RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2009  
ene feb mar
abr may jun
jul ago sep
oct nov  
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 		 

  Home / Bitácora

Bitácora del analista antivirus

El spam de mañana, hoy


  Maria       20 noviembre 2009 | 16:27  MSK

Comentar  

Geocities.com ya ha estado ausente un mes, y uno podría pensar que los spammers lo extrañarían. Pero uno de los mensajes que recibimos hoy muestra que, al contrario, los spammers están ansiosos por recibir el futuro.
Este es el mensaje que recibimos hoy… con la fecha de mañana. Como la mayoría de la gente configura sus cuentas de correo para que acomoden sus mensajes por fecha, el poner una fecha futura en un correo electrónico asegurará que esté entre los primeros mensajes recibidos y sea más visible.

Los enlaces de este correo dirigen a cuentas nuevas de Twitter:

Que a su vez dirigen a un sitio muy parecido a un portal de noticias. Pero los únicos enlaces que funcionan allí hablan sobre ganar dinero trabajando desde casa.

La cuenta que se muestra arriba también tiene tweets con enlaces a típicos sitios de Viagra y productos para bajar de peso. Está claro que los spammers están evolucionando al cambiar las herramientas que utilizan, pero no han cambiado sus mensajes. ¿Y por qué lo iban a hacer? si al parecer ganan buen dinero con sus viejos y gastados mensajes.

La relación entre la banda ancha y el cibercrimen


  Costin       19 noviembre 2009 | 13:49  MSK

Comentar  

Ahora mismo me encuentro en Johannesburgo, Sudáfrica, dando una conferencia sobre seguridad y estrategias de control en la inauguración de nuestra oficina local.

A pesar de ser una ciudad que está en constante crecimiento, Johannesburgo, debido a que se encuentra alejada de los centros informáticos del mundo, se ha mantenido un poco atrasada en cuestiones de conexión a Internet. Pero esto puede cambiar pronto.

Fuente: Seacom HQ c/o Linda Carter

¿Qué es Seacom? Seacom es una red de fibra óptica que conecta gran parte del continente africano con el Reino Unido, Francia, Egipto, los Emiratos Árabes Unidos e India. Uno de los temas que han estado tocando los periodistas estos últimos días es la relación entre el cibercrimen y Seacom.

Hace mucho tiempo, cuando la gente utilizaba módems de 2400 bps (¿los recuerdan?), uno podía literalmente “escuchar” cuando pasaba algo raro, como un intento de intrusión a un equipo. De la misma manera hubo un tiempo en el que yo podía detectar si un ordenador estaba infectado sólo escuchando el sonido que hacía el disco duro mientras ejecutaba un archivo limpio. Hoy en día, con la fibra óptica y los dispositivos SSD, todo eso pasó a la historia. Sólo toma unos pocos minutos transferir todo un GB de información confidencial desde un ordenador comprometido a través de un vínculo de fibra óptica regular. O puede tomar algunos microsegundos inyectar una puerta trasera en un ordenador Windows sin parches.

Es difícil predecir si el cibercrimen aumentará en Sudáfrica a corto plazo a causa de Seacom. Pero debemos tener en mente que la banda ancha pone a disposición de los internautas cosas como:


  • Aplicaciones P2P, intercambio de archivos
  • Descargas ilícitas de música y videos
  • Programas piratas

Aunque estas cosas no están directamente conectadas al cibercrimen, una gran cantidad de programas piratas hoy en día contienen troyanos para PCs y Macs. Asimismo, se sabe que las fugas causadas por aplicaciones P2P han provocado serios problemas en todo el mundo.

El spam es un problema más. Hasta los ataques de redes, que han disminuido en cantidad durante los últimos años, parecen beneficiarse de las altas velocidades de conexión.

¿Y sobre el control de amenazas? Como siempre, prevenir es mejor que lamentar. He recopilado una lista corta de consejos de seguridad que siempre doy en mis presentaciones:


  • Instala y ejecuta un Paquete de Seguridad Informática
  • No asumas que un sitio web es seguro sólo porque es popular
  • Utiliza un navegador actualizado y moderno: IE8, FF 3.x, Chrome, Opera 10
  • Mantén Windows actualizado
  • Siempre utiliza las últimas versiones de Adobe Reader, Flash Player, MS Word, etc…
  • Ten cuidado con los mensajes de redes sociales

La banda ancha trae consigo muchas cosas buenas, sólo asegúrate de no ser víctima de uno de los efectos secundarios indeseados.

