| Juan 的个人资料Seguridad en Sistemas Wi...照片日志列表 |  工具  帮助 |
|
5月11日 Actualización de código malicioso con Windows UpdateAutores de código malicioso podrían incitar a Windows Update a distribuir virus, previenen investigadores de seguridad de Symantec. Análisis de la firma de seguridad revelan que recientemente se distribuyo un troyano vía correo electrónico a finales de marzo de 2007, utilizando después el componente denominado BITS “Background Intelligent Transfer Service” para descargar archivos. BITS es un componente de Windows que permite la transferencia de archivos entre equipos. El servicio es utilizado por Windows Update, Windows Server Update Services y Systems Management Server para entregar actualizaciones a los clientes. Este también es utilizado por la mensajeria instantánea para facilitar la transferencia de archivos. El servicio de descarga asíncrona es una elegante manera de descargar archivos mientras se consume un mínimo de ancho de banda. Pero este puede ser utilizado por hacker para descargar código malicioso, lo cual le ofrece una gran ventaja a los hackers. “Usando BITS para descargar archivos maliciosos es una manera inteligente y engañosa debido a que pasa los firewalls locales, así como que la descarga es realizada por el propio Windows, y no requiere de acciones sospechosas por el proceso de inyección” explico en una publicación Elia Florio investigador de Symantec. El método debería ser utilizado para descargar componentes adicionales de spyware en un equipo infectado sin alertar al usuario de que algo anda mal, terminando firewalls personales, inyectando código malicioso en componentes de confianza del SO, o realizar otras actividades maliciosas. El método de descarga de BITS ha sido conocido como una manera de terminar firewalls desde finales de 2006. Sin embargo, el troyano alemán representa un refinamiento de la técnica al descargar componentes de código malicioso dentro del sistema, evadiendo el firewall. Peor aun, no existe una solución temporal que proteja contra este tipo de ataques. “No es fácil verificar lo que esta descargando BITS y que no sea descargado” comento el investigador de Symantec, agregando que el mal uso que se le da a BITS es un buen ejemplo de “que las buenas tecnologías son usadas para malos propósitos” Florio comento que Microsoft necesita modificar su software con una corrección que proteja contra un ataque de este tipo. “Probablemente la interfaz de BITS debería ser diseñada para ser accesible sólo con un alto nivel de privilegios, o descargas con BITs deberían ser restringidas sólo a URLs de confianza,” comento Florio. 3月29日 Se esta propangdo un código malicioso que simula ser IE7Que tal lista!!! Varias instancias de seguridad están reportando un correo electrónico no deseado (spam) invitando a los usuarios a descargar un archivo adjunto de nombre IE7.0.exe, el correo es enviado falsificando una dirección de correo electrónico de Microsoft. La dirección utilizada es admin@microsoft.com Al realizar un análisis con herramientas antivirus se ha detectado que es un código malicioso. Por lo que hay que tener cuidado con lo que se descarga. Recomendaciones:
En las siguientes páginas se muestran análisis del código maliciosos. http://research.sunbelt-software.com/ViewMalware.aspx?id=220 http://www.sunbelt-software.com/ihs/alex/virustotal19231823123.PNG
Referencias: Beware fake IE 7 downloadshttp://sunbeltblog.blogspot.com/2007/03/beware-fake-ie-7-downloads.html Buenas prácticas de seguridad 3月2日 OneCare de Microsoft último lugar en evaluación de antivirusEl mejor en la prueba fue AntiVirusKit de G Data Security. Microsoft Windows Live OneCare se ubico en el último lugar de 17 antivirus probados con miles de gusanos, virus, troyanos y cualquier otro tipo de código malicioso, publico en un reporte el día de ayer un investigador austriaco. El sitio Web AV Comparatives, el cual es mantenido por Adreas Cleminti en Innsbruck, Austria, publico unos resultados trimestrales de pruebas realizadas ha