Según informa Trend Micro, diversos fabricantes de seguridad registraban la existencia de websites maliciosas asociadas a la trágica noticia, las cuales aparecían a través de búsquedas realizadas en Google con el término “benazir”. Estas páginas tratan de infectar a los usuarios que quieren obtener más información sobre el incidente.

El equipo de investigación de los laboratorios de Trend Micro, TrendLabs, advierte que uno de los sitios web en cuestión contiene código JavaScript malicioso, que Trend Micro ha detectado como JS_AGENT.AEVE, y lo redirecciona.

Este script malicioso descarga un troyano (identificado como TROJ_SMALL.LDZ), que activa más archivos maliciosos, entre los que se encuentran WORM_HITAPOP.O y TROJ_AGENT.AFFR.

Más información en Trendmicro.

Fuente: Nota de Prensa oficial.

Según nos alertan los chicos de Panda, se está propagando estos días un virus mediante correo electrónico que se aprovecha del tirón de la última película de Disney para cometer sus fechorías. El mensaje lleva un fichero anexo de nombre Official Trailer Pirates of the Caribbean At World’s End.exe que al ejecutarse muestra una ventana de error relacionado con los codecs de vídeo, mientras que por detrás comienza a instalarse un dialer y a modificar parámetros de seguridad en el Internet Explorer para permitir la posterior descarga de más malware.

Más información en el blog de Panda.

Aunque por lo visto sólo se trata de una prueba de concepto sin intención de infectar los equipos de forma masiva (la muestra fue enviada directamente a SophosLabs por sus creadores), no deja de resultar interesante el comportamiento de este virus de macro llamado Badbunny que varía en función del sistema operativo donde se esté ejecutando.

El malware se distribuye a través de un documento OpenOffice Draw (badbunny.ODG) que intenta descargar una imagen JPG de un señor vestido de conejo realizando una “guarrerida española” y posteriormente, según el sistema operativo donde se ejecute, intenta infectar de diferentes formas:

- Si se ejecuta con OpenOffice bajo Windows, intenta descargar un fichero llamado drop.bad y borra system.ini de la carpeta del programa mIRC. También descarga y ejecuta badbunny.js, un virus en JavaScript que se replica en el sistema

- Si se ejecuta desde Linux, descarga badbunny.py (python) como script para XChat y badbunny.pl (Perl). Este es un pequeño virus que infecta a otros ficheros Perl.

- Si se ejecuta desde MacOS, descarga badbunny.rb o badbunnya.rb, dos scripts creados en Ruby.

De esta forma queda demostrada la posibilidad de crear malware multiplataforma a través de OpenOffice.

Vía: Hispasec

Más concretamente, el troyano se sirve del componente BITS (Background Intelligent Transfer Service, usado tanto por el servicio Windows Update como por el propio Messenger en su protocolo de transferencia de archivos) para descargar nuevos ficheros maliciosos, evitando de esta forma ser detectado por cortafuegos y antivirus, ya que en principio este servicio es una actividad “legítima” del propio sistema.

Las ventajas de este método para los hackers son evidentes, porque además de actualizar el malware de forma “silenciosa” y sin levantar sospechas, la propia naturaleza del servicio BITS (que aprovecha el ancho de banda sobrante del sistema) impide que el usuario note ralentización o comportamiento anómalo alguno en su computadora.

Aunque esta ingeniosa técnica de malware se detectó a finales del año pasado, es ahora cuando un troyano alemán la ha puesto en práctica a través de correos que se han distribuido en el mes de Marzo, según advierte Symantec. También aseguran que hoy por hoy no existe forma humana de evitar este comportamiento, y que hay que esperar a que Microsoft parchee de alguna forma su componente BITS (para que sólo pueda ejecutarse con privilegios adecuados, o para que acceda únicamente a URL’s seguras, por ejemplo) para que se solucione el problema.

Vía: The Register

Sophos, empresa reconocida por investigaciones y servicios de seguridad informática, ha publciado un informe en donde analizan, entre otras cosas, la evolución del malware en los últimos tiempos.

Los datos publicados son alarmantes, pero a la vez, no sorprenden a quienes están en el tema. El año pasado, durante el primer trimeste, se detectaron alrededor de 10 mil nuevos malware, mientras que este año en el mismo periodo se detectaron 24 mil, o sea, un 240% de lo del año pasado…

La empresa apunta que el crecimiento se debe en parte a lo fácil que se contagian los ordenadores ahora, con solo visitar un sitio, por ejemplo… y pese a que los usuarios cada vez adoptan más conciencia sobre la seguridad, las técnicas utilizadas para hacerlos caer en la trampa también evolucionan, lo que los deja rezagados.

Hasta que los usuarios no adopten una conciencia proactiva, y no reactiva en temas de seguridad informática, la situación va a seguir igual. El usuario aún no toma conciencia que la pérdida total de sus datos, puede ocasionarle un daño mayor al que el asume.

