JPG.vbs" y una lista bastante larga de famosos a los que hacen alusión. El último, hace alusión a Arafat, con el título "Latest News about Arafat !!!", que si lleva a cabo su ataque con éxito instala el gusano Aler.A, que utiliza una vulnerabilidad del navegador Internet Explorer.

Por ello recordamos la necesidad de un buen antivirus actualizado y también el criterio del usuario al decidir qué ficheros o correos pueden ser maliciosos. Si hacen alusión a estos famosos y están en inglés, casi con toda probabilidad se tratará de algún virus, troyano o gusano.

Skype ( http://www.skype.com ), una solución de "llamadas" a través de Internet mediante software, presenta un grave problema de seguridad que se puede explotar para comprometer el sistema de un usuario. El problema viene determinado por un típico desbordamiento de búferal sobrepasar los límites de memoria. Si un usuario es engañado para visitar una web especialmente preparada, el que pasa una secuencia excesivamente larga (más de 4096 bytes) a ‘callto:’ URI handler. Si el ataque es llevado a cabo satisfactoriamente se podría permitir la ejecución de código arbitrario en la maquina atacada. La vulnerabilidad afecta las versiones 1.0.*.95 a 1.0.*.98.

Como solución se propone actualizar a la versión 1.0.0.100 ( http://www.skype.com/products/skype/windows/ )

Más información sobre la vulnerabilidad en http://secunia.com/advisories/13191/

A partir del 12 de Noviembre la ICANN (organismo que se encarga de la administración de dominios .com .net .org … etc) va a implantar una medida que facilita el cambio de proveedor de hosting, pero que podría ser usado para el robo de dominios y la suplantación de persona dueña del dominio. Por ello recomendamos a nuestros lectores que si poseen algún dominio (mejor dicho, si tienen alquilado algún dominio ya que no se pueden adquirir) contacten con el proveedor al que le tienen contratado el dominio para que se lo bloqueen (denominado REGISTRAR-LOCK) y no pueda ser transferido a otro proveedor a menos que se "desbloquee".

Nueva política de transferencia de dominios: http://icann.org/transfers/index.html

En barrapunto nos han hablado de ello también: http://barrapunto.com/article.pl?sid=04/11/09/1042218&mode=flat

Se está propagando por la red un fichero que es enviado mediante email anunciando ser un parche de seguridad importante para sistemas Red Hat. Dicho fichero, ELF_FAKEPATCH.A, no es en realidad un parche de dicho sistema, sino que es un fichero con código malicioso que recopila información sobre el equipo y la red, abriendo una puerta trasera para que el supuesto atacante pueda acceder al sistema en cuestión. Para ello, una vez recopilada la información sobre el equipo le es enviada al atacante mediante un email.

En algunos medios se han hecho eco de la noticia denominandolo "virus", pero realmente no se le puede denominar de dicha forma ya que no encuadra dentro de las características propias de un virus.

En http://www.diarioti.com/gate/n.php?id=7757 lo enuncian como virus.

Algunos medios se han hecho eco de unas nuevas formas de ataque usando la técnica phising (http://www.shellsec.net/noticias.php?num=433 ) la cual preocupa especialmente a los bancos.

"Una nueva y sofisticada táctica de ”phishing” sobrescribe la información existente en el disco duro sobre bancos en línea. De esa forma, el usuario puede ser engañado y estafado sin que antes haya hecho clic en un mensaje de correo electrónico falso.

El “phishing” comenzó como una forma sencilla de estafa en línea, en que los usuarios de Internet recibían un mensaje de correo electrónico en que se les inducía a visitar una página web idéntica a la de su banco en línea. Una vez allí, se les pedía digitar sus datos personales, incluyendo el número de su tarjeta de crédito.

Las tácticas de “phishing” han ido evolucionando, y hasta los usuarios más cuidadosos pueden ser engañados.

La nueva táctica, detectada por la compañía de seguridad informática MessageLabs, va aún más lejos. En un e-mail aparentemente vacío se esconde un programa que busca información bancaria en el disco duro. Al encontrar la información, el programa espera que el usuario inicie una sesión con su banco en línea. Entonces sobrescribe la dirección del mismo, llevando al usuario a un sitio falso, idéntico al de su banco,

La gran diferencia de la nueva táctica detectada por MessageLabs y los procedimientos anteriores, es que ya no es necesario hacer clic activamente en una dirección para llegar a las páginas falsas. El programa crea por cuenta propia una copia del información bancaria, incluyendo la página para el inicio de sesiones y otra información relevante. Luego, estos datos son sobrescritos a nivel de archivos en lugar de nivel de navegador.

Hasta el momento, dos bancos brasileños han sido objeto del nuevo truco. Sin embargo, los bancos de todo el mundo contienen el aliento mientras esta nueva forma de estafa se propaga a escala internacional.

Un elemento positivo en este contexto es que es más fácil para las autoridades e investigadores establecer la identidad y paradero de los “phishers” que de los creadores de virus. En efecto, los audaces estafadores requieren necesariamente una cuenta bancaria a la que girar los fondos estafados, o una dirección en la que recibir los productos comprados con las tarjetas de crédito de terceros. De esa forma, su detección y detención son más factibles"

Fuente: http://www.diarioti.com/gate/n.php?id=7760