 |
| |||
 |
miércoles, 12 de septiembre de 2007
Alerta por un troyano que se difunde por MSN Messenger
Variante de SdBot/SillyIM propagandose por MSN Messenger (IMG-0012.zip)
En las últimas horas una nueva variante de Win32/SdBot (NOD32) o W32.SillyIM (Symantec) ha estado propagándose muy rápidamente vía MSN Messenger. El mismo envía mensajes en español, inglés y portugués (según versiones), los siguientes son algunos de los textos transmitidos a los contactos del usuario infectado:
, al mismo tiempo intenta enviar un archivo comprimido en ZIP con el siguiente nombre:
, el cual contiene un ejecutable cuya extensión COM intenta ser disimulada colocando una URL en su nombre:
Cuando se ejecuta, se copia a sí mismo en el directorio:
, copia el archivo ZIP dentro de:
y crea la siguiente entrada en el resgistro:
NOTA: Algunos nombres de archivos y rutas pueden variar según la variante del virus, actualmente las detallas anteriormente son las que se he encontrado durante las pruebas realizadas.
Reparación manual
1 - Actualice su antivirus.
2 - Reinicie Windows en “Modo a prueba de fallos”
Si no sabe como hacerlo, puede leer esta pequeña guia de VSAntivirus:
http://www.vsantivirus.com/faq-modo-fallo.htm
3 - Elimine lo siguientes archivos:
4 - Elimine la siguiente clave del registro:
5 - Ejecute su antivirus y analice su equipo en busca de malware.
6 - Reinicie su equipo.
7 - Vuelva a analizar su sistema con su antivirus.
También es recomendable que descargue y ejecute MSNCleaner con Windows en Modo a prueba de fallos, el mismo detecta y elimina este y otros virus/troyanos de común propagación por la red de MSN Messenger.
oye voy a poner esa foto de nosotros en mi myspace
jaja debes poner esa foto como foto principal en tu myspace o algo
jaja recuerda cuando tuviste el pelo asi
hola esas son las fotos
oye voy a agregar esa foto a mi blog ya
hey i’m going to add this picture of us to my weblog
Here are my private pictures for you
, al mismo tiempo intenta enviar un archivo comprimido en ZIP con el siguiente nombre:
IMG-0012.zip
, el cual contiene un ejecutable cuya extensión COM intenta ser disimulada colocando una URL en su nombre:
img0012-www.photostorage.com
Cuando se ejecuta, se copia a sí mismo en el directorio:
c:\windows\system\lsass.exe (Tiene un tamaño aproximado de 25kb)
, copia el archivo ZIP dentro de:
c:\windows\IMG-0012.zip
y crea la siguiente entrada en el resgistro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”
NOTA: Algunos nombres de archivos y rutas pueden variar según la variante del virus, actualmente las detallas anteriormente son las que se he encontrado durante las pruebas realizadas.
Reparación manual
1 - Actualice su antivirus.
2 - Reinicie Windows en “Modo a prueba de fallos”
Si no sabe como hacerlo, puede leer esta pequeña guia de VSAntivirus:
http://www.vsantivirus.com/faq-modo-fallo.htm
3 - Elimine lo siguientes archivos:
c:\windows\system\lsass.exe (puede estar oculto)
c:\windows\IMG-0012.zip
4 - Elimine la siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
lsass = “c:\windows\system\lsass.exe”
5 - Ejecute su antivirus y analice su equipo en busca de malware.
6 - Reinicie su equipo.
7 - Vuelva a analizar su sistema con su antivirus.
También es recomendable que descargue y ejecute MSNCleaner con Windows en Modo a prueba de fallos, el mismo detecta y elimina este y otros virus/troyanos de común propagación por la red de MSN Messenger.
Fraude con el tema "BANAMEX"
De todos los correos SPAM con Phishing, es decir, promocionando algún fraude, este me ha hecho gracia, parece que cada vez se pulen mas para lograr su objetivo.
He recibido este correo con el tema de Banamex me comunica sobre la inseguridad de los servicios de los Bancos. Es casi como escupir para arriba.
y el Texto que incluye es el siguiente:
----------------------------------------------------
Grupo Financiero Banamex le comunica:
Banamex la comunica que en los últimos meses del año en curso Se han encontrado muchas anomalías de fraudes cibernéticos en todas las Instituciones bancarias por lo tanto nosotros nos comprometemos a brindarle un mejor servicio y ahora los servidores han sido cambiados y modificados con la mejor seguridad en encriptación de datos para una mayor seguridad esperamos que se sienta libre y sin ninguna preocupacion al navegar por BancaNet con toda la seguridad que usted se merece Atentamente Grupo Financiero Banamex.
Puede entrar a su cuenta haciendo click sobre la imagen correspondiente a su tipo de cuenta. Con esta acción su cuenta quedará actualizada de forma permanente.
