Archive for Agosto, 2006

Zcodec: malware que modifica la configuración DNS del ordenador

Agosto 31, 06 by admin

Zcodec es un malware que utiliza un rootkit para ocultarse e iniciar un ataque pero no es lo único que puede hacer ya que puede variar la configuración DNS del ordenador y modificar las búsquedas en Internet además de instalar otros códigos maliciosos en nuestro ordenador.

Zcodec se oculta en un programa que supuestamente instala en el ordenador los codecs necesarios para reproducir una aplicación multimedia. El programa  en realidad no instala ningún codecs sino que al hacer click en el archivo el malware Zcodec se instala en nuestro sistema.

El código malicioso instala un rootkit para que el usuario no pueda ver los archivos que se están ejecutando.  De esta forma instala dos archivos ejecutables. Uno de ellos modifica la DNS del ordenador y de esta forma modifica los resultados obtenidos cuando se realiza una búsqueda en algún motor de búsqueda. El beneficio perseguido con esta acción es evidente, al modificar las búsquedas las dirige hacia sitios de pago por click o páginas que intentan robos de identidad.

Sin embargo la peligrosidad de este código maligno es mayor por el hecho de que instala un segundo archivo que instala un troyano diseñado para descargar otros códigos malignos. Este troyano llamado Ruins.MB es especialmente maligno por cuanto permite la instalación de programas de apuestas en linea.

Este tipo de ataques no son ninguna novedad pero en los últimos tiempos se están reproduciendo cada vez con mayor frecuencia.

Fuente: DiaroTi

Nueva variante del troyano IRCBot aprovecha vulnerabilidad reciente de Microsoft

Agosto 14, 06 by admin

Este troyano fue detectado automáticamente a través del motor heurístico ThreatSense, de Eset NOD32, como una variante de Win32/IRCBot.OO, lo cual protegió proactivamente a los usuarios del producto en todo momento contra este código malicioso, al no precisar de una actualización para reconocer el nuevo malware.

Esta variante en particular intenta aprovecharse de una vulnerabilidad en el servicio Servidor de los sistemas operativos Windows 2000, XP y 2003, que fue reportada el 8 de Agosto por Microsoft. Ese mismo día el parche para corregir el agujero de seguridad fue publicado, pero de acuerdo a como se ha estado detectando este troyano, se nota una gran cantidad de usuarios que aún no ha instalado la actualización de seguridad disponible en el boletín MS06-040.

Al igual que la mayoría de las variantes de la familia IRCBot, el objetivo de este nuevo ejemplar es la construcción de botnets, también conocidas como redes de equipos zombis. Una botnet es una red de ordenadores infectados por un malware y que puede ser administrada remotamente por el creador del código malicioso para realizar acciones colectivas como envío de correo no solicitado y/o ataques de denegación de servicio (DoS).

El nuevo código malicioso es muy similar al reportado en la primer semana de Julio, propagándose a través del AOL Instant Messenger, con la particularidad de que además explota la vulnerabilidad antes mencionada.

Esta variante de IRCBot.OO se ubica actualmente en la posición número 33 de los códigos maliciosos más de detectados en las últimas 24 horas, de acuerdo al  sistema de alerta temprana ThreatSense, que ha contabilizado detecciones de más de 6000 malware distintos en ese lapso de tiempo.

Al instalarse en un equipo infectado, el troyano se almacena en un archivo de nombre wgareg.exe, el cual se inicia como un servicio del sistema llamado “Windows Genuine Advantage Registration Service”, que busca hacer creer al usuario que se trata de la herramienta anti-piratería real de Microsoft.

Tras esto, el troyano puede ser utilizado para obtener información del equipo infectado, además de lanzar ataques distribuidos de denegación de servicios, entre otras cosas.

Nomasfraude.es da a conocer los datos de su campaña antifraude

Agosto 04, 06 by admin

Nomasfraude.es es una iniciativa presentada la semana pasada y promovida por el Instituto Nacional de Tecnologías de la Información (INTECO) y la Asociación de Internautas para combatir el fraude en la red durante los días de vacaciones, días que los ciberdelincuentes aprovechan y dedican más tiempo a actividades ilícitas.

Los promotores de la campaña han anunciado que durante la primera semana de funcionamiento han recibido más de 100.000 visitas y han recibido más de 5.000 denuncias de fraude en la red.

La mayoría de las denuncias versan sobre ataques de “phishing” en el 80 % de los casos, seguido de timos, scam, troyanos, y gusanos.

El phishing el el fraude más extendido actualmente en la red, concretamente la semana pasada se produjerón 11 ataques de phishing a entidades como Banesto, Caja Madrid, Caja Duero, Guipuzcoano y BSCH.

En lo que respecta a los timos los más extendidos son los de ofertas de trabajo falsas, los timos de lotería y las cartas nigerianas. La semana pasada conocíamos la importante operación policial llevada a cabo por la Guardia Civil en la operación “Tito” que detuvo en Lucena (provincia de Córdoba) a dos individuos de nacionalidad sudafricana de 30 años de edad. Los detenidos han pasado a disposición judicial acusados de realizar “presuntamente” el fraude de la carta nigeriana.

Este delito informático consiste en el envío masivo de comunicaciones electrónicas, casi siempre redactadas en inglés, en las que se participa a una multitud de destinatarios, radicados en diversos países, que han sido agraciados con un premio promocional de una lotería española cuya denominación induce a creer que se trata de una lotería oficial. En los documentos “acreditativos del premio” suelen figurar logotipos idénticos a los utilizados por bancos, empresas de seguros o entidades oficiales. En un primer momento, los delincuentes piden a la víctima potencial que establezca contacto telefónico ( siempre con aparatos celulares ) con el “agente” que va a tramitar el pago del premio. A continuación, el “agente” exige, sucesivamente, el pago de impuestos, gastos bancarios, seguros, etc. Las cantidades requeridas deben transferirse a alguna de las numerosas cuentas bancarias que los delincuentes abren en diversas localidades, utilizando falsas identidades y datos domiciliarios. Este mismo sistema (con redacción en español) se aplica desde otros países (principalmente desde Alemania, Bélgica, Holanda, Reino Unido, Sudáfrica y Suiza) para estafar a españoles o iberoamericanos.

Fuentes: Iblnews, onlae