Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Cuatro nuevas variantes del gusano Sober, bautizadas bajo los nombres Win32/Sober.U, Win32/Sober.W , Win32/Sober.X y Win32/Sober.Y fueron reportadas hace un par de días. Como es costumbre dentro de esta familia, los mensajes pueden ser en alemán o en inglés, dependiendo de la dirección de correo electrónico a donde se envía. El malware analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, toma la decisión de que versión idiomática del mensaje enviar.

Los asuntos de los mensajes varían de acuerdo a la versión; en inglés los mismos son “Your email” y “Thanks for your registration”, mientras que en alemán son “Hi, Ich bin’s”, “Ihre eMail!” y “Haben Sie diese EMail verschickt?”. Los archivos adjuntos a estos mensajes tienen los siguientes nombres: reg_text.zip, Liste.zip, excel_table.zip, Tabelle.zip, registration.zip y Word-Text.zip. Todos estos archivos contienen un ejecutable comprimido, que al ser abiertos liberan el verdadero código malicioso en el sistema infectado.

Los mensajes intentan hacer creer al usuario que está recibiendo una confirmación de una registración; otro de los mensajes parece provenir de un usuario que erróneamente recibió un mensaje nuestro con un archivo nuestro y lo reenvía consultando si es así o no. En alemán, los textos son similares, y su objetivo es hacer confiar al usuario en el archivo adjunto.

Si el usuario ejecuta el adjunto bajo Windows XP con Services Pack 2, el gusano modificará el archivo TCPIP.sys dejándolo inutilizable, y provocando que el usuario no puede conectarse a la red. Además, impedirá la ejecución de la herramienta de eliminación de Microsoft, así como también, intentará detener el acceso a otras herramientas de limpieza y a software de diversas casas antivirus.

Una particularidad que ha presentado la familia de gusanos Sober, es que sus lanzamientos coinciden con grandes eventos mundiales relacionados con seguridad informática y antivirus. En este caso, durante estos días se está llevando el evento CSI en Washington y otro de gran importancia en China, en dónde se congregan muchos de los mayores expertos y compañías antivirus.  Anteriormente, el Sober.R había sido lanzado durante la primera jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, entre el 5 y 7 de Octubre), en la cual estuvieron presentes los más reconocidos especialistas de seguridad antivirus. 

Con estos datos, se puede afirmar que el creador del virus Sober conoce a la perfección los movimientos mundiales de seguridad informática, y los aprovecha para tratar de encontrar vulnerabilidades y debilidades dentro del funcionamiento de la compañía durante esos días. El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o Austria, pero no es nativo, dado que su alemán no es bueno.

Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado para detectar esta nueva amenaza, y contar con un cortafuego que les permita protegerse de accesos desde la red.

Más información sobre éstos gusanos en www.enciclopediavirus.com

Dos nuevas variantes de la familia Bagle han comenzado a detectarse en la red de forma masiva. Estas nuevas versiones han sido detectadas bajo los nombres Win32/Bagle.DC y Win32/Bagle.DD. Bagle es un gusano con características de troyano, que se ha propagado en forma de envío masivo a través de spam. El troyano intenta descargar otros archivos de Internet.

Los mensajes detectados, suelen llegar sin asunto, y como texto solo la palabra “texte” o “info”. También contienen tres posibles archivos adjuntos con extensión .ZIP y uno de estos nombres: “sms_text.zip”, “Business_dealing.zip” o “Info_prices.zip”. Dentro de estos archivos comprimidos se puede encontrar el Bagle propiamente dicho con los nombres de “t_535475.exe” (Bagle.DC), o “Loader.exe” (Bagle.DD).

Los usuarios tienen que estar muy atentos para no abrir los adjuntos de estos mensajes de correo no solicitados, ya que es una practica habitual entre los creadores de virus. Estas nuevas versiones de Bagle son capaces de detener procesos de varios antivirus una vez ha infectado el equipo. Además, trata de evitar el acceso de los usuarios a sitios especializados en seguridad informática.