Empresas Personas
Banamex pone a tu disposición, sin costo adicional nuevos servidores que cuentan con la última tecnologia en protección y encriptación de datos.
Banamex
Le recordamos que últimamente se envian e-mails de falsa procedencia con fines fraudulentos y lucrativos. Por favor nunca ponga los datos de su tarjeta bancaria en un mail asegurese que sea sitio original.
“D.R. © Copyright 2007, Derechos Reservados.
Banco Nacional de México, S.A., integrante de Grupo Financiero Banamex.
Isabel la Católica 44. Col. Centro Histórico. Del. Cuauhtémoc. C.P. 06000, México, Distrito Federal, México.
------------------------------------------------------------
Inclisuve manejan una linea de atención. El enlace que promociona es
http://www.charlieday.net/gbook/tmp/bana/bancaempresarial/
Asi que tengan cuidado.
Así será el primer Service Pack para Windows Vista
Microsoft ha dado a conocer oficialmente los primeros detalles del que será su primer Service Pack para el nuevo Windows Vista después de algunas semanas de especulación sobre el tema.
Guillem Alsina (guillem@imatica.org) - Durante las últimas semanas han saltado a la palestra informativa de Internet diversas aseveraciones y sus correspondientes desmentimientos posteriores sobre el futuro primer Service Pack para Windows Vista. Finalmente Microsoft se ha decidido ha facilitar información oficial y lo ha hecho por boca del mismo equipo de desarrollo que trabaja en este proyecto.
En primer lugar parece que Microsoft quiere dar con este service pack una imagen diferente a la que han tenido el resto de Service Packs editados hasta la fecha, y que no es otra que la función de corregir errores. Lo que se pretende con este es que los usuarios lo perciban como una ampliación y mejora de las funcionalidades existentes en el sistema operativo, y no como una serie de parches de seguridad ni como una adición de funcionalidades nuevas.
Lo primero que se ha buscado mejorar es el rendimiento y la estabilidad del sistema, ya que aunque menos criticado que Windows XP en sus orígenes por estos aspectos, siguen siendo una fuente de críticas y problemas para los usuarios.
La compatibilidad de las aplicaciones existentes hasta la fecha para Windows 2000/XP con Vista e incluso de los nuevos programas es una de las cuestiones más preocupantes para los usuarios y que más críticas ha recibido, con lo que se intenta mejorar en este primer paquete de servicio.
Finalmente, el soporte de nuevo hardware y estándares también se verá mejorado, como por ejemplo para las placas base que utilicen EFI (Extensible Firmware Interface) en lugar de la clásica BIOS, un soporte que Vista no lleva de serie.
La creación de este Service Pack ha sido realizada basándose en el feed-back recibido de los usuarios en estos seis meses de vida activa de Windows Vista, a lo que se han sumado -como por otra parte ya es tradicional en cualquier Service Pack de Microsoft- todas las actualizaciones liberadas hasta la fecha para el sistema operativo.
Técnicamente
Algunas de las mejoras concretas que podremos encontrar en el SP1 para Windows Vista son:
- Inclusión de API’s (Application Program Interface) para que el software de seguridad de terceras partes pueda trabajar con el sistema de protección del kernel en máquinas con arquitecturas de 64 bits.
- Mejora de la seguridad al trabajar con la aplicación de escritorio remoto al permitir firmar las conexiones RDP (Remote Desktop Protocol).
- Mejora la protección BDE (BitLocker Drive Encryption), utilizada para encriptar volúmenes de disco enteros con el objetivo de proteger la información guardada en ellos. A partir de ahora ya se podrán encriptar unidades diferentes de la C: .
- Aumentada la compatibilidad con las tarjetas gráficas de nueva generación.
- Mejorado el rendimiento cuando se trabaja con una pantalla externa conectada a una computadora portátil.
- También para máquinas portátiles, se ha mejorado la gestión del modo de suspensión.
- Mejorada la configuración de redes.
- Los sistemas informáticos que se han actualizado desde Windows XP a Vista serán más estables aún.
- Aumentado el número de drivers de impresora.
- Aumenta la velocidad de copiado y extracción de ficheros.
- El sistema necesita menos tiempo para “despertarse” desde los modos de hibernación y suspensión.
- Mejorada la velocidad de trabajo de los sistemas que están dados de alta en un dominio cuando trabajan desconectados de él, ya que un pequeño bug hacía que, por ejemplo, la velocidad de abrir el cuadro de diálogo para guardar ficheros fuese muy lenta.
- Mejorada la velocidad de ejecución del Internet Explorer 7.
- La herramienta de diagnóstico de redes permitirá a partir de ahora resolver también incidentes derivados de la compartición de ficheros además de los temas básicos de conectividad que resuelve ahora.
