Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Se prevé que para el 5 de enero a las 00.00 horas, en conmemoración del aniversario de la fundación del partido neonazi alemán NSDAP, el virus Sober se reactive. Este virus está programado para actualizarse automáticamente el día 5 de enero conectándose con una página de Austria Este virus ha infectado a millones de equipos informáticos, y con la actualización pretenden el envío masivo de mensajes  de carácter político.

La mejor forma de estar prevenido contra este código malicioso es tener un antivirus actualizado y extremar las precauciones a la hora de abrir los archivos recibidos por mensajería. Mientras tanto, habrá que ver qué ocurre el 5 de Enero y si habrá una nueva oleada de infecciones de este virus.

En esta ocasión se trata de una web muy peligrosa debido a que se anuncia en Google como enlace patrocinador. La web falsa es:

http://www.recarga-facil.net (advertencia: web fraudulenta)
http://207.210.221.212 (advertencia: web fraudulenta)

Esta página esta perfectamente diseñada, con logotipos de los bancos y tarjetas, y sirve de trampa para los usuarios que pretenden recargar sus móviles. Una vez tecleados los datos bancarios aparece una pantalla de  verificación, no llegandose a realizar la citada recarga de saldo en el teléfono móvil, mientras que los creadores de la página recaban esos datos bancarios. Si no se incluye ningún tipo de dato también aparece la citada pantalla de verificación. Por último el sitio no ofrece una conexión segura.

Ya llegamos al final del año, y muchos comienzan a analizar lo que ha acontecido durante el 2.005. El 2005 ha estado marcado por un impresionante aumento del número de nuevas amenazas, que se eleva al 48% con respecto al año pasado.

En el cuadro superior se muestran las capacidades más importantes y peligrosas de los ataques más comunes. Sin duda especialmente críticos en cuanto al robo de datos y al acceso remoto al equipo, hechos que atentan de una forma especialmente peligrosa contra la privacidad y que pueden tener consecuencias especialmente graves. Este gran aumento de ataques que atentan contra la privacidad tiene mucho que ver con el creciente interés de los criminales informáticos en la creación de troyanos, gusanos y virus con el fin de obtener ganancias económicas

Muy persistente, el gusano Zafi-D ocupa la primera posición del ranking del Top 10 anual, seguido de cerca por el virus más implacable en el 2004, Netsky-P. El más inesperado ha sido sin duda Sober-Z que, detectado por primera vez en noviembre, ya se ha colocado en la tercera posición de la clasificación anual y continúa creando problemas en las redes de todo el mundo.

En “Sophos: Informe anual de seguridad 2005” se muestra que, como media, 1 email de cada 44 en 2005 contenía virus, mientras que durante los peores brotes víricos, 1 de cada 12 estaba infectado. En total, se han identificado 15.907 nuevas amenazas durante el 2005. El Top 10 de los virus del 2005 es el siguiente:

Mientras que la totalidad de las amenazas clasificadas en el Top 10 son gusanos para Windows, se constata que los troyanos creados en 2005 casi han duplicado el número de gusanos. Además, el porcentaje de programas maliciosos que incluyen componentes de programas espía han pasado de un 54,2% en enero a un 66,4% a finales de año. Estas cifras confirman que los autores de virus prefieren realizar ataques específicos en vez de bombardeos masivos, lo que explica igualmente el aumento del spam enviado desde ordenadores zombi que hasta el momento supone más del 60% del total.

Un ciudadano ruso ha sido detenido por realizar transferencias bancarias fraudulentas por Internet. El detenido envió correos electrónicos simulando la identidad de una entidad bancaria, seguidamente se apropiaba de las claves de los usuarios que respondían a los correos y le desvalijaba las cuentas bancarias.

Este ataque de tipo phishing está siendo muy frecuente en los últimos meses. Si una victima accede a la página falsa del banco, al introducir las claves personales del titular de la cuenta, son detectadas por los ladrones que luego las utilizan para hacer transferencias bancarias. Este ciudadano se ayudaba también de los llamados “muleros” que son otras víctimas de la estafa y que son las que envían el dinero creyendo que realizan un trabajo de envío de dinero por internet.

Fuente: Asociación de Internautas

Y esto es debido a que otra amenaza ha incrementado, en concreto el virus Win32/Sober.Y alcanzó la primera posición del ranking de las diez amenazas informáticas de mayor propagación del mes de Noviembre, según las detecciones realizadas por el servicio VirusRadar.com. Sober.Y es el mejor ejemplo del alcance que tiene la Ingeniería Social hoy en día, ya que el método de propagación de esta nueva versión de la familia del gusano es igual a las anteriores, con la diferencia que dentro del correo se intenta hacer creer a los usuarios que es un mensaje del FBI y la CIA, quienes indican que su dirección IP está registrada en más de 30 sitios ilegales.

Durante los pasados seis meses, la primera posición siempre fue ocupada por HTML/Phishing.gen, que también utiliza la Ingeniería Social para hacer creer a usuarios incautos que perdieron claves bancarias o de tarjetas de crédito (o cualquier tipo de información personal) y para poder estafarlos, causando daños aún mayores que el daño a sus equipos informáticos, llevándoles incluso a la pérdida total o parcial de su dinero en la cuenta bancaria o en la tarjeta de crédito.