La familia de gusanos Bagle se ha caracterizado por ser una de las de mayor propagación en los últimos tiempos, junto a otros gusanos como los Sober, Zafi, MyDoom y Netsky. Por este motivo, es importante que los usuarios conozcan de la aparición de dos nuevas versiones, no abran archivos adjuntos a mensajes de correo electrónico no solicitados y mantengan su antivirus actualizado.

Ya se contabilizan más de 6 mil detecciones en menos de cuatro horas entre ambas amenazas, pero se especula que el número de apariciones seguirá aumentado.

Como suele ser habitual, Virus Radar reporta un ranking de las 10 mayores amenazas víricas durante este mes de Octubre de 2.005 ya finalizado. Siempre nos llama la atención el hecho de clasificar el “phishing” como un virus:

El phishing sigue siendo la mayor amenaza en la red para los usuarios, ocupando el primer puesto del ranking de las diez amenazas informáticas de mayor propagación del mes de Octubre, según las detecciones realizadas por el servicio VirusRadar.com de la empresa Eset. Este es el sexto mes consecutivo en que el phishing es el principal malware detectado en los correos electrónicos y además, considerándolo con el mes pasado, tuvo un leve descenso en la cantidad de apariciones.

El phishing son mensajes de correo electrónico falsificados con la intención de engañar a usuarios crédulos, para que revelen sus números de tarjetas de crédito, den información de sus depósitos de cuentas bancarias y todo tipo de detalles personales. Por este motivo, los usuarios que caen en esta trampa pueden recibir daños muchos mayores a inconvenientes con el ordenador, como es la pérdida total o parcial de su dinero en la cuenta bancaria o la tarjeta de crédito.

En Octubre se percibió un leve descenso en las detecciones con respecto al mes pasado, debido a que no hubo grandes propagaciones de nuevos virus o malware masivo. Al igual que el anterior mes, en la segunda posición se encuentra el Win32/Nestky.Q con más de 450 mil muestras detectadas.  El Netsky.Q es un gusano capaz de reproducirse por correo electrónico. Además, puede utilizar aplicaciones de intercambio de archivos (P2P) y recursos compartidos del ordenador afectado.

Desde la tercera posición hasta la quinta, se encuentran otros gusano de la familia del Netsky, el D, Z y B. De esta forma, la constante que se viene manteniendo durante el 2005 de la alta propagación de esta familia de gusanos, sigue estando firme durante el mes de Octubre. Además, octavo está el Netsky.C. En el sexto lugar, se encuentra el Win32/Mytob.D, que escaló mucho con respecto al mes pasado que se encontraba último.

Win32/Zafi.B, el cual fue el malware de mayor propagación del 2004, ocupa la séptima posición y pelea por no perder su lugar dentro del ranking estadístico de VirusRadar. Los dos últimos lugares son ocupados por dos integrantes de la familia Mytob, el Win32/Mytob.LH y Win32/Mytob.DJ, respectivamente. La versión .LH surgió el 17 de Octubre, y presenta una gran cantidad de detecciones desde su lanzamiento, con su pico máximo en el 18 de este mes.

Día a día son innumerables los distintos tipos de malware que se generan e intentan engañar a los usuarios. Por este motivo, es conveniente tener un antivirus instalado que detecte la mayor cantidad de amenazas posible, para tener una herramienta de protección contra esta amenaza.

La forma de propagación más utilizada en la actualidad por los virus es el correo electrónico, confirmado esto por el hecho de que nueve de los diez ocupantes del ranking son gusanos que se distribuyen de dicha manera. Esto es una constante que se mantiene en los últimos meses.

Por esto, es primordial que los usuarios se mantengan atentos a los mensajes de correo electrónico no solicitados que reciben, así como no abran sus archivos adjuntos y utilicen un antivirus actualizados con capacidades de detección heurística que le permitan contar con una mejor protección.

Desde que las videoconsolas decidieron dejar de ser videoconsolas y convertirse en “dispositivos multimedia de alto rendimiento”, entraron en un mundo en el que hay muchos beneficios, muchas nuevas experiencias nuevas, pero en el que también hay puntos negros y negativos. Éstos puntos son el azote desde hace años de los ordenadores: virus, troyanos, gusanos y demás códigos maliciosos.