- Para los administradores de sistemas, el editor de Pólizas de Grupo (Group Policy) cambiará simplificándose su uso.
- Añadido soporte para sistemas de ficheros exFAT (Extended FAT), introducido con Windows CE 6.0 y que se propone como una alternativa al sistema de ficheros NTFS cuando este no es la solución adecuada, por ejemplo en el uso de unidades de almacenamiento con tecnología Flash.
- Añadido soporte para Direct3D 10.1 .
Durante las próximas semanas, y según ha avanzado el equipo de desarrollo de este primer Service Pack, tendremos disponible una primera beta para un círculo cerrado de betatesters. Como fecha definitiva para su liberación se baraja el primer trimestre de 2008, aunque actualmente dicha fecha no es en absoluto segura, por lo que es más que probable que se retrase todavía algunas semanas o meses.
Actualmente, y aún en fase de desarrollo, el “peso” del SP1 es de unos 50 megabytes, y hay tres maneras de instalarlo, aunque todo esto es posible que varíe hasta la liberación definitiva del paquete.
Más información:
Nuevas vulnerabilidades críticas en Internet Explorer 6 y 7
Internet Explorer había estado un poco al margen de problemas de seguridad críticos en las últimas semanas, pero nuevamente el navegador de Microsoft vuelve a las andadas. Symantec, empresa de desarollo de software de seguridad informática, reporta nuevas vulnerabilidades críticas en Internet Explorer 6 e Internet Explorer 7 en Windows 2000, XP, Server 2003 y Vista.Tales problemas se pueden aprovecharse a través de una página Web maliciosamente modificada o correo electrónico en formato HTML para que el sistema de la víctima descargue un malware sin su conocimiento, lo cual le permitiría al atacante la ejecución de código arbitrario.
Aún no hay actualización o parche temporal que solvente estas vulnerabilidades. Así que por el momento, para quienes usen Internet Explorer, hay que irse con precaución de las páginas Web que se visitan y de los correoes electrónicos que se abren.
Enlace | Detectan nuevas vulnerabilidades en Internet Explorer y Windows
El 59% de las empresas podría tener malware
Una mala noticia para todos y especialmente para el mundo empresarial, y es que un reciente estudio de la empresa de desarollo de software de seguridad informática, Panda Security, indica que un 59% de empresas con más de 20 computadoras podría tener malware o software malicioso en sus sistemas.Para este reporte, se analizaron más de 4.500 organizaciones con la aplicación Malware Radar, y el reporte también indica que un 47% de las empresas con menos de 20 computadoras tienen malware, en el caso de las empresas con menos de 10 equipos el porcentaje sería de un 37%. Borja Bonilla, gerente de producto de Malware Radar, comenta que la circulación de aplicaciones maliciosas ha incrementado de manera importante.
Así que todos los empresarios deberían tener más atención con la seguridad en sus sistemas, pues un ataque bien aprovechado podría traer muchas pérdidas.
Información | ELPAÍS
DriverMax
DriverMax es una herramienta con la que podremos reinstalar todos los controladores (drivers) de Windows de forma sencilla.DriveMax realiza una copia de los controladores en una carpeta o archivo comprimido. Si algún día tenemos que volver a reinstalar el sistema operativo tendremos todos los controladores almacenados en el mismo sitio y utilizando DriveMax podremos volver a instalarlos.
DriveMax está disponible para Windows XP y Vista. Es un programa gratuito, pero necesitamos facilitar una dirección de correo electrónico para que nos suministren el código de registro.
Enlace: DriveMax
DriveMax está disponible para Windows XP y Vista. Es un programa gratuito, pero necesitamos facilitar una dirección de correo electrónico para que nos suministren el código de registro.
Enlace: DriveMax
Ext2 IFS
Ext2 IFS es una aplicación con la que podemos tener acceso a las particiones Ext2 y Ext3 desde Windows. Nos ofrece acceso a las particiones en modo lectura y escritura.Ext2 IFS es un programa gratuito, pero no libre. Si has conseguido tener acceso a tus particiones NTFS de Windows desde tu distribución de Linux favorita ha llegado el momento de darle la vuelta a la situación.
Enlace: Ext2 IFS
Enlace: Ext2 IFS
Configurar COMODO Firewall para Emule
Daré por hecho que ya esta instalado y en español, si lo tienes en ingles tampoco es muy difícil seguir las instrucciones.
Para empezar...
- Lo primero que hay que saber son nuestros puertos TCP y UDP del emule.
Para ello nos vamos al emule Preferencias/Conexión
Como muestra la imagen.
En mi caso los puertos son:
TCP: 50392
UDP: 38496
En vuestro caso serán números diferentes.
- Lo segundo es saber nuestra ip.
Para ello tenéis que ir a la ventana principal de vuestro COMODO Firewall y mirar en la zona de abajo a la derecha donde te marca tu IP como muestra en la siguiente imagen...