Fuente: Hispasec

Esta es la moraleja que se deduce de la noticia que publica hoy The Registrer, que relata cómo un grupo de hackers se dedicaron a colocar memorias USB infectadas con un troyano bancario en distintas localizaciones dentro de un aparcamiento de Londres. Lo que más me llama la atención de este incidente, que ha sido mencionado por Nick Lowe (director regional de Check Point) en el transcurso de una presentación en Infosec, es que esta curiosa técnica de ingeniería social ya fue puesta en práctica hace tiempo en el marco de una auditoría de seguridad realizada por la consultora americana Secure Network. En aquella ocasión distribuyeron 20 memorias USB por las instalaciones de una entidad financiera y pudieron comprobar como 15 empleados que se encontraron el “regalito” conectaron la memoria nada más llegar a sus puestos de trabajo (ver noticia en El País de Septiembre de 2006).

En realidad, este escenario (hackers que se aprovechan del trabajo de investigadores de seguridad) es el mismo que se da cuando los creadores de virus se basan en vulnerabilidades recién descubiertas, sólo que en este caso lo que predomina es el componente de ingeniería social. Una vez más nos encontramos con el eterno debate entre el “Full Disclosure” (o divulgación total de todos los detalles de las vulnerabilidades) frente la “Seguridad por Oscuridad”.

Los chicos de Panda (que por cierto, deben de estar muy contentos estos días con la importante inyección de capital recibida) han presentado un nuevo servicio gratuito para la detección “on line” de malware. En la página Infected or Not han integrado sus dos opciones para el análisis de equipos en busca de malware, NanoScan, el más ligero y el que tarda menos tiempo en ejecutarse, y TotalScan, que requiere más recursos pero que también ofrece mejores resultados, detectando incluso virus “latentes” que aún no están activos.

En definitiva, una página muy útil si queremos tener una segunda opinión sobre el estado de nuestro equipo, que por otro lado debe estar conveniente protegido con un buen antivirus.

Una única pega: este servicio requiere Internet Explorer.

Actualización del Administrador: Nos informan de NanoScan que ya está disponible para Firefox:

El funcionamiento es muy sencillo, cuando le das a “NanoScan my PC”, te saca la pantalla de instalación de un plug-in, mediante el cual el navegador también podrá acceder a los servicios de NanoScan. Funciona con un plug-in especial para Firefox (como el de Flash por ejemplo) que se instala sólo una vez.

Fuente: Genbeta

Los chicos de F-secure acostumbran muchas veces a ilustrar sus artículos con vídeos demostrativos sobre la herramienta o el malware que están analizando. Incluso tienen un canal propio en YouTube, con vídeos muy interesantes relacionados con la seguridad informática (eso sí, hay que saber un poquito de inglés).

Su último vídeo es una demostración de lo que se puede hacer con Rock Phish, el kit de creación de phishing más popular y potente que circula por el “lado oscuro”. Cualquier usuario malintencionado, sin ningún conocimiento de informática, puede implementar su propio sitio de phishing capaz de suplantar a numerosas entidades (en el vídeo todos los bancos que aparecen son estadounidenses, excepto uno alemán), y todo ello en un único servidor, al que se accede por una URL diferente para cada entidad.

No me extrañaría que este kit esté también detrás de la oleada de ataques phishing que estamos sufriendo por estos lares.

No hablamos de los gusanos que viven en Worms, sino de gusanos atacan y se replican en sistemas, formando poco a poco más células en las redes de BotNets a nivel mundial.

Estas están controladas, según HNS, por sólo 2 familias de gusanos. Las mismas son la de SDBot y GaoBot, ambas conocidas por ser responsables del 80% de sistemas detectados como Bots. Otras familias son más chicas, como es el caso de Oscarbot, IRCBot y RXBot.

Por último, se aclara que muchas de las infecciones causadas por estos gusanos es por medio de ingeniería social (por correo y/o mensajeros instantáneos), o bien por aprovechamiento de vulnerabilidades propias de los sistemas operativos (digamos, Microsoft Windows).

Fuente: Help Net Security

Un usuario español del sitio Rootkit (c0de90e7), ha publicado un artículo en donde explica una variación de la técnica de GhostWriting.

El GhostWriting es una técnica utilizada para hacer cambios en un proceso, mientras este se ejecuta en memoria.

La variación propuesta por el usuario, es básicamente evitar hacer uso de métodos de apertura de procesos, menos escritura, e inyectar bits remotamente de modo que sea más indetectable.

La técnica en sí, es conocida por ser usada en muchos virus, troyanos, rootkits y malware en general.

Para ser bien claro, el usuario publicó una prueba de concepto (código fuente) y una explicación (comentarios en código fuente), todo en inglés (lenguaje universal para dicha tarea), de modo que cualquiera que sepa un mínimo de programación podrá entender el código perfectamente.

Cabe destacar que el proceso no es perfecto, como bien lo señalan los comentarios, siendo que por ejemplo algunos Firewalls interceptan paquetes formados como en la prueba (ZoneAlarm), o que Kaspersky AV 6.0 lo detecta de una y no permite ejecutar.

Estos problemas surgen con aplicaciones de seguridad que analizan el comportamiento de los procesos (apertura de hilos, llamadas, etc), y no solo la firma (signature) de los mismos. Básicamente, las aplicaciones que el día de mañana serán las pocas que sobrevivan a esta manada de malware.

El código demuestra algo, y no lo pone en bandeja para quien quiera usarlo con malas intenciones, pero puede servirnos muchísimo si estamos pensando en formas de proteger nuestros programas… claramente, pensando desde el otro lado del ejemplo.

Fuente: Rootkit