antivirus contra casi medio millón de piezas de código malicioso. El mejor, de acuerdo a las pruebas realizadas por Cleminti, fue AntiVirusKit (AVK) de G Data Security, el cual obtuvo 99.5% de detección de código malicioso. Muy cerca de este se encuentran TrustPort AV WS de AEC con 99.4%, AntiVir PE Premium de Avira con 98.98%, F-Secure con 97.9% y Kaspersky con 97.9% en detección de código malicioso.De los productos antivirus más conocidos como Symantec y McAfee obtuvieron 96.8% y 91.6% respectivamente. En el último lugar se encuentra Live OneCare de Microsoft, el producto de seguridad que la compañía de Redmon desarrollo y liberó el año pasado. OneCare sólo pudo detectar 82.4% de todo el código malicioso analizado. Cleminti también probó los 17 antivirus contra virus polimórficos, de los cuales hay una gran cantidad de variantes debido a que tratan de evadir los análisis de antivirus. “El resultado de las pruebas con virus polimórficos es importante debido a que se puede saber la flexibilidad de un motor antivirus y como es la calidad de detección de virus complejos.”, comento Cleminti en su reporte.Sólo el antivirus de Symantec y NOD32 de ESET detectaron cada una de las variantes de las 12 familias polimórficas, comenta Cleminti. En esta prueba, OneCare se coloco en el lugar 15 detectando las variantes de sólo 2 familias polimórficas y no detectando del todo siete familias polimórficas.El reporte de Cleminti esta disponible en línea. ( Descargar PDF). Esta no es la primera evaluación que da al programa de seguridad de Microsoft malas calificaciones. La semana pasada, por ejemplo, la compañía australiana PC Tools liberó una investigación que mostraba que Windows Defender (nombre del antispyware de Microsoft) detectaba entre el 46% y 53% del spyware. “Estamos analizando detenidamente la metodología y los resultados de las pruebas para asegurarnos que Windows Live OneCare obtenga mejores resultados en pruebas futuras,” comento un vocero de Microsoft. 5月31日 virus.org le entra a los scanners en líneaVirus.org inició hace algunos días un nuevo servició similar a de Virus Total y Jotti´s malware scan.
Este nuevo servicio se encuentra en fase beta y ubicado en http://scanner.virus.org/. Debido a que se encuentra en fase beta se detectan algunas desventajas o carencias en comparación a sus antecesores.
Entre los motores que utiliza este nuevo servicio se encuentran ArcaVir, avast!, AVG Anti Virus, Avira Desktop, BitDefender, ClamAV, Dr. Web, F-PROT, H+BEDV AntiVir, Ikarus PSCAN, NOD32, Norman Virus Control, Sophos Sweep, VBA32, VirusBuster 2005.
La desventaja de este nuevo motor es que estos no están actualizados como en los otros dos. No resalta los resultados maliciosos, lo cual es muy importante para facilitar alguna detección de código malicioso.
Lo positivo de este nuevo motor es el aumento de este tipo de herramientas en línea debido a que Virus Total y Jotti´s malware scan han tenido demasiada demanda lo que hace que en el análisis de un malware se requiera esperar varios minutos.
4月27日 Un troyano bloquea computadoras, pidiendo dinero para que sigan trabajandoYa lo comentabamos en un post de la semana pasada.
El malware amenaza con borrar archivos a menos que se pague una cuota por vía Western Union.
Un nuevo tipo de malware circulando en internet congela el sistema y pide que se deposite dinero a través del servicio de Western Union.
Una muestra del troyano se mandó a Sophos, compañía de seguridad, dijo Graham Cluley. El malware, que Sophos nombró como Troj/Ransom-A, es uno de unos cuantos virus que hasta ahora han pedido una cantidad de dinero para liberar el control del equipo, dijo Cluley.
El nuevo gusano cae en la clase de virus descritos como "ransomware". Estos esquemas se han visto en Rusia, pero el primero apareció en Inglés el último mes.
"Es un nuevo tipo de malware con un payload (un objetivo) bastante malo", dijo Cluley.
No es claro cómo se está esparciendo el gusano, a pesar de que Sophos lo está investigando, dijo Cluley.