En mi caso mi numero ip es el 192.168.0.2, en vuestro caso puede ser una ip diferente.
ATENCION: apuntad vuestro numero de IP SOLO si vuestra ip es fija, si vuestra ip es dinamica... es decir, va cambiando por cada conexion nueva que hagais, no hara falta, ya explicare mas abajo que hay que hacer en cada caso.
Con nuestros puertos TCP y UDP sabidos y nuestra IP ya podemos ir a configurar nuestro COMODO para que deje paso al emule con ID Alta.
--------------------------------------------------------------
1º Ir a la sección "Seguridad/Monitor de red"
Nos encontramos con esta pantalla
2º Pulsamos en el botón Agregar y creamos la regla para el puerto TCP.
La cosa quedaría tal que así...
- Permitir
- TCP
- Entrada
- IP origen: [Cualquiera]
- IP destino:
Si nuestra IP es fija [IP Única: 192.168.0.2]
Si nuestra IP es dinamica [Cualquiera]
- Puerto origen: [Cualquiera]
- Puerto destino: [Puerto Único: 50392]
Por ultimo le damos a OK.
*Recordad sustituir el número IP y el número de puerto TCP por el que tengáis vosotros y tened en cuenta si vuestra ip es fija o dinamica para configurar segun sea el caso en IP Destino.
En imágenes:
3º Ahora volvemos a pulsar en el botón Agregar para crear la regla para el puerto UDP.
La cosa quedaría tal que así...
- Permitir
- UDP
- Entrada
- IP origen: [Cualquiera]
- IP destino:
Si nuestra IP es fija [IP Única: 192.168.0.2]
Si nuestra IP es dinamica [Cualquiera]
- Puerto origen: [Cualquiera]
- Puerto destino: [Puerto Único: 38496]
Por ultimo le damos a OK.
*Recordad sustituir el número IP y el número de puerto UDP por el que tengáis vosotros y tened en cuenta si vuestra ip es fija o dinamica para configurar segun sea el caso en IP Destino.
En imágenes:
La pantalla de Monitor de red nos quedaría así.
AHORA HAY QUE HACER UNA COSA MUY IMPORTANTE.
La configuración de estas reglas funciona como por "capas" y si dejamos la configuración tal cual nos a quedado el emule seguirá dando problemas. ¿Porque? Porque la regla numero 5 ya bloquearía los accesos y las reglas 6º y 7º que hemos creado ya no harían efecto puesto que hay una regla anterior que las bloquea.
Para solucionarlo, lo que debemos hacer es mover la actual regla numero 5 "Bloquear y registrar" a la ultima posición, es decir, a la posición 7º. Para ello seleccionamos la regla y con el botón "Bajar" lo bajamos a la última posición, SIEMPRE, a la última posición, para que no obstruya nuestras anteriores reglas.
La pantalla nos quedaría así.
Ahora nos vamos al Emule y nos conectamos.
Si todo a salido bien ya tendremos una ID Alta con toda la buena protección de COMODO Firewall.
Para otros programas P2P como el Ares y el Utorrent el sistema es el mismo. Hacer las mismas reglas para cada programa en el mismo lugar y con los puertos que utilice cada programa y bajar la regla "Bloquear y registrar" a la ultima posicion para que no interfiera en nuestras nuevas reglas.
Para empezar...
- Lo primero que hay que saber son nuestros puertos TCP y UDP del emule.
Para ello nos vamos al emule Preferencias/Conexión
Como muestra la imagen.
En mi caso los puertos son:
TCP: 50392
UDP: 38496
En vuestro caso serán números diferentes.
- Lo segundo es saber nuestra ip.
Para ello tenéis que ir a la ventana principal de vuestro COMODO Firewall y mirar en la zona de abajo a la derecha donde te marca tu IP como muestra en la siguiente imagen...
En mi caso mi numero ip es el 192.168.0.2, en vuestro caso puede ser una ip diferente.
ATENCION: apuntad vuestro numero de IP SOLO si vuestra ip es fija, si vuestra ip es dinamica... es decir, va cambiando por cada conexion nueva que hagais, no hara falta, ya explicare mas abajo que hay que hacer en cada caso.
Con nuestros puertos TCP y UDP sabidos y nuestra IP ya podemos ir a configurar nuestro COMODO para que deje paso al emule con ID Alta.
--------------------------------------------------------------
1º Ir a la sección "Seguridad/Monitor de red"
Nos encontramos con esta pantalla
2º Pulsamos en el botón Agregar y creamos la regla para el puerto TCP.
La cosa quedaría tal que así...
- Permitir
- TCP
- Entrada
- IP origen: [Cualquiera]
- IP destino:
Si nuestra IP es fija [IP Única: 192.168.0.2]
Si nuestra IP es dinamica [Cualquiera]
- Puerto origen: [Cualquiera]
- Puerto destino: [Puerto Único: 50392]
Por ultimo le damos a OK.
