El blog de Inforc Ecuador » virus

25 años con los virus en internet [Infografía]

Inforc Ecuador — Tue, 22 Mar 2011 23:59:09 +0000

Una interesante infografía que nos muestra la historia de los virus en su aniversario N°25.

Herramienta de eliminación de falsos antivirus (Rogue Software)

Inforc Ecuador — Thu, 13 May 2010 02:16:57 +0000

Durante los últimos meses, hemos venido informando acerca de la gran propagación de los falsos antivirus, sobretodo aprovechando los últimos eventos acaecidos. Ello ha producido que las compañías de seguridad trabajaran a contrarreloj para erradicar estas infecciones.

Hoy les damos a conocer una herramienta gratuita muy útil, en el caso de que nuestro equipo se vea afectado por un falso antivirus, llamada Remove Fake Alert. Dicha herramienta dispone de una base de datos que consigue eliminar más de 50 aplicaciones distintas del tipo Rogue antivirus.

El funcionamiento de la aplicación es muy sencillo. Una vez la hemos descargado y ejecutado, se muestra una ventana donde directamente pulsaremos sobre el botón “Start”.

Nos aparece a continuación una ventana de confirmación, donde se nos pregunta si deseamos empezar a eliminar virus, y pulsamos en “Yes”. A continuación se realizará un análisis del equipo en búsqueda de este tipo de malware:

Una vez acabado el proceso deberemos reiniciar el equipo para terminar de realizar la desinfección. Desde el departamento técnico de Ontinet.com, hemos creído conveniente informar acerca de la existencia de esta herramienta, que nos puede ser de gran utilidad en caso de estar infectados por un falso antivirus. Al igual que también aconsejamos disponer de un software antivirus, activo y actualizado, para evitar ser infectados.

Descargar Remove Fake Alert

Fuente: Blogs Ontinet

Eliminando el virus Conficker, Downadup o Kido

Inforc Ecuador — Tue, 06 Oct 2009 21:51:42 +0000

El gusano Conficker es un malware detectado por primera vez en noviembre del 2008 y que utiliza la vulnerabilidad de Windows reportada y corregida por Microsoft en su boletín MS08-067. Las nuevas variantes de este gusano también se propagan a través de recursos compartidos de la red y a través del archivo autorun.inf de distintos dispositivos de almacenamiento.

Debido a sus altos niveles de infección, ESET creo una herramienta de limpieza para Conficker.

Descargar la herramienta para eliminar Conficker.

Dominios locales utilizados por Conficker

Inforc Ecuador — Tue, 07 Apr 2009 21:55:00 +0000

El fraterno sitio Segu-Info, realizó un estudio sobre los dominios argentinos (.com.ar) que potencialmente podrían ser utilizados para propagar Conficker. Si bien el informe se centra en dominios argentinos, el mismo puede ser aplicado a cualquier dominio latino o mundial, por ese motivo lo hemos adaptado a nuestra jurisdición con los dominios .ec y .com.ec

Estos dominios pueden ser previamente registrados por sus autores para que se descarguen de allí las actualizaciones correspondientes del malware, conformando una Botnet (y un problema de seguridad) de tamaño sin precedentes.

Recientemente se supo del cambio en el malware Conficker (variante C) mediante el cual genera 50.000 nombres de dominios pseudo-aleatoriamente en 116 TLD diferentes, de los cuales intentará descargar actualizaciones generadas por sus autores. Con este diseño pretende sortear las dificultades anteriores, cuando sólo eran 250 dominios distintos por día y, los investigadores y organizaciones coordinados lograban bloquear muchos de esos dominios al registrarlos con anticipación.

Algunas claves IMPORTANTES a destacar del informe.
El NIC local de cada país en particular tiene un compromiso ético, moral y profesional de colaborar para mitigar este problema.

El Conficker Working Group dice haber notificado con 3 semanas de anticipación a cada responsable de los TLD involucrados. Para el caso de Argentina, NIC.ar recibió este pedido:

“Se requiere que actué inmediatamente – faltan solo tres semanas para el 1° de abril, la fecha proyectada en la que los administradores de la red bot retomaran el control de la botnet – y le estamos pidiendo a todos los registrantes que actúen al menos, sino con más, de una semana antes en que los dominios vayan a ser registrados”.

Resumiendo, NIC.ec debe estar al tanto de este importante problema y sería bueno que comuniquen a los medios y a la comunidad sobre las actividades que se están llevando a cabo en este sentido. Por ahora, no se conoce pronunciamiento alguno al respecto.

Destacar también que son 440 los dominios .ec (ninguno .com.ec) comprometidos, en la consulta de DNS de 60 dominios, ninguno consta registrado, faltaría verificar los 380 dominios restantes para comprobar cuales ya han sido registrados.