Los virus puedes dispersarse de distintos modos, incluyendo spam o downloads que explotan vulnerabilidades en los navegadores, cuando el usuario visita un sitio web malicioso.
Una vez corriendo, el troyano congela el equipo, desplegando el mensaje diciendo qué se borrarán archivos cada 30 minutos. Despliega instrucciones para el envío de $10.99 por vía Western Union para liberar el equipo.
El "control-alt-del" no afecta al gusano, advierte el escritor del mismo. Sophos provee más detalles a través de su sitio web: http://www.sophos.com/virusinfo/analyses/trojransoma.html
El escritor del virus ofrece soporte técnico, dijo Cluley. Si el método para liberar el control del equipo no funciona despues de que el dinero se envía, el escritor del virus promete investigar el problema e incluye un correo electrónico.
El mes pasado, se descubrió un troyano que cifra los archivos del usuario (http://www.pcworld.com/news/article/0,aid,125108,00.asp) y muestra un archivo pidiendo $300 a cambio del password para acceder a la información. Se instruye a las víctimas a mandar el dinero a una de las 99 cuentas de e-gold, una compañía que se dedica a transferencias de dinero.
Sin embargo, la contraseña, estaba contenida en la computadora infectada. Sophos la consiguió y la publicó. 4月21日 Los escritores de virus entran a la cyber-extorsiónPaga hasta el último centavo o nunca volverás a ver tú información. Los intentos de cyber-extorsión han aumentado durante los últimos tres meses del año. Los intrusos están cambiando la manera de trabajar para infectar equipos de cómputo, – robando datos personales o usando equipos infectados como parte de redes zombies – ahora los intruso están extorsionando a sus victimas, de acuerdo a un reporte de Kaspersky Lab. El reporte Malware Evolution: January to March 2006, citó casos donde escritores de virus han cifrado datos o corrompido información del sistema para después pedir un rescate por devolver los datos seguros a las victimas. La cantidad demandada varia entre 50 y 2,500 dólares. Hasta ahora, kaspersky comenta que se han podido recuperar los datos de sus clientes. Sin embargo comenta en el reporte que los hackers están adoptando esquemas de cifrado más sofisticados y menciona que la mejor práctica para protegerse es que los usuarios eviten descargar archivos de sitios no confiables además de actualizar sus firmas antivirus y hacer respaldos de sus archivos de manera periódica. El reporte también menciona otros detalles que han desarrollado los escritores de virus, incluyendo el surgido en marzo, Cxover, el cual busca Microsoft ActiveSync para buscar dispositivos móviles. Cxover intenta borrar archivos de usuarios de sistemas móviles después de respaldar estos en la computadora infectada. 3月14日 McAfee libera herramienta para recuperar archivos enviados a la cuarentena por errorPara los que fueron sorprendidos el pasado viernes con el envio de varios archivos a la cuarentena confundiendo estos por W95/CTX ya se libero una herramienta para recuperar los archivos validos enviados a la cuarentena. Más información en: http://vil.nai.com/vil/stinger/ctxundo.asp
3月13日 Actualización de definición de McAfee detecta a aplicaciones validas como virusMcAfee libero un documento con las aplicaciones afectadas en la siguiente dirección: http://vil.nai.com/images/CTX_file_list.pdf Las versiones afectadas fueron: VirusScan Enterprise 8.0i Checar si se cuenta con la actualización de definición 4716.