Facebook no siempre es divertido


  David       17 noviembre 2009 | 14:23  MSK

Comentar  

La Semana Nacional Anti-Abuso ha comenzado en el Reino Unido. Este año el propósito es combatir el abuso cibernético. Se están poniendo muchos recursos a disposición de las escuelas y presentando exposiciones itinerantes y videos en los que se discute este tema.
Es maravilloso ver que se esté dando importancia a este problema, ya que estudios y artículos de la prensa muestran que como ahora Facebook, MySpace, los mensajes de texto y otras tecnologías forman parte de nuestra vida cotidiana, el problema del ciberabuso se está expandiendo cada vez más.

Existen muchos recursos disponibles para niños, padres y educadores: pueden revisar nuestra Guía para Frenar el Cibercrimen, que incluye una sección sobre cómo hacer que tus hijos se mantengan seguros en Internet.

¡Feliz viernes 13!


  Aleks       16 noviembre 2009 | 18:17  MSK

Comentar  

¡Viernes 13! Si eres supersticioso, esta fecha no es bienvenida para ti. Pero para nosotros, quienes formamos parte de la industria antivirus, el viernes 13 es un día muy especial.

No es una fiesta reconocida, y obviamente no hemos dejado de trabajar para celebrarlo: trabajamos todo el día, todos los días del año. Pero el viernes 13 es cuando recordamos cuándo y cómo se creó la industria antivirus…

Hace 22 años, en octubre de 1987, se identificó en Jerusalén un nuevo virus de archivos que infectaba archivos COM y EXE. Podía propagarse a sí mismo como otros programas similares anteriores, pero también tenía un ataque malicioso adicional que lanzó el viernes 13: cuando se intentaba ejecutar cualquier programa, el archivo del programa se eliminaba y DOS decía que no había podido encontrar el archivo. Esto significa que se eliminaba cualquier archivo que se abriera usando la función Exec.

El virus se expandió notablemente (aunque Internet y los correos electrónicos todavía no eran de uso común) mediante discos que se compartían y BBS.
El 13 de mayo de 1998 fue el día D: el mundo comenzó a compartir miles de mensajes sobre el virus, especialmente en los Estados Unidos, Europa y el Oriente Medio. Jerusalén se había convertido en uno de los primeros virus de MS-DOS en causar una pandemia.

El virus había logrado penetrar miles de ordenadores sin que los usuarios se dieran cuenta: los programas antivirus no eran de uso común, y mucha gente simplemente no creía en la existencia de virus informáticos. Y ese mismo año Peter Norton, un pionero en el mundo informático, dijo que los virus informáticos eran una leyenda urbana, y los comparó con los cocodrilos que se cree que viven en las alcantarillas de Nueva York. (Sin embargo esta osada afirmación no evitó que Symantec desarrollara su propio programa antivirus: Norton Anti-Virus).

Esto marcó un hito: comenzaron a aparecer nuevas empresas que desarrollaban programas antivirus, la mayoría muy pequeñas. Los programas antivirus no eran más que simples escáneres que utilizaban búsquedas contextuales para detectar series únicas de códigos de virus. Las “vacunas” también eran populares: modificaban programas para que el malware pensara que ya estaban infectados y no los “re-infectara”.

El ataque malicioso de Jerusalén hizo algo más que eliminar archivos: aparecieron docenas de virus diferentes que también estaban programados para atacar el viernes 13. Como era de esperar, la gente del mundo informático comenzó a asociar el viernes 13 con los ataques de virus. Algunos pensaban que era más seguro dejar el equipo apagado cuando llegara esta fecha y otros cambiaban la fecha de su ordenador al 12 o 14. Los escritores de virus se dieron cuenta de ello y, para seguir el juego, crearon virus de "jueves 12" y sábado 14”.

Y hoy nosotros queremos desear a todos los de la industria antivirus un ¡Feliz viernes 13! Es cierto que tenemos nuestras diferencias en ideología, filosofía, opinión y cuota de mercado. Pero recordemos lo que tenemos en común y la razón por la que cada día hacemos lo que hacemos. Si no podemos hacer esto, entonces ¿qué estamos haciendo aquí?