*Recordad sustituir el número IP y el número de puerto TCP por el que tengáis vosotros y tened en cuenta si vuestra ip es fija o dinamica para configurar segun sea el caso en IP Destino.
En imágenes:
3º Ahora volvemos a pulsar en el botón Agregar para crear la regla para el puerto UDP.
La cosa quedaría tal que así...
- Permitir
- UDP
- Entrada
- IP origen: [Cualquiera]
- IP destino:
Si nuestra IP es fija [IP Única: 192.168.0.2]
Si nuestra IP es dinamica [Cualquiera]
- Puerto origen: [Cualquiera]
- Puerto destino: [Puerto Único: 38496]
Por ultimo le damos a OK.
*Recordad sustituir el número IP y el número de puerto UDP por el que tengáis vosotros y tened en cuenta si vuestra ip es fija o dinamica para configurar segun sea el caso en IP Destino.
En imágenes:
La pantalla de Monitor de red nos quedaría así.
AHORA HAY QUE HACER UNA COSA MUY IMPORTANTE.
La configuración de estas reglas funciona como por "capas" y si dejamos la configuración tal cual nos a quedado el emule seguirá dando problemas. ¿Porque? Porque la regla numero 5 ya bloquearía los accesos y las reglas 6º y 7º que hemos creado ya no harían efecto puesto que hay una regla anterior que las bloquea.
Para solucionarlo, lo que debemos hacer es mover la actual regla numero 5 "Bloquear y registrar" a la ultima posición, es decir, a la posición 7º. Para ello seleccionamos la regla y con el botón "Bajar" lo bajamos a la última posición, SIEMPRE, a la última posición, para que no obstruya nuestras anteriores reglas.
La pantalla nos quedaría así.
Ahora nos vamos al Emule y nos conectamos.
Si todo a salido bien ya tendremos una ID Alta con toda la buena protección de COMODO Firewall.
Para otros programas P2P como el Ares y el Utorrent el sistema es el mismo. Hacer las mismas reglas para cada programa en el mismo lugar y con los puertos que utilice cada programa y bajar la regla "Bloquear y registrar" a la ultima posicion para que no interfiera en nuestras nuevas reglas.
Tarjetas de Gusanito falsas, creadas a gusto del usuario
Juancho nos informa que se están detectado sitios que ayudan a la creación de tarjetas virtuales a cualquier usuario que desee robar usuarios y contraseñas a otras personas. Este ataque se realiza a medida del usuario.
Se recibe un mensaje del remitente ecards @ cards.gusanito.com con notificaciones de supuestas tarjetas virtuales del servicio Gusanito
El mensaje incluso es enviado por contactos que no existen, los cuales el atacante puede inventar. Se nos da un enlace para abrir la postal, tal y como se hace desde el sistema original, pero dicho enlace lleva a una web totalmente distinta de gusanito o de hotmail.
Como es costumbre en estos casos, aparecerá como si hubieramos perdido la sesión de hotmail, solicitando de nuevo la clave.
La web implicada en el sitio falso, http://[eliminado]peru.com/, parece ser un sitio serio y que desconoce de esta situación, pero si se mira sus listas de enlaces recomendados puede verse que uno de ellos pertenece al sitio donde se aloja la interfaz web para que el atacante realice su postal a medida.
La victima entonces cree que esta interactuando con hotmail e ingresa sus datos inocentemente. Estos datos llegarán a un correo que el atacante especificó a la hora de crear el ataque. Aquí también podemos ver que se roban los datos (como el correo) de la persona que está creando la tarjeta.
Luego, la victima es enviada a una supuesta postal que no carga completamente y la cual esta alojada en un servidor distinto de Gusanito, por supuesto.
El atacante cuenta con un sistema basado en web que genera estos mensajes con una interfaz muy facil de manejar, por lo que cualquier usuario sin demasiados conocimientos puede hacerlo.
Este tipo de "ataque" han existido siempre y seguirán existiendo mientras haya personas inescrupulosas que los utilicen.
Como comentario, si se utiliza Firefox como navegador, detecta este caso phishing y lo informará al usuario como sitio falsificado.
Actualización 21:15: luego de realizar todo el procedimiento verificamos que la contraseña robada nunca llega al atacante que crea la tarjeta virtual. Es decir que el supuesto atacante también es engañado y las personas que crearon los sitios falsos son los que se llevan los premios de las contraseñas recolectadas.
Lección a aprender: si deseas engañar a alguien mira con quien te mides antes, no vayas a ser tu el engañado.
Gracias Juan!