Compañías y usuarios ejecutando la protección de McAfee encontraron que archivos legítimos estaban siendo enviados a la cuarentena el viernes pasado. Por un breve periodo de tiempo, la herramienta de seguridad de McAfee termino con otros tipos de archivos además de virus. Un error en la definición de virus de McAfee liberada el viernes en la mañana causo que se marcara a archivos como Excel, de la suite Office, como una aplicación con el virus denominado W95/CTX, de acuerdo a Joe Telafici director de operaciones de los laboratorios Avert de McAfee. “Alrededor de la una de la tarde, hora del pacifico, se empezaron a obtener reportes de usuarios que estaban obteniendo un inusual número de infecciones del virus W95/CTX en su ambientes de trabajo” comento Telafici “Los archivos fueron enviados a cuarentena o eliminados dependiendo de la configuración en su antivirus”. Cuando un archivo es enviado a la cuarentena, es renombrado y se mueve a otro directorio diferente. El software antivirus de McAfee esta detectando a archivos como Excel.exe, Graph.exe entre una otros como archivos maliciosos. McAfee proporciono un documento con una lista de los archivos ejecutables afectados. Alrededor de 100 usuarios individuales reportaron el problema, comento Telafici y se les revirtió la actualización de la definición alrededor de las 2:30 p.m. una actualización fue publicada una hora después, comento Telafici. El problema solo afecto a software antivirus de escritorio, no a los productos de redes que buscan virus en los correos electrónicos, comento Telafici. Además comento que el problema solo se presentaba si el usuario realizaba una búsqueda manual de virus en el equipo o si se realizaba una búsqueda programada. Tales problemas son denominados falsos positivos y estos suceden ocasionalmente. McAfee típicamente tiene una liberación de emergencia una vez cada tres meses debido a falsos positivos, comento Telafici. McAfee no ha podido precisar la causa del problema y espera que esto no se vuelva a repetir en un futuro, dijo Telafici. El problema ocurrió con la definición 4715, la cual fue liberada a las 10:45 a.m. el viernes como parte del ciclo de actualizaciones diario de McAfee. El archivo de definición 4716 de reparación de emergencia fue liberada a las 3:30 p.m. 3月10日 Reporte de malware de esta semana.El reporte semanal de Panda Software en cuanto a código malicioso esta semana ha atraído la atención de tres tipos diferentes. Uno es un troyano y los otros dos son gusanos, aunque con notables diferencias en las características. El primero de estos es el gusano Saros.C, el cual, como otros de su tipo, causa que los programas de seguridad en el sistema dejen de funcionar. Esta técnica, le permite prevenir que antivirus, firewalls y otros programas de seguridad le eviten realizar sus acciones, también previene a usuarios conectarse a sitios Web (incluyendo los de compañías antivirus). La forma de propagación de Saros.C es la clásica, enviándose vía correo electrónico así como usando compartición de archivos vía P2P y los programas chat mIRC. También pueden propagarse a través de redes, lo cual representa un riesgo adicional para las compañías sin protección en las estaciones de trabajo y para el creciente número de redes caseras. El segundo código malicioso es otro gusano de nombre ComWar.M. Este código esta diseñado para propagarse por teléfonos celulares, aunque solo infecte a los que tengan el sistema operativo Symbian 60. Para propagarse de teléfono a teléfono, ComWar.M usa mensajes MMS. Diferente del sistema SMS (el cual solo usa texto), MMS puede ser usado para trasmitir archivos multimedia, tal como imágenes, mensajes de texto, video, entre otros. En este caso, esta característica es explotada adjuntando y reenviando archivos infectados. Otra forma usada por Combar.M es vía Bluetooth, tomando ventaja de la conexión directa entre dos teléfonos. La propagación de ComWar.M es muy limitada, debido a la forma de mandar los archivos infectados ya que los usuarios deben aceptar estos. Esta medida de seguridad implementada por la serie Symbian 60 previene la propagación de posibles códigos maliciosos y por lo que la clásica precaución de no abrir archivos de fuentes no confiables es particularmente relevante en teléfonos celulares. Por último el troyano Banking.G, el cual abre y se pone a la escucha en un puerto aleatorio, además de que el troyano registra lo que el usuario teclea. Las consecuencias potenciales de estas acciones son extremadamente serias, debido a que Banking.G podría obtener detalles de los accesos de los usuarios a los servicios de banca en línea, lo cual podría caer en manos de hackers. Todas las contraseñas (y otra información, tal como direcciones de correo electrónico, direcciones IP, entre otras) son coleccionadas y enviadas ha diversos servidores controlados por hackers. Este es otro ejemplo de los peligros de los nuevos tipos de códigos maliciosos, los cuales están directamente relacionados a los crimenes informáticos. fuente 3月9日 Por 25 Doláres 10000 PC infectadas.Esta es la nueva oferta que se ofrece vía correo electronico. Lo público el ISC chequenlo y este fue enviado a unos de sus usuarios.