La estructura de Gumblar


  Vitaly Kamluk       12 noviembre 2009 | 17:31  MSK

Comentar  

Hemos estado analizando la infraestructura del programa nocivo Gumblar y encontramos algunos datos curiosos sobre la forma en la que opera. Nos pareció que era importante compartir nuestros descubrimientos con los dueños de sitios web para alertarlos sobre las amenazas que presenta este programa.

Los análisis de algunos sitios infectados mostraron que la única forma de inyectar la infección de Gumblar es usando acceso FTP, porque estos sitios web no tienen programación del lado del servidor. Esto se comprobó después con un análisis de los archivos de registro FTP.

La inyección de código malicioso en páginas HTML (que es una simple inserción de una pestaña <script> en cada archivo HTML) se realiza descargando todos los archivos del servidor que puedan tener HTML, cambiándolos y volviéndolos a subir. Llamamos a los sitios web que se modifican de esta manera “desviadores”, porque lo que hacen es desviar a los navegadores hacia el sitio web infectado.

El script inyectado dirige a otro sitio web que contiene exploits y guarda un registro de todos los clientes atacados. Estos sitios web deben admitir php, porque el funcionamiento está basado en php. Llamamos a estos sitios “infecciosos”, porque contienen los exploits y el archivo ejecutable malicioso para Windows. El ejecutable malicioso para Windows se libera cuando el ataque se lanza con éxito. El ejecutable espera hasta que el usuario ingrese sus credenciales FTP.

Hemos podido encontrar de dónde proviene el código de servidor de los sitios desviadores e infecciosos. Y encontramos una pieza más de la infraestructura: un grupo de sitios web comprometidos que llamamos “inyectores”. Estos sitios contienen una puerta trasera php genérica que permite al dueño ejecutar cualquier código php en el servidor web.

Todos los sitios web que participan en este ataque parecen ser legítimos pero están comprometidos y no están relacionados con el grupo Gumblar. Todo el grupo de sitios infectados se divide en al menos 3 subgrupos con diferentes propósitos que no se relacionan entre sí:

Los inyectores no actúan por su propia cuenta. Parece que este grupo se está utilizando para controlar las tareas de inyección. Esto significa que hay otro grupo de ordenadores que emite los códigos e instrucciones para infectar los sitios web en los servidores comprometidos. Nos referimos a estos equipos como “despachadores”. Todavía no hemos recopilado mucha información sobre ellos y no sabemos si también están comprometidos.

Así que la estructura de Gumblar es como esta:

¿Por qué Gumblar está tan expandido? La respuesta es simple: Es un sistema que se maneja de forma completamente automática. Es una nueva generación de redes zombi que se construyen a sí mismas. Este sistema está atacando de forma activa a los visitantes de sitios web, y cuando los infecta con el ejecutable de Windows, obtiene las credenciales FTP de los equipos de las víctimas. Después utiliza las cuentas FTP para infectar cada sitio web de los nuevos servidores. Así es como el sistema aumenta el número de páginas infectadas y sigue atacando a cada vez más ordenadores. Todo el proceso es automático, y el dueño sólo tiene que ajustar el sistema y actualizar el ejecutable del troyano que roba contraseñas y los exploits que se utilizan para atacar el navegador.

El sistema trabaja de forma constante atacando nuevos equipos, obteniendo nuevas cuentas FTP e infectando nuevos servidores. La siguiente ilustración explica las tareas de los servidores comprometidos:

Martes de parches


  Bo       10 noviembre 2009 | 14:54  MSK

Comentar  

El primer martes de parches desde el lanzamiento de Windows 7 no fue histórico como el del mes pasado. Esta vez, Microsoft lanzó 6 parches para 15 vulnerabilidades.

Los parches de ayer no incluyeron ninguna actualización para Windows7, pero sí una para Vista. ¿Será que esto es una señal de lo que está por suceder? o, mejor dicho, ¿de lo que no está por suceder?

Cuatro de los parches de ayer solucionan problemas en versiones anteriores a Win7 de Windows y Windows Server y los otros dos son para productos Office. Tres de los seis parches se consideran críticos y la otra mitad importantes.