Se recibe un mensaje del remitente ecards @ cards.gusanito.com con notificaciones de supuestas tarjetas virtuales del servicio Gusanito
El mensaje incluso es enviado por contactos que no existen, los cuales el atacante puede inventar. Se nos da un enlace para abrir la postal, tal y como se hace desde el sistema original, pero dicho enlace lleva a una web totalmente distinta de gusanito o de hotmail.
Como es costumbre en estos casos, aparecerá como si hubieramos perdido la sesión de hotmail, solicitando de nuevo la clave.
La web implicada en el sitio falso, http://[eliminado]peru.com/, parece ser un sitio serio y que desconoce de esta situación, pero si se mira sus listas de enlaces recomendados puede verse que uno de ellos pertenece al sitio donde se aloja la interfaz web para que el atacante realice su postal a medida.
La victima entonces cree que esta interactuando con hotmail e ingresa sus datos inocentemente. Estos datos llegarán a un correo que el atacante especificó a la hora de crear el ataque. Aquí también podemos ver que se roban los datos (como el correo) de la persona que está creando la tarjeta.Luego, la victima es enviada a una supuesta postal que no carga completamente y la cual esta alojada en un servidor distinto de Gusanito, por supuesto.
El atacante cuenta con un sistema basado en web que genera estos mensajes con una interfaz muy facil de manejar, por lo que cualquier usuario sin demasiados conocimientos puede hacerlo.
Este tipo de "ataque" han existido siempre y seguirán existiendo mientras haya personas inescrupulosas que los utilicen.Como comentario, si se utiliza Firefox como navegador, detecta este caso phishing y lo informará al usuario como sitio falsificado.
Actualización 21:15: luego de realizar todo el procedimiento verificamos que la contraseña robada nunca llega al atacante que crea la tarjeta virtual. Es decir que el supuesto atacante también es engañado y las personas que crearon los sitios falsos son los que se llevan los premios de las contraseñas recolectadas.
Lección a aprender: si deseas engañar a alguien mira con quien te mides antes, no vayas a ser tu el engañado.
Gracias Juan!
Microsoft alista cinco actualizaciones de seguridad en setiembre
Microsoft lanzará cinco juegos de parches de seguridad el próximo martes, incluyendo una actualización crítica para usuarios de Windows 2000, dijo la compañía el jueves.
Con las cuatro actualizaciones de seguridad calificadas como “importantes” por Microsoft, esta última ronda de parches parece ser menos preocupantes que las actualizaciones de agosto. El mes pasado, Microsoft lanzó nueve actualizaciones, seis d de las cuales fueron calificadas como críticas.
Microsoft califica los arreglos a sus fallas como críticas cuando los atacantes pueden explotar fallas sin requerir ninguna acción del usuario.
También están listos para ser parchados este mes Visual Studio, Windows Services para Unix, SharePoint Services, y el software Windows Live y MSN Messenger.
Microsoft lanza sus parches de seguridad el segundo martes de cada mes, generalmente alrededor de las 11 de la mañana hora del Pacífico.
Ejecución de código en Apple iTunes anteriores a 7.4
Una vulnerabilidad ha sido reportada en Apple iTunes, la cuál puede ser explotada por personas maliciosas para comprometer el sistema del usuario.
iTunes es la aplicación creada por Apple para reproducir, organizar y comprar música en Internet. Puede instalarse de forma independiente o junto a QuickTime.
Permite organizar listas de reproducción de forma inteligente, editar la información, grabar CD, convertir archivos a diferentes formatos y comprar música por Internet.
La vulnerabilidad es causada por un error de límites no especificado cuando se procesa el arte de la carátula de un álbum.
La explotación exitosa mediante un archivo de música malicioso, puede provocar un desbordamiento de búfer en la aplicación, con la posibilidad de ejecución remota de código.
La vulnerabilidad afecta a todas las versiones anteriores a la 7.4.
Se sugiere a los usuarios de iTunes, actualizarse a la versión 7.4 o superior, desde el siguiente enlace:
http://www.apple.com/itunes/latino/
Más información:
About the security content of iTunes 7.4
http://docs.info.apple.com/article.html?artnum=306404
Apple iTunes Music File Buffer Overflow Vulnerability
http://secunia.com/advisories/26725/
CVE-2007-3752 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3752
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3752
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
iTunes es la aplicación creada por Apple para reproducir, organizar y comprar música en Internet. Puede instalarse de forma independiente o junto a QuickTime.
Permite organizar listas de reproducción de forma inteligente, editar la información, grabar CD, convertir archivos a diferentes formatos y comprar música por Internet.
La vulnerabilidad es causada por un error de límites no especificado cuando se procesa el arte de la carátula de un álbum.
La explotación exitosa mediante un archivo de música malicioso, puede provocar un desbordamiento de búfer en la aplicación, con la posibilidad de ejecución remota de código.
La vulnerabilidad afecta a todas las versiones anteriores a la 7.4.
