| |
Home / Bitácora / febrero 2009
Bitácora del analista antivirus
¡Te ayudamos a superar esta crisis! |
Últimamente se han visto muchas variantes de Email-Worm.Win32.Iksmas dando vueltas en la red. Y ahora que el Día de San Valentín terminó se esperaría que estos gusanos comenzaran a desaparecer, pero no es así. Ha aparecido una nueva ola de correos masivos que propagan Iksmas. Pero, en vez de hacer promesas de amor infinito, estos mensajes ofrecen cupones para ahorrar dinero. Y, claro, ¿Quién puede decir que no a una oferta especial? El nombre del ejecutable del gusano varía, pero todos tienen una cosa en común: hacen referencia a la situación económica. Por ejemplo, nocrisis.exe, save.exe (ahorra.exe), etc. Sin duda las ofertas especiales son atractivas, y a nadie le vendría mal un poco más de dinero. Pero asegúrense de que la oferta que les prometen sea genuina, si no sólo estarán poniendo su dinero en el bolsillo de los spammers.
| Costin | 16 febrero 2009 | 12:40 MSK |
Comentar
|
Saludos desde La Habana, capital de Cuba, donde se está llevando a cabo la 13? edición de la convención y feria comercial “Informática”. Se dedicaron los primeros días del evento a explorar varios aspectos del despliegue de las tecnologías de la información en Cuba, poniendo énfasis en los problemas de seguridad relacionados con éstos. Nuestro partner cubano, Segurmática (www.segurmatica.cu), realizó varias presentaciones técnicas interesantes, incluyendo una sobre la detección y eliminación de los virus Polip y Virut, algo que implementó en su producto, SegAV. Por supuesto, el viernes 13 es un día memorable en la historia de los virus informáticos. Esta es la razón por la que José Bidot, el organizador de la convención, escogió el viernes 13 de 2009 como el día para las conferencias internacionales sobre malware y seguridad informática. Entre los conferenciantes se encontraban Ero Carrera, de Hispasec/Virustotal (puede que algunos de Uds. lo reconozcan), nuestro colega Dimitry Bestzhuev y yo. Las presentaciones del viernes 13 se concentraron en el gran crecimiento del malware y el aumento de su sofisticación. Además se habló del aumento en los ataques a usuarios de Latinoamérica y en todo el mundo.
La próxima edición de “Informática” será en 2011. Hasta entonces, nos despedimos con cariño de la soleada Habana.
| Aleks | 6 febrero 2009 | 19:32 MSK |
Comentar
|
En diciembre de 2007 publicamos una entrada en la bitácora explicando cómo el Servicio Federal de Seguridad Rusa identificó y arrestó a los creadores del troyano Pinch. Ayer, los medios de comunicación de varios países comenzaron a hablar de PrevX, diciendo que el troyano Pinch sigue estando activo, infectando cada día a miles de usuarios en todo el mundo. The Register, un sitio del Reino Unido, publicó un artículo especialmente interesante, que dice:
“Los dos supuestos autores de la herramienta de creación de virus fueron arrestados y cuestionados por la policía rusa en diciembre de 2007, pero nunca procesados”.
Estas palabras se han reproducido de una u otra forma mediante otros medios de comunicación, en especial por medios rusos. Y, por supuesto, este tipo de afirmaciones nos lleva a preguntarnos "¿porqué no se ha sentenciado a los autores de Pinch?" Como siempre hemos estado luchando contra el troyano Pinch, hemos seguido su historia con mucho cuidado, y somos capaces de responder esta pregunta.
Se logró identificar a las personas que crearon y difundieron Pinch, y sus apellidos se publicaron en los medios de comunicación: Ermishkin y Farkhutdinov. Se inició un proceso penal, y se realizó la investigación del caso durante 2008. El hecho de que la investigación haya tomado tanto tiempo refleja la complejidad de la historia de Pinch. A fines de diciembre de 2008, se inició un juicio en la corte regional de Kalinskii, en la ciudad de Chelyabinsk. Los dos acusados, que se hacían llamar damrai y Scratch, enfrentaron cargos por crear los troyanos Pinch, Pinch2Pro y Parser. damrai (Farkhutdinov) fue el autor principal, mientras que Scratch (Erminshkin) fue el responsable de Parser. Ambos llevaron a cabo los crímenes entre 2005 y 2007.
Los acusados crearon una gran variedad de sitios, pinch2pro.ru, pinch3.ru, pinch3.com and pinch3.net, para vender sus creaciones. Damrai y Scratch admitieron difundir docenas de modificaciones de Pinch, Pinch2Pro, Pinch3 y Parser entre principios de 2005 y 2007. Recibían alrededor de 20.000 rublos al mes en pagos electrónicos, ganando un total de 600.000 rublos. Se sentenció a los acusados el 29 de diciembre de 2008. El tribunal leyó la siguiente sentencia:
Se ha encontrado a Farkhutdinov Damir (DOB 1986)(alias damrai) y Ermishkin Alexey (DOB 1985)(alias Scratch) culpables de violar la parte 1, Artículo 273 del Código Penal de la Federación Rusa, y serán sentenciados de la siguiente manera:
Farkhutdinov D. deberá cumplir una sentencia de 1 año y 6 meses en prisión y deberá pagar una multa de 30.000 rublos.
