Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Sophos, uno de los líderes mundiales en la protección de empresas contra el spam y los virus revela los resultados de su estudio de la actividad vírica de los últimos seis meses. En lo que va de 2005, Sophos ha detectado y protegido contra 7.944 nuevos virus, lo que supone un aumento del 59% con respecto al primer semestre del año anterior.

Durante el primer semestre de 2005, el ranking de los diez virus más importantes hallados por Sophos es el siguiente:

El gusano comenzó velozmente a propagarse hace pocas horas y gracias a la renovada Heurística Avanzada de NOD32 los usuarios del antivirus estuvieron siempre protegidos contra la amenaza.

Gracias a su renovada Heurística Avanzada, el NOD32 fue capaz de detectar automáticamente que se trataba de una versión modificada del gusano Sober, una de las familias de virus de mayor propagación de los últimos tiempos.

Inicialmente, el virus fue detectado por NOD32 como “probablemente gusano Sober modificado” y luego, desde la actualización de firmas, comenzó a detectarlo como Win32/Sober.O.

Como sus predecesores, este gusano se propaga principalmente a través del correo electrónico, utilizando su propio motor SMTP. De esta manera, puede enviar copias de si mismo a todas las direcciones de correo electrónico encontradas en el equipo, independientemente del cliente de correo electrónico que el usuario infectado utilice.

Los mensajes infectados tienen un texto en inglés o alemán, e incluyen un archivo adjunto con extensión .zip. Dentro de este archivo, se incluye un archivo que al ser ejecutado, muestra un mensaje de error para que el usuario crea que estaba dañado y que no puede abrirse. Tras ello, el gusano comienza con todas sus rutinas de infección y propagación.

Como versiones anteriores de la familia Sober, el gusano utiliza un recurso que intentar evitar que los antivirus sean capaces de analizar los archivos infectados por el virus. Para ello, los abre con un bloqueo exclusivo, y podría evitar que un antivirus tradicional lo detectara y eliminara, sino termina el proceso en memoria con anterioridad. Dado que, en algunos casos, esto dificultaría la desinfección de un equipo afectado por el Sober.O, el hecho de que NOD32 lo detectara desde un principio, a través de su Heurística Avanzada, es un factor muy importante que mantuvo protegidos a sus usuarios en todo momento de posibles problemas al querer eliminar el virus de sus sistemas.

Además, recrea constantemente las modificaciones que realiza en el registro del sistema, a fin de que si son eliminadas manualmente, volver a crearlas y así evitar ser eliminado.

Para más información, se encuentra disponible una descripción completa del gusano en EnciclopediaVirus.com.

VirusRadar.com, el sitio de estadísticas de Eset, reportó que en las 2 primeras horas de vida del gusano, alrededor de 5,000 mensajes analizados contenían el Sober.O. Uno de cada cien mensajes analizados por VirusRadar.com está infectados por este virus, al momento de publicación de este artículo.

Recomendamos a todos los usuarios que siempre tengan instalado en su computadora un antivirus actualizado para la prevención de los nuevos virus, pero igualmente, siempre es altamente recomendable que el antivirus utilice una eficiente Heurística para que proteja a los usuarios en las horas previas de la actualización de firmas.

Además, es primordial que los usuarios no ejecuten ningún tipo de archivo adjunto, salvo que estén completamente seguros que viene de una fuente confiable.

Noticia enviada por: © Eset, 2005

UNAM-CERT nos ha remitido una nota en la cual nos comentan unos nuevos artículos que han realizado sobre la seguridad en nombres de dominio y en DNS:

« Ante los recientes problemas de Secuestro de dominos y de DNS cache Poisoning, que han comenzado a impactar en el uso de internet, el Departamento de Seguridad en Cómputo y el UNAM-CERT, como parte de la difusion e investigación que lleva a cabo, informa de la liberación de un espacio en el sitio del Laboratorio de Seguridad para el proyecto de Seguridad en DNS, con el propósito de dar a conocer información sobre tópico de seguridad relacionados al Sistema de Nombres de Dominio.

Actualmente el sitio web cuenta con tutoriales y articulos selacionados al DNS.

En el se discute dos de los problemas mas comunes hoy dia en Internet como son : DNS Cache Poisoning y DNS Hijacking.

Proximamente se liberaran más documentos sobre RFCs relacionados al DNS, un Comparativo entre distintas implementaciones de DNS, DNSSEC y temas relacionados que puedan ser de utilidad para la comunidad universitaria y al publico en general.

Los documentos que actualmente se encuentran en el portal son:

* Introduccion al DNS
=====================

Divido en cutro partes, este documento describe el funcionamiento y los conceptos basicos del DNS. Este tutorial esta dirigido a las personas que deseen conocer como funciona el DNS y sus caracterìsticas principales.

* Ataque DNS Cache Poisoning
============================

En este articulo se describe el funcionamiento del ataque conocido como Cache Poisoning, el cual consiste en incluir registros falsos en el cache del DNS. Mediante la manipulacion del DNS, el intruso puede enviar al usuario a un sitio falso para obtener informacion sensible.