Descargar archivo .Txt con los dominios (globales) comprometidos
Puede ingresar y descargar el informe desde la página de Segu-Info.

Eliminando Conficker y Mebroot con ESET

Inforc Ecuador — Thu, 29 Jan 2009 16:46:00 +0000

Ahora que millones de usuarios están desesperados debido a la infección de sus equipos por el ya famoso virus Conficker, ESET pone a disposición una serie de herramientas gratuitas para los usuarios de otras soluciones de seguridad contra ciertos malware que causaron altos niveles de infección y que además presentan cierta complejidad para su limpieza total.

Estas herramientas sólo eliminan el malware mencionado y están disponibles para todos los usuarios interesados, aunque además es recomendable la exploración con ESET Online Scanner o la descarga de evaluación de ESET NOD32 o ESET Smart Security, en caso que haya otros malware en el sistema.

Conficker
También conocido como Downadup o Kido, el gusano Conficker es un malware detectado por primera vez en noviembre del 2008 y que utiliza la vulnerabilidad de Windows reportada y corregida por Microsoft en su boletín MS08-067. Las nuevas variantes de este gusano también se propagan a través de recursos compartidos de la red y a través del archivo autorun.inf de distintos dispositivos de almacenamiento.
Debido a sus altos niveles de infección, ESET creo una herramienta de limpieza para Conficker.

Mebroot
También conocido como Mbroot, StealthMBR o Sinowal, el rootkit Mebroot es un código malicioso que fue detectado por primera vez durante enero del 2008 y se instala en el sector de arranque del disco rígido (MBR) dificultando la limpieza de dicho malware y permitiendo al rootkit estar activo desde antes del inicio del Sistema Operativo. Mebroot además también descarga otros códigos maliciosos al sistema del usuario.
Debido a su propagación y su complejidad, ESET creo una herramienta de limpieza para Mebroo.

Enlace: Cryptex

Miscelánea de virus informáticos – octubre de 2008

Inforc Ecuador — Fri, 28 Nov 2008 13:20:00 +0000

El programa nocivo más codicioso para bancos
Este mes, Trojan-Spy.Win32.Bzub.cqz puso fin a la tiranía de la familia Banker y se coronó rey de esta categoría. Bzub ataca a los clientes de 34 bancos diferentes.

El programa nocivo más codicioso para sistemas de dinero electrónico
Trojan.Win32.Agent.afhy es el líder de esta categoría y se mantiene en la cima atacando a los clientes de 4 diferentes sistemas de pago electrónico.

El programa nocivo más codicioso para sistemas de tarjetas de crédito
La familia Agent no se deja vencer: este mes, Trojan.Win32.Agent.agyz obtuvo el título de esta categoría por tratar de robar los datos de 5 sistemas de tarjetas de crédito.

El programa nocivo más empaquetado
La conocida familia Hupigon, que suele deleitarnos con su presencia en esta categoría, vuelve a aparecer en nuestro Bestiario Virtual. Esta vez, Backdoor.Win32.Hupigon.btl es quien se lleva el título por estar empaquetado sucesivamente por 8 diferentes programas de compresión.

El programa nocivo de menor tamaño
Aunque pesa sólo 20 bytes, Trojan.BAT.Killall.an puede borrar todos los archivos del disco.

El programa nocivo de mayor tamaño
La dieta de Trojan.Win32.Haradong no duró mucho tiempo. Este mes, la modificación .ga de este troyano, que pesa 200MB, ganó un puesto en nuestro Bestiario Virtual.

La vulnerabilidad más aprovechada de Internet
En octubre, Exploit.SWF.Downloader.hn fue el responsable del 2,3% de todo el contenido nocivo detectado en la red.

El programa nocivo más difundido en Internet
Este mes, Trojan-Downloader.Win32.IstBar.cx fue el programa nocivo más común en Internet, constituyendo nada menos que el 2,1% de todo el contenido nocivo detectado.

La familia de troyanos más propagada
La familia Hupigon no deja de crecer. Este mes, Backdoor.Win32.Hupigon vuelve a aparecer en esta categoría. Pero no viene solo: trae consigo 3.891 nuevas modificaciones.

La familia de virus y gusanos más propagada
Nadie logra robar la corona de Worm.Win32.AutoRun, que se mantuvo a la cabeza de esta categoría durante el mes de octubre.
Y para ello no debe esforzarse mucho: este mes, el gusano procreó 651 nuevas modificaciones, poco menos que las 655 de septiembre.