En su día, ya os comentamos la aparición del primer troyano para PSP, y ahora se está complicando aún más este tipo de problemas para ésta videoconsola portátil y también para la Nintendo DS, con virus que pueden llegar a inutilizar por completo el dispositivo. En DiarioTi explican cómo los troyanos Format.A y Tahen (variantes A y B) tienen como objetivo las videoconsolas PSP (PlayStation Portable) de Sony, y Nintendo DS, respectivamente.

“Los tres troyanos son, además, extremadamente dañinos, ya que sus ataques borran archivos críticos para su funcionamiento, llegando a inutilizar la consola de manera irreversible en el caso de PSP. Para propagarse, Format.A se hace pasar por una herramienta desarrollada para poder ejecutar código no firmado en las consolas PSP. Por su parte, los troyanos Tahen tratan de hacerse pasar por aplicaciones no oficiales para la consola Nintendo DS, pero cuando el usuario lo instala en ella, sobrescribe determinadas áreas del firmware (software embebido en un determinado hardware) de la consola Nintendo DS y de los dispositivos G6, XGFlash, SuperCard y GBAMP (que permiten grabar cartuchos con software para ejecutarlo en la consola).”

En teoría, los usuarios que sigan todas las recomendaciones de los fabricantes no deben verse afectados, nos comentan algunos consejos útiles:

- Evitar la introducción de discos UMD y MemorySticks para la PSP, o de cartuchos DS que no hayan sido grabados por un desarrollador autorizado.

- No establecer comunicaciones externas (USB, IrDA o WiFi) con otras consolas u ordenadores que no sean de confianza y que puedan transferir información no deseada.

- No intentar, por ningún medio, la ejecución en la videoconsolas de aplicaciones provenientes de desarrolladores no autorizados.

- Si, a pesar de todo, se desea instalar algún paquete de software en la consola, debería ser analizado previamente en un ordenador que cuente con un software antivirus de confianza y perfectamente actualizado.

Todo esto, incluso podría llevar a pensar que a los propios fabricantes les podría interesar la existencia de éstas amenazas …

Los teléfonos móviles cada vez tienen más vulnerabilidades, y ello es debido a las nuevas aplicaciones que se le están dando con funciones cada vez más parecidas a los ordenadores y conexiones a Internet, que ocasionan ataques de virus y códigos maliciosos.

Nokia ha firmado un acuerdo con Symantec para incorporar en su serie 60 Smartphones de la solución antivirus de Symantec. Parece que tanto el negocio de los antivirus como la maldad de los virus, ha llegado a la telefonía móvil.

Fuente: Gizmodo

El nuevo gusano es la variante R de la familia Sober, cuya primera versión apareció hace más de 2 años, y su autor aún no ha sido descubierto pese a que compañías como Microsoft han ofrecido recompensas. El Win32/Sober.R, puede ser recibido en mensajes con textos en inglés o alemán, dependiendo de la dirección de correo electrónico a donde se envía. El gusano analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, decide qué versión del mensaje enviar.

El asunto del mensaje en inglés es “Your New Password”, mientras que la versión alemán tiene como asunto lo siguiente: “Fw: Klassentreffen”. El remitente es falso y creado en base a las direcciones encontradas en equipos infectados, pudiendo ser alguien conocido por el destinatario.

El nombre del archivo adjunto al mensaje también varía de acuerdo al idioma, pudiendo ser KlassenFoto.zip (alemán) o pword_change.zip (inglés). En el texto del mensaje se intenta hacer creer que la contraseña del destinatario ha sido cambiada y que en el adjunto encontrará información adicional.

Si el usuario abre el adjunto y lo ejecuta, el gusano mostrará un mensaje de error y se copiará en un directorio de Windows bajo el nombre services.exe, además de modificar el registro del sistema para funcionar desde el inicio del sistema operativo.

Además de usar ciertas técnicas de bloqueo interno para ser removido fácilmente, el gusano intentará detener los procesos de ciertas herramientas de desinfección manual de compañías antivirus y de seguridad.

Los usuarios infectados por el Win32/Sober.R pueden notar cierta lentitud en sus equipos, dado que revisa sus discos duros por versiones anteriores del Sober, para eliminarlos, además de recolectar direcciones de correo electrónico a dónde propagarse desde múltiples archivos.