*Ataque DNS ID Hijacking.
==========================

Este tipo de ataque esta relacionado con vulnerabilidades en el protocolo del DNS, por lo cual ninguna implementación se ha visto ajena a este problema. Dada su carga tecnica, este es un documento que mediante ejemplos sencillos esquematiza su funcionamiento.

* Ataque DNS Spoofing
=====================

Este tipo de ataque, muy similar en esencia a los anteriores, busca engañar al cliente de DNS para consultar un sitio falso. Este tipo de ataque ha sido solucionado en muchas implementaciones, sin embargo, es importante conocer su funcionamiento.

El Departamento de Seguridad en Computo y el UNAM-CERT, a través del Proyecto de Seguridad en DNS, esta interesado en conocer sus comentarios y de esta forma obtener la retroalimentacion por parte de la comunidad de cómputo interesado en el trabajo actual y futuro; además de conocer la problemática en este tema que pueda ser cubierto en este espacio. »

El sitio puede ser accedido a través de la siguiente dirección:

http://www.seguridad.unam.mx/labsec/?det=50

Phrack, probablemente el mayor clásico (empezó allá por el año 1985, cuando muchos de nosotros eramos jóvenes o ni siquiera habíamos nacido) en cuanto a publicaciones de seguridad informática en la red, será descontinuado en su próximo número. Son ya 62 números (el 63 será el último) los que ha publicado este ezine, el cual ellos mismos denominan: "…a Hacker magazine by the community, for the community….". Ciertamente los artículos que han lanzado han sido siempre de interés y realmente originales ( pueden descargarlos en su portal web http://www.phrack.org/ ).

El último número aparecerá en Julio de 2.005, en el cual explicarán el motivo de su desaparición, pero intuimos algo leyendo en su web:

"The best chance to arrest Phrack Staff is at BCS2005 Con ( http://www.bellua.com/bcs2005/ ) PHRACK FINAL scheduled for JULY 2005"

Sin duda es una grave pérdida para el mundo se la seguridad informática, sólo nos queda agradecerles todo lo que nos han aportado y admirarles.

UNAM-CERT nos ha comunicado la convocatoría de la segunda edición del "Reto forense" organizado por UNAM-CERT y RedIRIS, finalizando el plazo de inscripción el 31 de Enero:

I. Convocatoria
===============

Las dos principales entidades académicas de seguridad informática de
España y México, la UNAM a través de la DGSCA y el UNAM-CERT y la
empresa pública Red.es a través del Grupo de Seguridad de RedIRIS,
con el apoyo de empresas y organismos de seguridad informática
iberoamericanos y mundiales, invita a los responsables de seguridad
informática, administradores de redes y sistemas y cualquier persona
interesada a participar en el Concurso de Reto Forense V2.0 de un
sistema de cómputo Linux comprometido.

El objetivo de este Reto Forense V2,0 es motivar el desarrollo en el
área de cómputo forense en Iberoamérica, proporcionando los elementos
necesarios para realizar un análisis y a la par de que los resultados
sean evaluados por expertos reconocidos en el área.

II. Participación
==================

A los interesados en participar en el Reto Forense V2.0, se les
proporcionarán imágenes de un sistema comprometido. Deberán analizar
las imágenes y presentar un reporte respondiendo a preguntas
específicas planteadas. Estas preguntas serán similares a las que se
plantean en todo análisis forense:

* ¿El sistema ha sido comprometido?
* ¿Quién (desde dónde) se realizó el ataque?
* ¿Cómo se realizó el ataque?
* ¿Qué hizo el atacante en el sistema comprometido?

Los interesados deberán registrarse en el sitio:

http://www.seguridad.unam.mx/eventos/reto/registro.dsc

A través de sus datos de registro se les hará llegar la información
necesaria para el análisis:

* Fecha de distribución de las imágenes.
* Fecha de recepción de reportes.
* Fecha de entrega de resultados.

Éste año, la información contenida en la imagen de la máquina atacada
no será pública, por lo que se solicita un registro previo de los
participantes para tener un control en el acceso a la información.

Además, los participantes del Reto Forense V2.0 tendrán acceso a una
lista interna de correo electrónico para la discusión del reto.

El registro estará abierto a partir del día 8 de diciembre de 2004 y
hasta el 28 de enero de 2005 a las 23:59 hrs, tiempo del centro de
México (GMT -6).

III. Los premios
================

Se premiarán los tres mejores análisis de la siguiente manera:

1er. lugar. Licencia de Encase Forensic Edition.

2do. lugar. Asistencia con todos los gastos cubiertos al
congreso Seguridad en Cómputo 2005 (Incluye
inscripción a una línea de especialización). *

http://congreso.seguridad.unam.mx

3er. lugar. Curso en línea de SANS.

* Válido para España y países de Latinoamérica.