Microsoft considera MS09-065 el más crítico de todos. Este parche cubre 3 vulnerabilidades, una de las cuales se ha dado a conocer al público. Este parche evita que programas nocivos ataquen a los usuarios de Windows 2000 SP4, XP SP2 y SP3 en Server 2003 SP2 cuando visiten sitios web maliciosos. Si utilizas Windows Vista o un sistema operativo más reciente el parche ya no es crítico, sino importante porque la amenaza es sólo el aumento de privilegios.

Las otras dos actualizaciones de este parche abordan vulnerabilidades en las que el atacante debe tener credenciales de acceso válidas para que su ataque sea exitoso.

MS09-063 afecta a Windows Vista y Windows Server 2008 y es para Web Services en dispositivos API (WSDAPI). Este es el servicio que permite a los clientes de Windows detectar y acceder a dispositivos externos como PDAs, cámaras, impresoras, etc. La vulnerabilidad permite que se ejecute código a distancia si un sistema Windows afectado recibe un datagrama con un diseño especial. La clave es que el atacante necesita estar en una subred local para explotar esta vulnerabilidad.

MS09-064 afecta sólo a Windows 2000 Server SP4 y direcciones en el License Logging Service MS09-064 (LLS), que está activado por defecto. Microsoft aconseja a los administradores con servidores Windows 2000 en redes de acceso público que pongan este parche a la cabeza de su lista de prioridades.

MS09-067 y MS09-068 son los parches de Microsoft Office. En estos casos el exploit sólo funciona con la ayuda del usuario, cuando abre un archivo Excel o Word malicioso. Como quienes usamos Office 2003 o versiones posteriores podemos decidir si queremos abrir, guardar o cancelar los archivos que recibimos por correo, Microsoft disminuyó el grado de severidad y prioridad.

Me gustaría aprovechar para aconsejar que si no conocen a la persona que envió el archivo ni saben porqué lo envió, es mejor que eviten abrirlo.

Obviamente es demasiado pronto para afirmar si Windows 7 es el gran avance que Microsoft dice que es, y en los próximos meses será interesante ver cómo se desarrollan las cosas para Win7.

Como siempre aconsejo que descarguen e instalen los parches, pero les recuerdo que 4 de los 6 parches necesitan que se reinicie el equipo, así que tomen eso en cuenta para que no lo hacerlo en un mal momento.


Pueden visitar el blog de Microsoft (en inglés) para obtener más información sobre estos parches.

¿Quién es el número 1?


  Maria        6 noviembre 2009 | 16:25  MSK

Comentar  

Si estás buscando programas de seguridad en Internet, verás que estamos entre los más recomendados. Y parece que también somos el número uno para los spammers.

Cualquiera pensaría que nos alegra que nuestro nombre se mencione tantas veces a lo largo de este mensaje spam, después de todo es buena publicidad. Pero como estamos en la industria de seguridad, este tipo de cosas no nos enorgullece para nada: el spam es un crimen, propaga malware y desperdicia ancho de banda. El enlace dirige a un sitio que vende todo tipo de programas baratos (y piratas):

No necesitamos este tipo de publicidad. Claro que queremos que la gente compre nuestro producto porque sabemos que es bueno. Obviamente, también pone el pan de cada día en nuestra mesa.

Puede que ahorres dinero si compras una versión pirata, pero piensa en las consecuencias: recibes un producto que no funciona correctamente (poniendo en riesgo la seguridad de tu ordenador) y promueves la actividad de los cibercriminales, escritores de malware y spammers.

AVAR 2009


  Costin        5 noviembre 2009 | 16:33  MSK

Comentar  

De las cuatro conferencias de seguridad antivirus más importantes (EICAR, el taller técnico CARO, Virus Bulletin y AVAR), AVAR es la última del año.
Su edición actual comenzó ayer en la vieja ciudad de Kioto, la capital imperial de Japón. El programa incluye conferencias de grandes personajes, entre los que se encuentran nada menos que Eugene Kaspersky y Stefan Tanase de Kaspersky Lab.

Como la epidemia de gripe está amenazando la salud de gente de todo el mundo, debemos reconocer la iniciativa de los organizadores de distribuir máscaras en los paquetes para las delegaciones. Este es el equipo de Kaspersky, demostrando que está preparado para cualquier situación peligrosa:

De izquierda a derecha: Costin, Stefan, Andrey, Aleks y Michael, y Nikita tomando la foto.