Se sugiere a los usuarios de iTunes, actualizarse a la versión 7.4 o superior, desde el siguiente enlace:
http://www.apple.com/itunes/latino/
Más información:
About the security content of iTunes 7.4
http://docs.info.apple.com/article.html?artnum=306404
Apple iTunes Music File Buffer Overflow Vulnerability
http://secunia.com/advisories/26725/
CVE-2007-3752 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3752
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3752
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
Windows Live OneCare: no es oro todo lo que reluce
Esta es la conclusion que podemos sacar al leer AV-Comparatives pues ha conseguido quedar en el puesto 15 de 17 soluciones antivirus.
Y es que Windows Live OneCare 1.6 se ha encontrado esta vez una competencia feroz como son Symantec, Kaspersky, McAfee, NOD32, BitDefender, AVIRA, AVG, G Data, F-Secure y Avast.
Si hay que romper una lanza a su favor, conviene entonces resaltar que nunca ha tenido un ratio inferior al 7% en ninguna de las pruebas de deteccion de malware, teniendo en cuenta que la muestra virica se componia de 800.000 virus Windows, Script y Macro, gusanos, Backdoors, Troyanos y virus polimorficos.
Como decimos en esa comparativa ha recibido el titulo de “Standard” lo que corresponde a la minima categoria.
AVIRA AntiVir Personal Edition Premium 7.04 ha conseguido una deteccion del 99,45%, BitDefender Professional Plus 10 – 97,51%, ESET NOD32 Anti-Virus 2.70.39 – 97,60%, Kaspersky Anti-Virus 7.0.0 – 98,46%; Symantec Norton Anti-Virus 14.0 – 98,80% and AVG Anti-Malware 7.5 – 97,75%.
Todo esto ya lo sabiamos, aunque yo no me fiaria en las estadisticas del Antivir y menos de las del nuevo Norton
Y es que Windows Live OneCare 1.6 se ha encontrado esta vez una competencia feroz como son Symantec, Kaspersky, McAfee, NOD32, BitDefender, AVIRA, AVG, G Data, F-Secure y Avast.
Si hay que romper una lanza a su favor, conviene entonces resaltar que nunca ha tenido un ratio inferior al 7% en ninguna de las pruebas de deteccion de malware, teniendo en cuenta que la muestra virica se componia de 800.000 virus Windows, Script y Macro, gusanos, Backdoors, Troyanos y virus polimorficos.
Como decimos en esa comparativa ha recibido el titulo de “Standard” lo que corresponde a la minima categoria.
AVIRA AntiVir Personal Edition Premium 7.04 ha conseguido una deteccion del 99,45%, BitDefender Professional Plus 10 – 97,51%, ESET NOD32 Anti-Virus 2.70.39 – 97,60%, Kaspersky Anti-Virus 7.0.0 – 98,46%; Symantec Norton Anti-Virus 14.0 – 98,80% and AVG Anti-Malware 7.5 – 97,75%.
Todo esto ya lo sabiamos, aunque yo no me fiaria en las estadisticas del Antivir y menos de las del nuevo Norton
AntiVir Personal Edition para Windows NT/2000/XP/Vista 7.06.00.268
AntiVir Personal Edition es una solución gratuita y eficaz para los PCs de uso individual… detecta y elimina un gran abanico de virus, además de estar siempre actualizado gracias a que es capaz de bajar las actualizaciones automáticamente desde Internet.
Es capaz de proteger al PC en tiempo real y tiene incorporado un motor Heurístico.
Movistar, tambien víctima del Phishing
Movistar, víctima del PhishingAutor: (ale) Alejandro EguíaYa no solo los bancos y entidades financieras son víctimas del Phishing, ahora le toca el turno a las operadoras telefónicas. La marca comercial de Telefónica Móviles, Movistar, fue víctima el pasado fin de semana de un ataque de Phishing.Una web falsa, con el objetivo de robar datos de tarjetas de crédito, simulaba pertenecer al 'Canal Cliente' de Movistar y realizar recargas de tarjetas prepago. En ella se solicitaban, además del número móvil y el importe a recargar, el número de la tarjeta de crédito, su fecha de caducidad y el código CVV.La página en cuestión parecía bastante real y por lo tanto creíble. Ha quedado desactivada el lunes por la mañana y se puede ver una imagen de la misma en: http://w ww.hispasec.com/images/unaaldia/MOVSTAR.png. La víctima luego de ingresar los datos y pulsar el botón Aceptar, enviaba la información automáticamente a los estafadores.El intento de estafa seguramente se inició de la manera clásica, es decir por un correo electrónico que en este caso alentaría al usuario a recargar el móvil desde la web oficial, de una forma sencilla y cómoda.A simple vista, el Phishing no siempre es fácil de detectar, a veces con mirar la dirección del navegador podemos detectar una url sospechosa, además, siempre que estemos manejando datos confidenciales conviene chequear que la dirección comience con https. Este protocolo es la versión segura del protocolo http y es utilizado por los servicios online que requieren el envío de datos confidenciales. Algunos navegadores utilizan un pequeño candado ubicado sobre la derecha de la barra de navegación o incluso cambian su color de fondo, para indicar la existencia del protocolo seguro.