Una descripción en español con más detalles técnicos de este nuevo gusano puede ser encontrada en EnciclopediaVirus.com, donde también se ha publicado una herramienta de desinfección especial, para aquellos usuarios que se hayan infectado.

El autor de la familia de gusanos Sober está muy informado de la industria antivirus y suele aprovechar ciertas ocasiones para lanzar nuevas versiones de sus códigos maliciosos. Consistentemente con esta tendencia, el gusano fue lanzado durante la primera jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, del 5 al 7 de Octubre), donde muchos de los más reconocidos especialistas en seguridad antivirus están reunidos actualmente.

Posiblemente, el autor busca con esto aprovechar un momento en que la atención de la industria antivirus está en este evento, a fin de aprovechar cualquier posible retraso en la actualización de los productos antivirus y la subsiguiente detección del Sober.R.  

El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o Austria, pero no es nativo, dado que su alemán no es bueno.

Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado para detectar esta nueva amenaza, y contar con un cortafuego que les permita protegerse de accesos desde la red.

Más información

Ha sido reportado un código que simula Msn, Google y Yahoo, aprovechándose de la popularidad de estos buscadores. El código descubierto es Adware/PremiumSearch y la infección proviene de la visita de una página Web, redirigida desde otras con contenido warez. En el equipo infectado se instala PremiumSearch, Application/WorldAntiSpy y Smitfraud que hacen creer al usuario que poseen varias amenazas y le requieren dinero para limiarlas.
 
En el equipo se instala un fichero BHO que instala como página de inicio la del buscador PremiumSearch. Se instala una barra falsa de Google y se modifica el archivo HOSTS. Cuando el usuario solicita las páginas de los buscadores MSN, Google y Yahoo, aparece la versión falsa instalada.

Esta versión falsa muestra en sus primeros resultados sitios que realmente no están en esos lugares, y posteriormente muestra los sitios normales que aparecen en los buscadores. Con todo esto el objetivo es claro, aumentar el número de visitas de los sitios y con ello el beneficio económico.

La forma de evitar estas infecciones es mantener constantemente el equipo actualizado y poseer un software de protección antivirus actualizado.

Fuente: PandaLabs

Sophos nos ha remitido su habitual informe mensual sobre la actividad vírica actual. Este informe, establecido a partir de los datos almacenados por la red mundial de estaciones de vigilancia, muestra que Netsky-P, el gusano creado por el adolescente alemán recientemente condenado, sigue ocupando el primer puesto 19 meses después de haber sido detectado por primera vez. Sophos informa que la vida media de los virus del Top 10 es de 8 meses, lo que demuestra que un gran número de usuarios no se preocupa de  actualizar su protección antivirus.

Los diez virus más extendidos en el mes de septiembre de 2005 son los siguientes:

El primer puesto de la clasificación por segundo mes consecutivo le corresponde a Netsky-P, que ha pasado de un 14.7% a un 18.6% -también se ha detectado un ascenso de los veteranos Zafi-D y Netsky-D. Con un número creciente de amenazas de trasfondo económico, se ha comprobado el descenso de virus comunes de email.  Las variantes del gusano Mytob, que fue identificado por vez primera en marzo de 2005, suponen todavía alrededor de la mitad de los virus detectados en septiembre.

El dominio prolongado de Netsky-P, plantea serias dudas sobre el nivel de seguridad que utilizan ciertos usuarios de Internet. Tanto las empresas como los usuarios particulares han tenido 19 meses para poner al día sus programas antivirus, pero está claro que un número alarmantemente alto no lo ha hecho todavía. Parece obvio que es necesaria una mayor concienciación de los usuarios para que comprendan los serios riesgos que corren al comportarse de una manera tan despreocupada

El gusano Netsky-P se propaga a través de email y redes de intercambio de archivos, y para infectar los ordenadores necesita que se abra un archivo infectado. El hecho de que los usuarios continúen cayendo en esta trampa y descargando archivos infectados, coincide con un estudio llevado a cabo recientemente que revelaba que el 79% de los profesionales de informática creen que los empleados ponen en peligro sus organizaciones al no actuar de una manera prudente en Internet.

