RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2009  
ene feb mar
abr may jun
jul ago sep
oct nov  
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 		 

  Home / Bitácora / enero 2009

Bitácora del analista antivirus

Más programas fraudulentos para Mac


  26 enero 2009 | 18:53  MSK

comments (1)  

Hace un par de días felicitamos a Mac por sus 25 años y poco tiempo después hemos encontrado más programas fraudulentos que lo atacan. Por ahora hemos visto dos versiones de este programa y detectamos ambas como not-a-virus:FraudTool.OSX.iMunizator.

Los usuarios de Windows ya se han acostumbrado a los programas que dicen detectar problemas falsos en sus equipos para después ofrecerles comprar un programa para solucionarlo. Los usuarios de Mac no habían sido víctimas de este tipo de ataques, tal vez porque por lo general el malware no ataca a Mac, pero este espécimen en particular es un clon de MacSweeper, un programa que comenzamos a detectar el año pasado.

Este programa aumenta las cifras que les mostramos durante el fin de semana y sirve como alerta para los usuarios de Mac para que comiencen a tomar medidas de seguridad como lo hacen los usuarios de Windows.

¡Feliz cumpleaños, Mac!


  Magnus        24 enero 2009 | 13:21  MSK

Comentar  
Agradezco a mi colega Christian por proveer la información de este artículo

Ayer, 24 de enero, el famoso Macintosh celebró su aniversario: hace 25 años, Steve Jobs lanzó el primer ordenador Macintosh, el 128K, en AGM de Apple. Fue el primer ordenador comercial exitoso que tenía un ratón y una interfaz gráfica en vez de una de comandos de línea: un gran adelanto para la época. Como hoy en día es común escuchar todo tipo de predicciones y rumores sobre cuál será el futuro de Macintosh, echemos un vistazo a los asuntos de seguridad de Mac durante los últimos años.

Tradicionalmente, los escritores de virus no atacaban a los Mac porque preferían enfocar sus energías en atacar a los usuarios de Windows, que conforman la mayor parte del mercado. Pero las “pruebas de concepto” (proof-of-concept) que aparecen de forma periódica muestran que los Mac no son invencibles.

Escribimos sobre dos ejemplos de esto en 2006: el primero era el caso de IM-Worm.OSX.Leap.a, un programa nocivo que se propagaba por iChat y engañaba a los usuarios haciéndose pasar por capturas de pantalla de Leopard, la última versión de OS X; el segundo trataba sobre Worm.OSX.Inqtana.a, que aprovechaba una vulnerabilidad de Bluetooth e intentaba infectar los otros aparatos con Bluetooth que se encontraban dentro de su área de alcance.

Cuando en 2006 Apple comenzó a utilizar la arquitectura x86 se abrieron nuevas posibilidades; tenía la posibilidad de ejecutar Windows de forma nativa y los bajos precios llamaron la atención de nuevos usuarios. ¿El resultado?: comenzó a dominar un porcentaje cada vez mayor del mercado, aumentando del 2,8% en 2004 a más del 10% en 2008. Pero esto también tenía un lado negativo: el aumento en su popularidad también resultó en un aumento en la cantidad de programas nocivos que atacan a Mac.

Aunque las cifras que se muestran arriba son bajas (en especial si se las compara con la cantidad de programas nocivos que atacan a Windows), el aumento abrupto que se ve en 2007 es un poco inquietante. Hemos notado que cada vez que una empresa llega a tener cierta cantidad de clientes, los escritores de virus comienzan a atacarla. Y en estos días, son los cibercriminales quienes están buscando la forma de ganar dinero con los ataques que realizan. Por ejemplo, en este mismo momento hay un troyano para Macs rondando la red: Backdoor.Mac.iWorm.a. Aunque se puede decir que este programa se escribió para darle una lección a aquellos que utilizan programas piratas (se hace pasar por una versión gratuita de iWork 09), sigue siendo un programa nocivo.

Y no sólo los ordenadores están en peligro. Otros productos de Apple, como iPod y iPhone, cuyas funciones y capacidades de conexión de redes están en constante desarrollo, también ofrecen a los cibercriminales nuevas oportunidades para lanzar nuevos ataques.

Así que los usuarios de Mac deben aprender a cuidar sus sistemas de la misma manera que lo hacen los usuarios de Windows: actualizando sus sistemas operativos y aplicaciones con regularidad. El reproductor de música itunes y el navegador Safari son muy conocidos por contener vulnerabilidades. Aunque por el momento los Mac son uno de los sistemas menos atacados, la seguridad debe tomarse muy en serio para poder mantener este privilegio.
¡Feliz cumpleaños, Macintosh! ¡Ojala este año te traiga mucha prosperidad… y salud! ¡Y que cumplas muchos años más!

Kido no es cuestión de broma


  Costin       23 enero 2009 | 11:33  MSK

Comentar  
El 13 de enero nuestra compañía subió el grado de alerta de la familia Kido a “nivel anaranjado: riesgo moderado”. Hacía tiempo que un gusano de la “vieja escuela” no causaba semejantes contratiempos. Kido se dio maneras para explotar las vulnerabilidades del protocolo SMB de Windows y usarlas para propagarse, como también para hacer ataques de fuerza bruta para obtener acceso a otros equipos en las redes locales.

Por esta razón (además de otras) Kido puede ser muy difícil de tratar. Por eso hemos decidido publicar una herramienta gratuita para curar los equipos infectados.

Puede descargar nuestra herramienta KidoKiller aquí.