Se imaginan ir en el metro y que te vendan PCs infectadas en oferta :p Posiblemente algún dia lo veamos.
2月21日 45k amenazas descubiertas en 2005Según un reporte de Panda software el año pasado se descubrieron casi 45 mil nuevas variantes de malware lo que da en promedio 123 por día.
Esto represento un 240% de crecimiento en comparación con el año pasado. En 2004 fueron 13000.
Lo que destaca de esto es que en 2005 se encontraron 10,000 variantes de bots.
Esto que nos dice, los antivirus se deben de actualizar diario, si se cuenta con un antivirus con carencia de actualizaciones de hace 2 dias, el usuario estaria casi con 250 variantes de malware desconocidas en su antivirus, ahora aumentando a esto las variantes de malware que no son detectadas...
Por eso la recomendación de que los usuarios actualicen sus antivirus y tengan cuidado en lo que ejectuan en el equipo, lo lugares a los que acceden y actualmente hay que cuidarse de hasta donde escuchamos musica.
Ah por cierto en mi opinión muchas de estas variantes de malware son como dice variantes, personas que con malas intenciones modificaron un código o modificaron un virus y con esto ya hay una nueva variante..por eso también es bueno tener la detección heuristica..:p
2月15日 La nueva tendencia de virus es usando google.Estaba leyendo una nota de vnunet entrevistando a alguien de McAffe en la conferencia de RSA, donde este afirmaba que google era algo que los virus iban a explotar y ejemplo de ello era santy el gusano que utilizaba php y google para realizar alteraciones a sitios web.
Además recomienda algunas herramientas como GooScan o Site Digger, para detectar que tanta información tiene google de sus sitios. La segunda herramienta alguna vez la use, es de founstone, pero lo malo es que necesitas algunas cosas más para utilizarlas.
Saludos
Ah la nota esta en:
2月11日 ¿Exageraron los medios de comunicación la nota de blackworm?Estaba leyendo algunos articulos referentes al virus MyWife o blackworm para decirlo de alguna manera y muchos dice que fue lo que paso. Segun un estudio de CAIDA México tuvo el noveno lugar en infecciones por lo ke fuimos de los más vulnerables. :-(
Pero a que se debio tanta publicidad:
*El virus anunciaba en un sitio Web los supuestos equipos infectado. Se detectaron miles de direcciones IP dobles por lo que no fueron tantos.
*Es un virus destructivo que no es detectado por ningun antivurs. A las pocas horas de propagación muchos antivirus tenía la solución y muchos hasta herramientas gratuitas de eliminación crearon.
*Venia con archivos pornos, kamasutra para ser exactos. La gente es muy curiosa y cuando ve algo interesante :-( lo abre sin pensar :-)
+Muchos ISP y router bloqueban este. Es verdad, los lugares donde hubo más infecciones fue debido a que los ISP no realizaron su trabajo bien..ese es el caso de mexico :-(
Es verdad que el virus sigue activo, y borrrara archivos de varias extensiones el tercer día de cada mes pero si ud. tiene Windows no se preocupe cada segundo martes de mes sale la herramienta de detección de código malicios y en la version del próximo martes esta detectara MyWife :-)
Ahora que hacer con los medios para na poner paranoicos a los usuarios. Creo que lo principal seria explicarles la causa de por que este no es peligroso un virus XX y que se puede remediar el problema sin llegar a la paranoia. Espero que esto sea una experiencia más y que sea algo que los medios aprendan para saber controlar la información. pero lamentablemente el ser humano es el unico animal que tropieza con la misma priedra dos veces..pero creo que algunas veces tropezamos más de dos veces, no creen?