Ermishkin A. deberá cumplir una sentencia de 1 año de prisión y deberá pagar una multa de 20.000 rublos. Según el Artículo 73 del Código Penal de la Federación Rusa, cada acusado puede cumplir sus términos de prisión en 2 años de libertad condicional.
Al dictar la sentencia, la corte tomó en cuenta que los acusados habían admitido su culpa, demostraban arrepentimiento, ayudaron en la investigación, y se entregaron ante la justicia de forma voluntaria. La sentencia se comenzó a cumplir el 12 de enero de 2009.
El retorno de los troyanos de Indonesia |
| Denis | 6 febrero 2009 | 15:40 MSK |
Comentar
|
Hace un par de semanas publicamos una entrada en la bitácora sobre malware de Symbian en Indonesia, troyanos que utilizan mensajes SMS para transferir dinero de la cuenta de un usuario a la de un criminal. Acabamos de detectar un nuevo programa nocivo que realiza un ataque similar: Trojan-SMS.J2ME.GameSat.a. Como pueden notar por el nombre, este troyano ataca teléfonos que utilizan J2ME. Esto aumenta la cantidad de víctimas potenciales y la cantidad de dinero que los criminales pueden llegar a ganar. El troyano se propaga haciéndose pasar por una aplicación que ofrece herramientas entretenidas, como chat y sitios de citas. Pero, cuando se lo ejecuta, envía un SMS al número 151, el mismo número utilizado por la última saga de estos troyanos. Por supuesto, no avisa al usuario que el mensaje costará 5.000 rupias (0,45 dólares), y no hay indicación alguna de que este dinero saldrá de la cuenta del usuario para depositarse directamente en la del cibercriminal. Así que eso nos deja con 6 nuevos programas nocivos de teléfonos móviles en poco más de dos semanas, un cambio de Symbian a J2ME, y una obvia motivación financiera detrás de los ataques. Estaremos al tanto del caso para ver cómo se desarrolla.
| Aleks | 5 febrero 2009 | 16:04 MSK |
Comentar
|
Si ingresan a phpbb.com, encontrarán el siguiente mensaje, que ya lleva publicado allí más de 5 días: 
Pues sí, el sitio tiene un problema, un gran problema: hay una vulnerabilidad en la ejecución de "register_globals" en PHP. Los proveedores de alojamiento de servidores han comenzado solucionar el problema; anoche Masterhost, el proveedor de alojamiento de servidores más grande de Rusia, envió el siguiente mensaje a todos sus clientes: Уведомляем Вас, что в понедельник 9 февраля 2009 г. будет
изменена конфигурация серверов виртуального хостинга.
Директива PHP register_globals будет отключена, согласно
рекомендациям разработчиков PHP и специалистов по
безопасности. Изменение затронет следующие площадки и домены:
xxx, xxx, xxx
Если Ваши сайты используют последние версии популярных CMS
(таких как Joomla, Wordpress, Drupal, Bitrix и т.д.), то
изменение пройдет незаметно и не скажется на
работоспособности ресурсов. Рекомендуем при возможности
произвести обновление Ваших скриптов. Если это сделать
невозможно или у Вас возникают любого рода сомнения, то Вы
можете обезопасить себя и включить register_globals для
сайта, добавив в директорию www файл .htaccess со следующей
директивой:
php_flag register_globals on
Информация о директиве register_globals на сайте
разработчиков PHP:
http://ru.php.net/manual/ru/ini.core.php#ini.register-globals Traducción: La presente es para informarles que el 9 de febrero de 2009 se modificará la configuración de los servidores de alojamiento virtual. Deshabilitaremos el directivo PHP register_globals para ajustarnos a las recomendaciones de los desarrolladores de PHP y especialistas en seguridad. Los cambios afectarán a los siguientes sitios y dominios:
XXX
Si sus sitios están usando la versión más reciente de CMS populares (como Joomla, Wordpress, Drupal, Bitrix, etc.), no notará los cambios y éstos no afectarán la productividad de los recursos. Recomendamos que actualicen sus scripts lo más pronto posible. Si no pueden hacerlo o si tienen alguna duda, pueden mantener su seguridad activando register_globals para el sitio. Para ello deben agregar el archivo .htaccess al directorio www con la siguiente dirección:
Php_flag register_globals. Hay información sobre la dirección register_globals en el sitio de los desarrolladores de PHP:
http://ru.php.net/manual/ru/ini.core.php#ini.register-globals Moraleja: Revisen sus sitios, actualicen sus sitios, avísenle a sus técnicos. Y mientras Uds. lo hacen, nosotros nos mantendremos vigilantes ante el próximo Gran Ataque del Servidor Chino; el exploit para esta vulnerabilidad se lanzó hace más de dos semanas, pero la mayoría de los proveedores de alojamiento todavía no tienen el parche para protegerse. Varios recursos de Internet van a recibir duros golpes los próximos días y semanas, y las redes zombi van a volver a aumentar su tamaño. Más aún con la llegada del 14 de febrero, día de San Valentín, época en la que los cibercriminales suelen aumentar su actividad.
| |