Siéntase libre para probarla.

Robos móviles: usando malware en Indonesia


  20 enero 2009 | 21:41  MSK

Comentar  
En muchos países, los proveedores de servicios móviles permiten a sus clientes transferir dinero o crédito desde sus cuentas a las de otros clientes del mismo servidor para que los destinatarios puedan utilizar el crédito recibido desde sus propios teléfonos. Este servicio resulta muy útil cuando una persona necesita ponerse en contacto con alguien que no tiene suficiente dinero para comunicarse con él. En Indonesia este tipo de transferencias son muy comunes.

Un proveedor de servicios móviles de Indonesia permite a sus clientes transferir dinero/crédito de una cuenta otra sólo enviando un mensaje de texto (o SMS) al número 151 con el siguiente texto: TP . Los escritores de malware de Indonesia aprovecharon esta oportunidad para hacer dinero.

La semana pasada detectamos 5 nuevos troyanos que envían estas peticiones de transferencia de dinero al número 151 sin el permiso o conocimiento del dueño del teléfono. Los 5 troyanos están escritos en Python y trabajan con Symbian: Trojan-SMS.Python.Flocker.ab, Trojan-SMS.Python.Flocker.ac, Trojan-SMS.Python.Flocker.ad, Trojan-SMS.Python.Flocker.ae y Trojan-SMS.Python.Flocker.af.

Las sumas de dinero de las transferencias oscilan entre las 5.000 y 10.000 rupias indonesas (0,45-0,9 USD). Por supuesto, el propósito es transferir grandes cantidades de sumas pequeñas de dinero para ganar la mayor cantidad de dinero sin que los usuarios se den cuenta del problema.

Hemos visto varios ataques en Rusia que aprovechan el servicio de mensajes de texto para robar dinero ya que no es sancionado por la ley. Estábamos seguros de que este problema iba a expandirse, y lo ha hecho. Nosotros seguiremos vigilando la situación y los mantendremos al tanto de cualquier novedad.

La variable de Google


  Dmitry Bestúzhev       12 enero 2009 | 13:06  MSK

Comentar  
Las descargas inadvertidas (drive-by downloads) han aumentado su popularidad en 2008. Como los administradores de sitios web están cada vez más informados sobre las últimas amenazas de seguridad, los cibercriminales están buscando nuevas formas de garantizar la supervivencia de sus programas nocivos.
Y, para ello, ¿qué mejor que utilizar Google? Todos lo usan, ¿por qué escritores de virus se quedarían atrás? Últimamente hemos estado viendo ataques que funcionan de la siguiente manera:

Los escritores de virus realizan búsquedas en Google para identificar los sitios web más populares. Después, buscan vulnerabilidades en cada uno de estos sitios. Las páginas con vulnerabilidades más críticas son utilizadas por los cibercriminales para lanzar sus ataques. Pero, para evitar ser descubiertos, los cibercriminales evitan agregar códigos en forma de nuevos archivos a los sitios comprometidos, e incluso evitan hacer uso de códigos ofuscados. En lugar de ello, modifican los scripts que ya se están ejecutando en las páginas comprometidas. En este caso particular, los nuevos parámetros que se agregan al script existente incluyen la siguiente función: (--referer=http://www.google.com/).

Esta función revisa de dónde viene el visitante del sitio infectado. Si se detecta que el visitante ingresó a la página utilizando un enlace proveído por Google, entonces se lo redirige a varios sitios nocivos que no tienen nada que ver con el que el usuario quería visitar. ¿El resultado? Un equipo infectado.

Por si esto fuera poco, el ataque no funciona si el internauta simplemente escribe el nombre del sitio infectado. En tal caso, no se ejecuta ninguna de las funciones del script inyectado y el usuario sólo se encuentra frente al sitio que quería visitar. Esto evita que los administradores, empleados y visitantes regulares de los sitios afectados sean víctimas del ataque, mientras que los criminales todavía pueden alcanzar sus metas:

  • Infectar un gran número de gente

  • Evitar que el administrador del sitio descubra y elimine el script malicioso.

Este tipo de ataques no sólo perjudican a los navegantes de la red, también pueden hacer que sitios inofensivos acaben formando parte de la lista negra de los productos de seguridad.

Pero no sólo los sitios web más visitados de Google son víctimas de este nuevo ataque: los cibercriminales también están dirigiendo sus ataques a algunos sitios de productos de seguridad. Este es el caso, por ejemplo, del conocido programa de seguridad fraudulento Antivirus XP. Si un usuario está navegando en Google, tratando de encontrar información sobre este tema, su búsqueda tendrá una gran variedad de resultados. El problema es que, al ingresar a alguno de los sitios de la lista de resultados de Google, el script modificado del servidor de seguridad alterado ejecutará Antivirus 2010 en su equipo.

Parece que el comprometer sitios ofrecidos por buscadores de confianza y el infectar a los usuarios utilizando una serie de redirecciones serán dos formas de ataque muy populares en 2009, y sin duda causarán nuevos y fuertes dolores de cabeza a los administradores de sitios de Internet.

Este caso demuestra que ningun rincón de Internet es tan seguro como parece. Y este problema no sólo afecta a Google: después de realizar un par de pruebas, comprobé que este ataque también afecta a los buscadores de Yahoo! y MSN. Detectamos el programa utilizado para realizar este ataque como Trojan-Downloader.Win32.Fraudload.vffa, y estamos listos para hacer frente a futuras variantes de este ataque,

 

Copyright © 1996 - 2009
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com