2月3日 Blackworm sin muchos daños.Como lo habiamos mecionado en este blog, el gusano Nyxem, Blackworm, CME-24, MyWife, Blackmal o kamasutra, no causo demasiado daño, hasta este momento son pocos los usuarios que se han quejado de este virus. Más información en: El gusano Nixem.E (Blackmal, Kama Sutra) no ha tenido el impacto esperado 2月2日 BlackwormDebido al gran impacto que ha tenido el gusano Blackworm en la comunidad informática, también conocido con el nombre de Nyxem.E, Mywife, Kama Sutra o Blackma. El Departamento de Seguridad en Cómputo mediante su equipo de Seguridad en Windows publico un FAQ con las preguntas más frecuentes para los usuarios en su portal de Usuario Casero.
El FAQ puede ser accedido en la siguiente página: http://www.seguridad.unam.mx/usuario-casero/blackworm.dsc
Recordemos que de acuerdo a los análisis realizados por las distintas firmas antivurs, el día de mañana se activara este gusano, el cual fue programado para activarse cada tercer día de cada mes.
Nyxem, Blackworm, CME-24, MyWife, BlackmalEste es el nombre que se le da al último virus que esta causando sensación y se activa mañana para realizar un borrado de una gran diversidad de archivos entre los que destacan los doc, ppt, xls, rar, zip, etc.
En mi opinión se le esta dando demasiada difusión a este virus debido a que hizo algo que nadie habia realizado, que fue esto, se le ocurrio poner un contador para saber cuantos equipos estaban infectados y el contador lleva más de 500, 000 equipos supuestamente. Ya que se realizo un análisis de los equipos que habian accedido al sitio web para aumentar el contador y se detecto habia muchas direcciones IP duplicadas.
Este virus no explota ninguna vulnerabilidad por lo que es un virus normal y común y corriente. No niego que va a haber varios usuarios con su información eliminada pero esto es porque no tomaron las precausiones debidas. :p
Si creen estar infectados usen estas herramientas:
Si el equipo se encuentra infectado se recomienda reiniciar el equipo al terminar la herramienta y al volver a iniciar ejecutarla nuevamente. Además se pueden usar herramientas de búsqueda y eliminación de virus en línea como: 1月30日 El BIOS podría ocultar rootkitsEstamos viendo nuevos cambios y técnicas de los intrusos, una de esas nuevas es esta. http://www.seguridad.unam.mx/noticias/?noti=1784 Los rootkits estan entrado con fuerza a Windows, pero recuerden que ya hay herramientas para detectarlos de alguna manera. :p 10月5日 Common Malware Enumeration fue aprobada el día de hoyCME fue lanzado oficialmente. Como recordaran hablamos de esto hace algunos días con lo cual se busca estandarizar los nombres de los códigos maliciosos. La iniciativa “Common Malware Enumeration” fue aprobada el día de hoy. Esto fue anunciado por el MITRE el día de hoy con esto anuncio el sitio Web oficial para esta nueva iniciativa el cual es http://cme.mitre.org el cual ya llevaba varios días trabajando. Entre los objetivos de CME están: Para más información en: 9月27日 Estandarizar los nombre del malware.Estaba leyendo un blog y me llamo la atención esta iniciativa por parte del CVE la cual tiene como misión estandarizar los nombre del malware y que por ejemplo un mismo gusano, virus, troyano, etc, sea conocido con el mismo nombre y no tenga una diversidad de nombres lo cual dificulta identificar el problema, crear más confusión o dificultar la búsqueda de más información. La iniciativa se llama "Common Malware Enumeration (CME)" http://cve.mitre.org/cme/ Esperemos que esta propuesta prospere. La forma de nombrar un virus es algo diferente por parte de las casas antivirus pero algo en común es de la siguiente manera: *************************************** Bautizar un virus http://www.hispasec.com/unaaldia/1523 *************************************** 9月5日 ¿Como sabes si un archivo es malicioso o no?Hay dos páginas web que son conocidas pero no para todos por lo que les paso las ligas para que las chequen.
En estas páginas te hacen el analisis de archivos individuales para decirte si son o no son maliciosos....chequenla !!!!!!!!!!!!!!!!!!!!
Esta es una opción sencilla, la otras es realizar un analisis mediante herramientas de sysinternals.. |
|
|
