Blogantivirus

Eliles.A es un peligroso gusano codificado en España que una vez activo reside en memoria y se propaga mediante mensajes de correo masivo usando su propio SMTP (Simple Mail Transfer Protocol).

Al propagarse, el gusano adjunta un fichero llamado “El_Perfecto_69.zip“. Una vez activo, ejecuta su rutina MultiSPAM, enviando mensajes falsos con asuntos aleatorios y contenido único, generalmente a aquellas direcciones extraidas del sistema afectado. Luego infecta el Administrador de Tareas y deshabilita la mayoría de procesos de seguridad del sistema operativo, modificando algunas llaves de los registros del sistema.

Para prevenir, aquí tienen una lista de los posibles asuntos con que se propaga en gusano:

• FW: El 69. La posicion perfecta?.
• FW: 69 Posiciones en un Ascensor.
• FW: El maravilloso numero 69.
• FW: EL Kamasutra Espanol.
• FW: Como hacer el perfecto 69.
• FW: Sexo elevado al 69.
• FW: Ojo al que practique el 69.
• FW: El peligroso juego del 69.

Más información: Alerta-Antivirus

“ESPANA VIRUS TERRORISTA EN AGUA POTABLE“. Este es el título de un mensaje que viene circulando en forma de spam, naturalmente se trata de una noticia falsa pero que encierra mucho peligro de por medio.

VSantivirus expone el texto que muestra el mensaje falso:

De: [una dirección falsa]

Asunto: ESPANA VIRUS TERRORISTA EN AGUA POTABLE

Texto del mensaje:

Virus Intoxica Agua potable en Espana, informamos a los ciudadanos que no consuman agua ya que contiene un virus debido a un acto terrorista.
Al momento no sabemos la gravedad del Incidente, si sabemos que hay infectados por tomar AGUA INFECTADA CON VIRUS !!

PARA MAS INFORMACION HAGA CLICK EN EL LINK .

http: // geocities.com/[nombre al azar]

Atte.
Ciudadania del Pueblo
Grupo Santander

——————————————————
Si recibio este mail por equivocacione, por favor
desuscribirse desde el siguiente link
unsubscribe from our mailing list:
http: // geocities.com/[nombre al azar]

Cuando el usuario hace clic en cualquiera de los enlaces del mensaje, se le dirige a un sitio alojado en Geocities. El sitio contine algunos iFrames ocultos que finalmente ejecutan automáticamente un Troyano, el JS/TrojanDownloader.Agent.EE.

Se advierte que el mensaje publicado es solo uno de los muchos que se pueden propagar. Por lo tanto, es vital no caer en la tentación de abrir mensajes que no hayamos solicitado, hacer clic en los enlaces y mucho menos descargar archivos adjuntos no solicitados.

La Fundación Shadowserver ha dado a conocer que el número de máquinas secuestradas por la red Botnet se ha triplicado en sólo un mes, lo cual es un dato alarmante.
Las Botnets son redes de equipos zombies que normalmente fueron convertidos por medio de un virus/troyano, y ahora forman parte de una red masiva de SPAM y atacantes DDOS.
Cabe destacar que sólo ha crecido el número de máquinas rehenes (zombies), y no así las cabezas de subredes que componen esta inmensa red (secuestradoras). El número estimado de crecimiento de secuestradoras (Command & Control, C&C) ha crecido un 20% (creció de 1100 a 1400), mientras que el número de secuestradas ha pasado de 400 mil a 1.200.000 aproximádamente, es decir que solo unos pocos servidores más controlan muchas máquinas cada uno.
La mayor concentración de las máquinas secuestradas está en los países de China, Brasil y Argentina, mientras que las secuestradoras están en EEUU y centro de Europa. Un dato que dice bastante.

Fuente: Hispasec

Sin duda los Captchas han sido de gran ayuda para evitar el spam de aquellos perezosos spammers que no gozan de un sistema de bypass para capthas. De comentario, estos sistemas de bypass actúan como un humano, y son capaces de saltarse los captchas de solo-texto en casi un 90%, en el mejor de los casos, pero normalmente suelen hacer bien su tarea.

Esto ha provocado que mucha gente se disponga a crear nuevas formas de protección, en donde se destacan dos sistemas, ambos por su concepto.

El primero fue presentado por Microsoft Research y se llama Asirra. La idea de Asirra es situar una imágen en pantalla donde aparecen perros y gatos, y el usuario debe seleccionar uno de los dos (según lo que pida el sistema). Esta idea es llamativa, y un tanto tierna… siendo que también puede ser bastante útil.

Por otro lado, la gente de HotOrNot, ha creado un sistema que seguramente va a despertar sus críticas, tarde o temprano, y es uno que muestra x cantidad de imágenes de hombres/mujeres, y le pide al usuario elegir 3 imágenes de gente bonita, o de gente fea. Esta idea es más que nada, un poco provocativa, pero puede tener su buen uso.

Aún así, ambos sistemas carecen de algo… hay gente que accede a internet que es no vidente, y dado el concepto, ambas ideas quedan inútiles, por lo cual… los investigadores de captchas deberán seguir buscando un método que funcione para ellos también.