IV. Coordinadores del proyecto
==============================

El proyecto está coordinado por dos integrantes de cada institución:

* Francisco Jesus Monserrat Coll
RedIRIS
francisco.monserrat at rediris.es

* Juan Carlos Guel López
DGSCA-UNAM
Departamento de Seguridad en Cómputo/UNAM-CERT
cguel at seguridad.unam.mx

V. El jurado
============

El jurado del Reto Forense V2.0 estará compuesto por las siguientes
personas:

* Francisco Monserrat - RedIRIS, España.
* Jess Garcia - SANS Institute, USA
* Rubén Aquino Luna - DSC/UNAM-CERT, México.
* Alejandro Núñez Sandoval - DSC/UNAM-CERT, México.
* Jacomo Dimmit Boca Piccolini - CAIS, RNP, Brazil.
* Guillerme Venhere - CAIS, RNP, Brazil.
* Matias Bevilacqua - Cybex, España.

Informacion
============

http://www.seguridad.unam.mx/
http://www.rediris.es/cert/

Nokia, fabricante mundial de telefonía móvil, ha informado sobre un software malintencionado que está afectando a algunos de sus terminales, en especial al modelo Nokia 7610 y parece ser que puede afectar a algunos terminales de la serie 60 de este mismo fabricante. Este software malicioso ha sido denominado "Skulls/Extended Theme Manager", el cual hace una llamada al gestor de temas del teléfono móvil. Una vez descargado el software, los iconos del teléfono son cambiados por calaveras y el teléfono no vuelve a funcionar correctamente o deja de funcionar; para solucionar este problema el usuario tiene que acudir a un servicio técnico oficial para que eliminen este software malicioso.

El software se suele instalar al descargar código de alguna web maliciosa, por lo que se recomienda que sólo se descarguen ficheros de direcciones conocidas y fiables en el teléfono. La compañía F-Secure lanzó el 19 de Noviembre una solución para solucionar el problema:

"Detection for F-Secure Anti-Virus for Symbian series 60 has been published at on November 19th, 2004 in database build number 11.", recomendamos visitar http://www.f-secure.com/v-descs/skulls.shtml

Esta sería una imagen de un teléfono infectado con Skulls/Extended Theme Manager:

Como bien comentan estos días en Barrapunto ( http://barrapunto.com/articles/04/09/01/2241207.shtml ) la empresa NGSec ( http://www.ngsec.com/ ) imparte certificaciones propias de seguridad de forma gratuita que pueden ser realizadas por cualquier persona que se inscriba. Por ahora sólo el 5.8% de las personas que lo han intentado lo han conseguido.

Curso NGCert: http://www.ngsec.com/ngservices/ngcert/

El gigante de las telecomunicaciones Cisco ha evaluado los posibles perjuicios que puede suponer el robo de aproximadamente 800 Mb de código fuente de su sistema operativo para dispositivos de red ocurrido hace unos días ( http://www.shellsec.net/noticias.php?num=439 ).

La compañía afirmó que: "La publicación impropia de esta información no ha supuesto riesgos adicionales para los clientes", y asegura que no generará problemas de seguridad a sus dispositivos, ya que IOS tiene muchas versiones y el código no estaba completo. Cisco, junto con el FBI, están buscando a los responsables de la obtención de este código fuente.

Desde hace algún tiempo se conoce que muchos spammers envían información sobre determinadas pequeñas empresas para hacer crecer el valor de dichas empresas en bolsa, mediante el envío de correos con información no solicitada por parte del receptor del correo, en los cuales se recomienda pujar por una o varias empresas en bolsa.

En iblnews ( http://iblnews.com/noticias/04/105895.html ) comentan que esta tendencia ha crecido un 300 por cien en poco más de 3 meses.

Un interesante artículo revela que las empresas europeas pierden aproximadamente 22.000 millones de euros a causa de ataques por los virus, a pesar de actualizar con cierta continuidad los antivirus:

"Las pequeñas empresas europeas pierden aproximadamente cada año 22.000 millones de euros como resultado de tener que recuperar los ordenadores infectados, con un coste medio que alcanza los 5.000 euros por cada ataque de virus, según los datos de un estudio realizado por la compañía Network Associates"

"Pese a que las compañías españolas figuran entre las más concienciadas en proteger sus sistemas tecnológicos, lo que se refleja en que tres de cada cuatro actualizan su ’software’ antivirus semanalmente, lo cierto es que la mitad de las empresas nacionales se han visto infectadas por algún virus en los últimos doce meses"

Puede esto llevarnos a pensar que podría ser un problema del tipo de antivirus elegido. O se podría interpretar que hoy en día los virus están desbordando a los antivirus. Cabe la posibilidad también de que no se combine el antivirus con otras soluciones de seguridad como los firewall por ejemplo. ¿Qué opinais vosotros?

El artículo completo se encuentra en: http://www.elmundo.es/navegante/2004/03/30/empresas/1080636065.html