Fuente: Kaspersky Lab

El 70% de los ordenadores domésticos contiene virus o programas espía

Inforc Ecuador — Sun, 13 May 2007 10:18:00 +0000

Más de la mitad del ‘malware’ detectado es de alto riesgo porque puede dañar los equipos o derivar en un engaño o fraude.

Es la nota que nos trae Diario El País este día 13 de mayo, con las conclusiones del informe del Instituto Nacional de Tecnologías de la Comunicación (Inteco), el organismo del Ministerio de Industria que vigila la seguridad en la Red, tras rastrear una muestra de 3.500 ordenadores donde ha instalado sensores para detectar estos programas.

Internet sigue siendo seguro y, sobre todo, insustituible. Pero hay que poner cada día más cuidado con lo que llega al ordenador a través de la Red. Y es que en siete de cada diez ordenadores domésticos con acceso a Internet (el 72%) se ha introducido algún tipo de programa de software malicioso no solicitado por el usuario (denominado en argot malware). No sólo ni principalmente se trata de los famosos virus informáticos, sino de todo tipo de programas que buscan obtener información o datos personales del usuario con fines espurios.

Además, en más del 50% de esos ordenadores esos programas son de alto riesgo, bien porque pueden causar un daño irreparable en el equipo, bien porque pueden derivar en algún tipo de engaño o fraude.

Lo que significa algo que es previsible, los usuarios domésticos no invertimos en seguridad, por ese motivo la mayoría de los ataques están dirigidos a este importante segmento de la población. Es hora de pensar en serio, es qué ni siquiera hace falta invertir, para empezar, existen excelentes recursos freeware y open source que están dedicados a ayudarle en esta tarea.

Miscelánea de virus informáticos

Inforc Ecuador — Thu, 26 Apr 2007 12:18:00 +0000

El mundo de los programas nocivos está lleno de curiosidades. Para crear la colección virtual de los programas nocivos más destacables, se instituyen 10 nominaciones, en cada una de las cuales “triunfará” uno de los programas nocivos detectados en el mes anterior.

Entonces, empecemos.

Nominación “el programa malicioso más codicioso para bancos“. En febrero el triunfador en esta nominación fue una de las modificaciones de Trojan-Spy.Win32.Banker.em, que demostró interés por unos cincuenta bancos. Todos los bancos de su lista están en Brasil, lo que es un testimonio indirecto de su origen. Estos últimos tiempos, lamentablemente, observamos la tendencia de crecimiento del número de programas que atacan a varios bancos al mismo tiempo.
Nominación “el programa malicioso más codicioso para sistemas de dinero electrónico“. En esta nominación triunfó Trojan-Spy.Win32.Banker.z. Es curioso que este programa troyano demuestra interés por tres sistemas de tarjetas de pago al mismo tiempo. Pero sus apetitos no se limitan a eso. También roba datos financieros de los usuarios de muchos otros bancos, lo que permite sacar conclusiones sobre el complejo sistema que su autor usa para lucrar.
Nominación “el programa malicioso más codicioso para sistemas de tarjetas de crédito“. Aquí el vencedor es Backdoor.Win32.Neodurk.13, que además de sus funciones nocivas de administración remota, también se interesa por los datos de acceso a tres sistemas de tarjetas de crédito.
Nominación “el programa nocivo más encubierto“. El ganador en esta nominación es una de las modificaciones de Backdoor.Win32.Rbot.gen, que venía empaquetado ocho veces (!) por diferentes programas de empaquetamiento de archivos ejecutables, con la esperanza de que el programa antivirus no llegue a alcanzar el código nocivo.
Nominación “el programa nocivo de menor tamaño”. Esta nominación la conquistó el pequeño Trojan.BAT.DeltreeY.af, de sólo 19 bytes. Es un troyano primitivo, que como su nombre lo indica, elimina catálogos. Entre sus víctimas está el catálogo del sistema operativo Windows, que al ser eliminado trae muy tristes consecuencias
Nominación “el programa nocivo de mayor tamaño“. Según los resultados de febrero, el “gigante” es Trojan-Spy.Win32.Bancos.rv. Su tamaño es de 13MB, lo cual no guarda ninguna relación con la pequeña cantidad de funciones de este ejemplar.
Nominación “el programa nocivo más hostil“. Usa un montón de trucos para oponerse al sistema de protección del ordenador. El líder es Backdoor.Win32.Aebot.e que elimina los medios de protección de muchas maneras: los destruye en la RAM, detiene los servicios del sistema y bloquea las actualizaciones. También destruye por decenas los medios de defensa de los usuarios: diferentes cortafuegos (firewalls), utilidades de monitorización del sistema, productos antivirus, etc.
Nominación “el programa nocivo más difundido en el tráfico de correo“. Según los resultados de febrero de 2007, este lugar lo ocupa Email-Worm.Win32.NetSky.t, que a pesar de ser bastante viejo, sigue ocupando cerca del 15% del tráfico postal.
Nominación “la familia de troyanos más propagada”. El vencedor en esta nominación es la familia Trojan-Downloader.Win32.Small que se destacó porque en un mes se detectaron 343 de sus modificaciones. En la actualidad, el uso de este tipo de pequeños troyanos se está intensificando para contagiar a los usuarios de diferentes sitios web, y este hecho ha repercutido en la cifra mencionada.
Nominación “la familia de virus y gusanos más propagada“. La familia más propagada de virus y gusanos según los datos de febrero es Warezov, con más de 118 diferentes modificaciones.