¡Sayonara desde Kioto! ¡Que pasen un fin de semana placentero y libre de gérmenes!

Actualización del estado de Gumblar


  Michael        3 noviembre 2009 | 14:24  MSK

Comentar  

Como era de esperar, hemos confirmado que hay más ordenadores comprometidos. Nuestro conteo actual es el siguiente:


7798    ESTADOS UNIDOS
1765    INDIA
1332    ARGENTINA
1244    TURQUÍA
1094    FEDERACIÓN RUSA
1084    ALEMANIA
968      ESPAÑA
950      REPÚBLICA ISLÁMICA DE IRÁN
881      REPÚBLICA DE COREA
878      MARRUECOS
822      CANADÁ
815      PERÚ
792      JAPÓN
712      TAILANDIA
689      AUSTRIA
678      RUMANIA
655      POLONIA
654      ISRAEL
628      SUECIA
599      ITALIA

Estos números representan servidores únicos, algunos de los cuales contienen varios directorios de usuarios, etc., lo que significa que el conteo real es mucho mayor al que mostramos aquí. Como mencionamos antes, cada uno de estos servidores está difundiendo un paquete de archivos maliciosos que se envía a los usuarios según el estado de su ordenador. Utilizamos el sitio www.virustotal.com para confirmar el estado de detección de 41 empresas antivirus que pertenecen a este sitio. El resultado mostró que al momento sólo 3 de 41 productos detectan el archivo *.php malicioso que se inyecta en las ubicaciones anteriormente mencionadas. El archivo *.php malicioso tuvo un resultado de 3/41 y sólo 3 de 41 empresas detectaron el contenido flash. Sin embargo, 33 productos detectaron el archivo ejecutable principal. Por supuesto, los cibercriminales responsables de este ataque pueden modificar estos archivos maliciosos en cualquier momento. Estamos vigilando muy de cerca el desarrollo de esta amenaza para proteger a nuestros usuarios tan rápido como sea posible.

La evolución de los programas antivirus fraudulentos


  Dmitry Bestúzhev       30 octubre 2009 | 13:20  MSK

Comentar  

A menudo decimos que los cibercriminales están cambiando sus tácticas de ataque constantemente para tomar en cuenta los últimos avances de las industrias de seguridad y programación. Acabo de encontrar un ejemplo perfecto de esto: muestra cómo la gente detrás de las soluciones antivirus fraudulentas adaptan sus “productos” para explotar la evolución y los cambios en las soluciones antivirus legítimas.

Hace unos meses, Microsoft lanzó su producto antivirus gratuito, Microsoft Security Essentials. Está diseñado para reemplazar a la larga a Windows Defender, un producto antispyware más antiguo de Microsoft que está instalado por defecto en algunas versiones de Windows. Parece que quienes están detrás del producto que acabo de encontrar no sólo están jugando con el miedo de los usuarios, también con su ignorancia. El malware y las amenazas informáticas están abriéndose paso cada vez más en la prensa en general, pero si no te interesa mucho este tema es probable que no recuerdes todos los datos con exactitud. Usar el nombre “Windows Enterprise Defender” es una buena forma de engañar a alguien que puede haber escuchado el nombre "Windows Defender" y recuerda en parte el último lanzamiento de Microsoft y hacer que piense que el antivirus falso es un producto genuino.

El proceso de activación del producto es muy similar el proceso genuino de Microsoft…

Este caso es un gran ejemplo de cómo las tácticas de ingeniería social se modifican para extraer la mayor cantidad posible de ganancias y ejemplifica una especie de microevolución en las soluciones antivirus falsas:

Usa un nombre que no esté relacionado con ningún producto



Pide que se pague para eliminar los virus detectados



Usa un nombre que sea igual o parecido al de un programa existente



Pide que se pague por un “producto” que se supone que ya es parte del sistema operativo

Como los cibercriminales se están volviendo cada vez más sofisticados, los antivirus fraudulentos ya no son algo para tomar a broma. Pero hay algo gracioso en todo esto: las “amenazas” que este programa detecta no tienen los nombres de la clasificación de malware de Microsoft, sino de la nuestra :)
Page Top  |  Archivo >>

 

Copyright © 1996 - 2009
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com