Leer más en Security Pro News

Spamblog es un interesante punto de información para estar al día (que ya es difícil) de todo lo que concierne al desagradable fenómeno del spam, en todas sus formas (correo, móviles, comentarios de blogs, etc.). De sus últimos artículos me ha gustado especialmente el que analiza las diferentes opciones existentes para obtener cuentas de e-mail temporales, un sencillo truco que viene muy bien para evitar tener que facilitar nuestra dirección de correo en el momento de registrarnos en ciertos sitios (por aquí ya comentamos en su día Temporary Inbox, un servicio que aunque no viene recogido en ese artículo es de los que están mejor presentados y funciona igual de bien).

La gente de Lostmon ha reportado la aparición de unos mensajes falsos de Gmail que pretenden robar información vital de los usuarios.

El mensaje que simula ser de Gmail advierte curiosamente sobre el “aumento de virus en las redes” y nos invita a descargar una ‘herramienta’ que supuestamente “nos liberará de estas alimañas”, con la advertencia de que nuestra cuenta será eliminada si no lo hacemos inmediatamente.

La mayoria de usuarios con experiencia no se dejarían engañar con este forma de Spam, pero muchos usuarios nóveles si, por eso la recomendación es no prestar ni la más mínima atención a este tipo de mensajes. Gmail nunca ofrece a sus usuarios descargas de herramientas ni solicita datos confidenciales.

Parte del texto del mensaje original:

Gmail Informativa sulla Privacy
Pol?tica de Privacidade do Gmail

31 de janeiro de 2007

Para que continue a usar o nosso servi?o Gmail, antes de entrar
no seu e-mail ou Orkut ter? que baixa nosso arquivo de seguran?a,
devido a grande n?meros de v?rus na rede, caso desconsidere este
aviso automaticamente e-mail cancelado
em ate 30 dias ?teis pelo nosso sistema.

Más información: Lostmon´s Group

Así de macabro es el encabezado del último correo-extorsión que está circulando especialmente por los países anglosajones, donde un supuesto asesino a sueldo informa al destinatario del mensaje que es el siguiente en su lista de objetivos laborales, aunque estaría dispuesto a olvidarse del asunto si recibe una importante suma de dinero. Lo curioso es que el asesino especifica que ha sido contratado por “un amigo” de la víctima (con amigos como esos…), aunque el mensaje es genérico y en ningún caso se dirige al destinatario por su nombre.

Para reforzar esta estafa, han surgido mensajes de spam adicionales que informan de la detención de un asesino de estas características en Londres, o que piden al usuario que contacte urgentemente con el FBI porque su nombre es el siguiente en una lista hallada en el transcurso de una investigación y que contiene datos de personas asesinadas. Precisamente el FBI está alertando sobre esta práctica de extorsión en su página web, donde recomienda a los usuarios que ignoren este tipo de mensajes spam, a no ser que el texto sí contenga información personalizada del receptor, en cuyo caso aconsejan contactar inmediantamente con la policía.

Vía: SecurityFix

Algunos analistas vienen detectando un significativo descenso (de hasta el 30%) en el nivel de spam durante el mes de Enero, bajón que al parecer podría ser debido al reciente terremoto en el sudeste asiático que ha provocado la rotura de un cable de comunicaciones submarino en las costas de Taiwan y que ha dejado sin internet a medio continente. A pesar de lo lógico de este razonamiento, en el Sans Institute tienen sus dudas sobre esta relación causa-efecto (se hubiese detectado un descenso mucho más brusco, apuntan), e incluso otras fuentes de renombre como Postini, Spamcop o Message Labs apenas han notado cambios en sus cifras globales y ponen en duda este descenso.

Yo personalmente sí he detectado menos spam últimamente en mi bandeja de entrada, ¿y vosotros?.

Vía: Sans.org

El informe de la última semana del virus radar de Eset (la casa del antivirus NOD32) no deja lugar a dudas: el virus Nuwar está haciendo su agosto con el cambio de año (ver captura).

En realidad se trata de una nueva modificación de la familia de gusanos Nuwar (el sufijo Nuwar.XX varía según el fabricante de antivirus), cuya primera variante fue “galardonada” con el premio al virus más amarillista en el simpático anecdotario vírico publicado por Panda recientemente. En este caso, en lugar de anunciar la llegada de la Tercera Guerra Mundial, esta nueva versión se limita a felicitar el nuevo año con una falsa postal navideña, eso sí, en inglés. Un dato interesante y que viene siendo habitual en la nueva generación de malware, es que el objetivo final de este gusano no es colapsar las redes de medio mundo (como aquel legendario “I Love You“), aunque éste bien podría ser un efecto colateral. Ahora se trata de obtener un beneficio económico directo mediante el envío de spam (cada máquina infectada se convierte en emisor de “correo basura”), spam que según apuntan en PandaLabs en este caso estaría orientado a influir en ciertos valores bursátiles.

Qué horror!!! ¿Dejaremos de usar el email “gracias” al spam?

Via Alt1040.