Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Nyxem-D, que puede aparecer disfrazado de imágenes del Kamasutra, tiene una carga destructiva que se activa media hora después de que el ordenador haya sido encendido en el tercer día de cada mes, destruyendo los archivos DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD y DMP existentes y remplazándolos por la frase:

‘DATA Error [47 0F 94 93 F4 K5]’

Los expertos creen que los usuarios particulares corren un mayor riesgo que las empresas ya que habitualmente se toman menos en serio las cuestiones de la seguridad. Aquellas personas que hayan sido infectadas y que por lo tanto pierdan sus informaciones, deberían ser capaces de reencontrarla si han hecho una copia de seguridad recientemente

Nyxem-D ha acaparado el interés público gracias a sus disfraces pornográficos y a una carga dañina muy peligrosa. Sin embargo, en cierto modo este ataque ha sido más sutil, y menos problemático que otros ataques menos mediatizados. La gente siempre puede recuperar los archivos borrados gracias a las copias de seguridad o reescribiendo su contenido, pero nunca se pueden recuperar los ficheros que hayan sido robados por un cracker, ni tampoco se puede evitar el envío de millones de correos basura si su ordenador se ha convertido en zombi.

En el último mes se ha detectado 2.311 programas maliciosos además del gusano Nyxem-D. Se aconseja a los usuarios que no abran los documentos adjuntos de mensajes no solicitados y que se aseguren de que su programa antivirus está adecuadamente actualizado. Asimismo, los usuarios deben asegurarse de poseer los parches de seguridad apropiados para protegerse de las últimas vulnerabilidades de Windows, así como contar con un cortafuegos. Se deben hacer copias de seguridad de aquellos datos de valor regularmente tanto en las empresas como en los ordenadores de particulares.

Información facilitada por: Sophos

Esta semana Sudhakar Govindavajhala y Andrew Appel han publicado un artículo en el que comentan las ventajas de una nueva herramienta de análisis de seguridad desarrollada por ellos. Esta herramienta revisa desde un punto de vista totalmente nuevo los vectores de ataque conocidos y utilizados en Windows.

Segun afirman en su artículo, muchos fabricantes de software no aseguran correctamente los servicios instalados en el sistema contra modificación por parte de usuarios no Administradores. De esta forma se permtiría que un usuario pudiese ejecutase cualquier aplicación con los privilegios de los servicios vulnerables que suelen ser Local Service o Local System, los mayores privilegios que un programa puede conseguir en el sistema.

El objetivo de dicha herramienta es analizar la viabilidad de que un usuario pueda llegar a escalar privilegios en el sistema verificando los permisos que tiene para modificar los diferentes elementos de la máquina.

Las implicaciones de seguridad de estos fallos, poco conocidos hasta la fecha, son considerables, permitiendo tanto la elevación de privilegios como la instalación de puertas traseras en el sistema.

Las pruebas realizadas en varios sistemas Windows XP SP2 revelan que existen por defecto dos servicios, upnphost y SSDP, que pueden ser modificados por cualquier usuario del sistema dado que se garantiza este permiso al grupo “Usuarios autenticados”.

Servicios de otros fabricantes pueden estar afectados por lo que se recomienda mantener el software actualizado.

Un total de 2.312 nuevas amenazas detectadas este mes, un incremento de más de un tercio con respecto al mes de diciembre del pasado año. Sober-Z, aunque continúa liderando la clasificación, dejó de extenderse el 6 de enero, marcando el final de su monopolio. El hecho de que Sober-Z se autodesactivara a principios de mes, ha conducido a una clasificación marcada por las novedades, tal como la entrada del nuevo gusano Kama Sutra (Nyxem-D) y la re-entrada de dos gusanos que ya dieron problemas en el pasado.

Los diez virus más extendidos en el mes de enero de 2006 son los siguientes:
 

El gusano Sober-Z, que se envía en forma de documento adjunto y ataca los ordenadores desactivando sus programas de seguridad, ya no supone un problema para los usuarios. Pero el hecho de que haya dejado de propagarse a principios de mes y aún así sea responsable del 45% de los incidentes víricos da una idea de la envergadura del problema.

Nyxem-D, el gusano conocido como Kama Sutra y que fue detectado por primera vez el 18 de enero, se ha colocado directamente en el puesto número 4 de la clasificación. Este gusano se propaga a través del email haciéndose pasar por material pornográfico, e intenta inhabilitar el programa de seguridad del ordenador. Además, el próximo viernes 3 de febrero el gusano intentará sobrescribir archivos del sistema.

En cierto modo, el gusano Kama Sutra es un guiño a los viejos tiempos cuando mensajes con contenido sexual incitaban al usuario a abrir el archivo adjunto infectado. El problema es que aquellos infectados por este gusano corren el riesgo de ver toda su información desaparecer el próximo 3 de febrero.Estos signos evidentes de infección no tienen nada que ver con las actuales técnicas utilizadas por los nuevos cibercriminales que persiguen un beneficio económico.

La alta incidencia del gusano Kama Sutra muestra que es vital hacer comprender a los empleados la importancia del uso responsable de los ordenadores. Abrir documentos adjuntos de mensajes no solicitados o enviar bromas, pornografía o salvapantallas, son prácticas que suponen un alto riesgo de infección.

Algunos de estos gusanos llevan dando problemas desde hace ya años, lo cual debería ser una llamada de atención para aquellas empresas y usuarios que no dispongan todavía de la protección adecuada. Si todo el mundo emplease una solución antivirus consolidada y actualizada regularmente, este nuevo brote se hubiera podido evitar fácilmente.

El informe muestra que en enero un 1.4% de los email (1 de cada 70) contenía un virus. Sophos identifica y protege contra un total de 118.060 virus, un incremento de 2.312 respecto al mes anterior. Una gran proporción de los programas maliciosos creados recientemente son troyanos utilizados por hackers en busca de un beneficio económico.

Fuente: Sophos

Vía ihardware hemos conocido que el sitio web de AMD infecta con virus a los visitantes que acceden a sus foros. Esto viene provocado por crackers que están utilizando una vulnerabilidad de los foros para atacar los ordenadores de los visitantes, en concreto el fallo de seguridad en WMF de Windows. Este hecho fue comentado por Mikko Hypponen, directivo de F-Secure, en su weblog, y ha sido confirmado por el propio fabricante AMD.

Recomendamos que los usuarios se abstengan de visitar los foros de AMD desde equipos con sistema operativo Windows, hasta que se tenga controlada por completo esta situación y esté libre de peligro el foro de AMD. La empresa ha reconocido el fallo y seguro que lo resolverán en un corto espacio de tiempo (seguramente lo hayan hecho ya), por un error que opinamos que no debe manchar la imagen de este fabricante.