La cantidad de detecciones que alcanza el Sober.Y es alarmante, ya que la primera detección se produjo el 21 de Noviembre, y en tan solo diez días, superó los 2 millones 300 mil correos electrónicos infectados: número muy superior a la propagación del mes pasado alcanzada por el phishing (780 mil), según VirusRadar. El problema de esto, es la gran cantidad de usuarios que no están informados sobre las diversas técnicas de Ingeniería Social, lo cual produce grandes infecciones a nivel mundial de distintos tipos de malware.   

En la segunda posición, se encuentra Win32/Nestky.Q con 450 mil muestras detectadas. Netsky.Q es un gusano capaz de reproducirse por correo electrónico. Además, puede utilizar aplicaciones de intercambio de archivos (P2P) y recursos compartidos del ordenador afectado.

Por otro lado, en la tercera posición está el Phishing con casi 250 mil correos detectados. Esta amenaza está teniendo un gran descenso en su propagación, ya que muchas instituciones y desarrolladores de software están lanzando soluciones anti-phishing. Además, cada día los usuarios están más atentos ante este tipo de correos electrónicos.  

En la cuarta posición, aparece otro nuevo gusano que tuvo gran propagación: Win32/Bagle.DR que alcanzó más de 150 mil detecciones en dos días desde su lanzamiento. La rápida propagación de este tipo de amenaza se debe a que los gusanos de la familia del Bagle suelen ser enviados manualmente de forma masiva a través del spam. El día de su lanzamiento, 23 de Noviembre, superó las 65 mil muestras, mientras que al día siguiente completó el total de correos infectados.

Los últimos diez días del mes alcanzaron niveles altísimos de detecciones de virus gracias a esta nueva versión de Bagle y la oleada de Sober encabezada por el Sober.Y, y acompañada por las versiones U, W, X y V.

En la quinta y sexta posición se encuentran dos gusanos de la familia de Netksky (D y Z, respectivamente), seguidos por Win32/Mytob.D y Win32/Mytob.LH.

Finalmente, en los últimos dos lugares se encuentran otros dos integrantes de la familia de Netsky: Netsky.B y Netsky.C.

En cambio, Win32/Zafi.B, que fue el malware de mayor propagación del 2004, abandonó por primera vez el ranking estadístico de VirusRadar al ser relegado a la posición número 12 con 40 mil detecciones.

La Ingeniería Social y la desinformación de los usuarios son la mayor preocupación hoy en día en torno a la Seguridad Antivirus, y esto se ve claramente con lo que logra el Phishing y con las consecuencias que tuvo el Sober.Y a finales de Noviembre.

Día a día son innumerables los distintos tipos de malware que se generan e intentan engañar a los usuarios. Por este motivo, es conveniente tener un antivirus instalado que detecte la mayor cantidad de amenazas posible, así como también tratar de estar informado acerca de las novedades en torno a la seguridad informática.

Es primordial que los usuarios se mantengan atentos a los mensajes de correo electrónico no solicitados que reciben, así como no ejecuten sus archivos adjuntos y utilicen un antivirus actualizado con capacidades de detección heurística que le permita contar con una mejor protección

Actividad vírica del mes de Octubre
Actividad vírica del mes de Septiembre
Actividad vírica del mes de Agosto

Leo en una noticia de Dirson que el israelí Matan Gillon ha hecho público un agujero de seguridad en MS IExplorer que permite que una página maliciosa pueda realizar búsquedas no permitidas en el disco duro de los equipos informáticos que tengan instalado Google Desktop v2. Cualquier página puede utilizar el agujero de MS IExplorer para utilizar las funcionalidades de Google Desktop v2 y obtener datos confidenciales del disco duro.

Para protegerse de este agujero se pueden utilizar navegadores más seguros y avanzados que no presentan esta vulnerabilidad (Firefox, Opera … lynx?)

El servicio gratuito de correo electrónico de Google, conocido como Gmail, ha añadido un sistema que escanea los documentos adjuntos de los archivos que enviemos y recibamos en busca de virus. Si en un archivo adjunto de un correo que recibamos detecta que hay un código malicioso, el sistema intenta eliminarlo o limpiarlo para que lo recibamos limpio de virus. Si no lo consigue eliminar o limpiar el sistema bloquea el archivo e impide que lo descarguemos.

Si el archivo infectado se produce en un archivo que enviemos, el sistema no nos dejará enviarlo hasta que no lo hayamos eliminado, y en esta ocasión nos aparece un mensaje para que eliminemos o limpiemos el archivo.

Gmail es un servicio gratuito de correo electrónico vía web, ofrecido por Google, con 1 Gb (1000 Mb) de capacidad. Gmail incorpora además un filtro contra el “spam” (correo electrónico no deseado).

El escritorio remoto de Windows es utilizado para iniciar sesiones en equipos remotos, es decir, con unas credenciales válidas (user y password) un usuario puede iniciar una sesión en el equipo sin tener que estar físicamente delante del equipo. Para mantener la privacidad de las operaciones, el escritorio remoto sólo permite iniciar las sesiones de una en una, es decir, cuando una sesión es iniciada remotamente, al usuario local se le bloqueará la pantalla y viceversa.

He escrito un texto en el que demuestra la escasa fiabilidad de esta “política de privacidad” de Microsoft, puesto que, como se demuestra en este artículo, las sesiones siguen siendo accesibles a otros usuarios, vulnerando el bloqueo impuesto por el “Escritorio remoto”

Toda la información en: http://cyruxnet.org/escritorio_remoto_xp.htm