Las empresas no sólo deben mantener actualizados sus programas de protección, sino que también son necesarias políticas estrictas de seguridad para garantizar que sus empleados no comprometen la eficacia de estos programas con un comportamiento imprudente en Internet. Ataques a pequeña escala pero más precisos están en aumento con la aparición de un nuevo tipo de criminal informático cuya motivación es puramente económica. Esto supone un verdadero problema ya que la combinación del uso irresponsable del ordenador y el empleo de protección antivirus obsoleta, hacen de los usuarios un blanco fácil para estos nuevos ataques

La buena noticia es que el número de mensajes infectados sigue descendiendo por quinto mes consecutivo. El 1.53% de los mensajes que han circulado en septiembre (uno de cada 65),  estaban onfectados.

Para minimizar la vulnerabilidad frente a los virus, se recomienda a las empresas emplear una política de seguridad en la pasarela de correo que bloquee la entrada de adjuntos ejecutables no solicitados. Las empresas deben  igualmente disponer de un programa antivirus actualizado y de un cortafuegos e  instalar los parches de seguridad más recientes.

En lo referente a los bulos más extendidos, el ranking de Sophos del mes de septiembre 2005 es:

1.    Hotmail hoax: 16.0% (15° mes como N°1)
2.    Meninas da Playboy: 11.3%
3.    WTC Survivor: 9.5%
4.    Bonsai kitten: 8.8%
5.    Budweiser frogs screensaver: 8.3%
6.    A virtual card for you: 5.8%
7.    Bill Gates fortune: 3.7%
8.    Jamie Bulger: 3.0%
9.    ICE virus hoax: 1.6%
10.   HIV Needles: 1.0% (nueva entrada)

      Otros                                             31.0%

A pesar de que el bulo de Hotmail ocupa el primer puesto desde hace ya 15 meses, es alentador comprobar que el bulo sobre el virus ICE ha descendido un 5% en el último mes, a medida que Londres recupera una vida normal tras los ataques terroristas de julio

La organización norteamericana US-CERT (”United Status Computer Emergency Readiness Team”) encargada en EEUU de enfrentarse a los ataques por virus, troyanos y delincuencia en la red, pondrá en funcionamiento en el mes de octubre, un proyecto encargado de homogenizar la nomenclatura de los virus, troyanos y demás ataques en la red.

La iniciativa pretende eliminar o reducir las diferencias en las denominaciones de los virus, gusanos, ect.  y propone un nombre definitivo a cada ataque para que sea utilizado por todas las compañías del sector.

El proyecto lo han denominado “Common Malware Enumeration” (Denominación común para Malware) e incluye además un sitio Web para informar en tiempo real de cada virus, ataque nuevo que surja y la denominación que le corresponde.

De esta forma cuando surja un ataque en la red, US-CERT asignará un nombre único al software malicioso el cual no se corresponderá con nombre neutral a las compañías del sector, y que estará disponible en su web. Este nombre deberá ser incluido en la información que incluyan las compañías del sector sobre cada ataque independientemente de que además incluyan su nomenclatura propia de cada empresa.

En el proyecto han participado varias empresas multinacionales del sector de la seguridad en Internet entre las cuales destacan: Sophos, Symantec, Microsoft, MacAfee y F-Secure.

Parece una idea práctica para poner un poco de orden en la nomenclatura de los virus, que a veces llegan a tener muchos nombres distintos para cada virus, lo cual suele llevar a confusiones.

Según ha manifestado Europa Press, expertos en seguridad informática han alertado de la propagación de un virus que ataca los equipos informáticos desde teléfonos móviles a traves de mensajes SMS Y MMS muy difundidos actualmente.

El virus, conocido como SymbOS/Cardtrap infecta el software de Microsoft Windows existente en los equipos, desde un teléfono móvil. Este virus ya existía anteriormente pero se está propagando a gran velocidad y utiliza nuevas técnicas de propagación más sofisticadas.

Varias empresas de móviles del mercado han comenzado ha atajar el problema. Como es el caso de Telecom, T-Mobile o F-secure, que ya ha lanzado una aplicación para desinfectar los teléfonos móviles afectados.