Fuente: Kaspersky. Visto en: Viruslist

El Estado de la Seguridad en Internet

Inforc Ecuador — Mon, 23 Apr 2007 23:55:00 +0000

Según el último informe de Webroot, el malware sigue haciendo mella en las empresas de todo el mundo. De hecho, un 43% de ellas han visto interrumpido su negocio debido a los programas maliciosos o malware. Como consecuencia de la infección provocada por estos programas “espía”, un 26% de las empresas confiesan haber expuesto información confidencial a los ciberdelincuentes.

Los ataques más frecuentes son:
el correo basura (85%),
la publicidad no deseada (67%),
los virus (61%),
las estafas mediante webs o correos falsos (51%)
y los troyanos (39%).

Y algo preocupante, se ha descubierto que ya son unos 4,2 millones de páginas de Internet de todo el mundo, de una muestra de 250 millones, las que albergan software dañino. Sólo durante el 2006 se descubrieron casi 3 millones de estas páginas peligrosas.

Informe Completo: Webroot. Fuente: Noticias.com

Variante del exploit de VML continúa propagándose por Internet

Inforc Ecuador — Wed, 27 Sep 2006 13:43:00 +0000

Una nueva variante del exploit de VML continúa propagándose por Internet durante los últimos días, y que nuevas variantes del gusano de correo electrónico Stration comienzan a propagarse por América Latina.

El HTML/Exploit.VMLFill aprovecha una vulnerabilidad en Microsoft Internet Explorer, detectada el 18 de septiembre, la cual es ocasionada por un error del programa al manejar el lenguaje VML (Vector Markup Language), que provoca un desbordamiento de buffer. La aplicación afectada por esta vulnerabilidad es Internet Explorer 5.0 y cualquier versión superior siendo vulnerables todos los sistemas operativos Windows XP, 2000 y 2003.

El problema se produce en el componente VGX.DLL y Microsoft publicó un aviso de seguridad (Microsoft Security Advisory 925568), donde reconoce el problema, e informa algunas pautas para proteger los equipos vulnerables hasta que se publique un parche (estimado para octubre). El comunicado de Microsoft puede verse en la siguiente dirección: http://www.microsoft.com/technet/security/advisory/925568.mspx.

Según reportes del propio Microsoft, la vulnerabilidad está siendo explotada a través de sitios web maliciosos, por medio de páginas HTML modificadas especialmente. Al ser una vulnerabilidad zero-day (explotada previo a la publicación del parche), sin solución inmediata a la vista, la aparición de exploits no se hizo esperar y aprovechándose de estas condiciones, permite instalar otros malware (como troyanos y backdoors) en el sistema afectado.

Por otro lado, el Win32/Stration comenzó a propagarse por América Latina, aunque en sus comienzos la zona de habla hispana no había sido afectada, ya que su principal fuente de propagación había sido el continente europeo.

El Stration es un gusano de correo electrónico que se envía como adjunto en un mensaje a toda la lista de direcciones del sistema infectado. Además, posee la capacidad de descargar y ejecutar otros componentes de Internet, intenta deshabilitar el acceso a sitios webs relacionados con aplicaciones de seguridad y es capaz de eliminar los procesos correspondientes a estas aplicaciones. Además se han detectado variantes que utilizan la Ingeniería Social para engañar al usuario, como es el caso de las últimas variantes que simulan ser actualizaciones de Microsoft.

La solución para los usuarios que fueron infectados por este malware

Eset NOD32 desarrolló una herramienta de limpieza de las modificaciones que realiza el Stration en el registro de Windows, la cual puede descargarse desde: http://www.nod32.it/getfile.php?tool=StrationFix

Más información: www.eset-la.com
Gracias a Andrés Tamburi por la actualización.

UPDATE:
Microsoft libera un parche urgente para la vulnerabilidad de VML de Internet Explorer.