Como ya se ha mencionado , generalmente las instituciones financieras no solicitan datos personales por e-mail ni a través de links que llevan a otras páginas. Además, ante la duda, nunca es mala idea llamar a la institución para cerciorarse.Las tácticas de Phishing están en constante renovación y en el futuro seguramente veamos más ataques hacia las operadoras telefónicas.
martes, 4 de septiembre de 2007
Eset detecta troyano que utiliza blogs para propagarse
 |
Eset, la empresa lider en protección proactiva contra amenazas, detectó un troyano que publica post en distintos blogs, con un mensaje en inglés y un enlace hacia un supuesto video de YouTube que termina en la descarga de un troyano.
El troyano es el Win32/Nuwar, un gusano que ingresa a la máquina, se instala y hace que el equipo pase a formar parte de una botnet, es decir una red de equipos que pueden ser utilizados para realizar acciones masivas, enviar spam o cualquier otro tipo de amenazas.Los sitios atacados pertenecen a Blogger.com, el servicio de blogs de Google, el troyano aprovecha la funcionalidad “Mail-to-Blogger” que permite la creación de una entrada a partir del envío de un correo electrónico desde la cuenta del propietario del blog. Los creadores del troyano enviaron correos en forma de spam a miles de usuarios de Blogger, logrando infectar a todos aquellos que tenían activado el servicio antes mencionado.El Nuwar es un código malicioso que está en constante innovación por parte de sus creadores, es prácticamente imposible para los fabricantes de antivirus estar generando diariamente nuevas firmas que detecten y eliminen las nuevas variantes, ''por lo que la única forma de prevenirse de este tipo de malware es a través de firmas genéricas y/o una heurística avanzada'', como así lo indicó el Vicepresidente de Eset Latinoamérica, Ignacio Sbampato.No debemos olvidar que la manera más efectiva de protegernos ante estas amenazas, se basa en la precaución que tengamos al abrir archivos adjuntos y seguir enlaces de correos electrónicos o páginas web de origen dudoso.
Spybot Search & Destroy 1.5.1.15 version final
Spybot Search & Destroy 1.5.1.15 es la versión final de esta aplicación y es capaz de detectar toda clase de spyware que intente entrar en nuestro PC…
Esta nueva versión ofrece muchos de los mecanismos mejorados de la detección (fueron hechos disponibles a través de la versión 1.4), mejor compatibilidad con los sistemas operativos de Windows: integración con Windows Vista, soporte restaurado con Windows 95, más compatibilidad con Wine, Soporte para los CDes bootable de Windows, etc, además de una ayuda mejorada en los navegadores.
sábado, 1 de septiembre de 2007
Herramientas de registro de actividad del sistema.
Estas herramientas pueden ser un peligro de seguridad cuando son usadas para el espionaje. Se conocen casos de empresas que utilizan estas herramientas
para controlar a sus empleados o de ordenadores compartidos en las que instalan este tipo de utilidades para espiar a sus usuarios.
Conocer la existencia de estés programas es importante a la hora de no usar información confidencial en ordenadores de uso público que pueden ser controlados por otras personas y pueden llegar a obtener: la actividad de los programas que usamos, las páginas web que visitamos, las contraseñas que usamos en dichas páginas…
La mejor forma de detectar estés programas es analizar los procesos que corren en nuestro sistema, usando una aplicación como RunAlyzer por ejemplo y buscar información sobre los procesos que corren en el sistema como indico el post anterior. Muchas de estas aplicaciones no son detectadas por Antivirus ni por programas anti-espías. Un ejemplo de estas herramientas es TimeTrack que guardo un log con las actividades de los usuarios en el sistema.
Más información y descarga de TimeTrack:
http://www.bitcomputing.com/
Mas información y descarga RunAlyzer:
http://www.safer-networking.org/es/runalyzer/index.html
para controlar a sus empleados o de ordenadores compartidos en las que instalan este tipo de utilidades para espiar a sus usuarios.Conocer la existencia de estés programas es importante a la hora de no usar información confidencial en ordenadores de uso público que pueden ser controlados por otras personas y pueden llegar a obtener: la actividad de los programas que usamos, las páginas web que visitamos, las contraseñas que usamos en dichas páginas…
La mejor forma de detectar estés programas es analizar los procesos que corren en nuestro sistema, usando una aplicación como RunAlyzer por ejemplo y buscar información sobre los procesos que corren en el sistema como indico el post anterior. Muchas de estas aplicaciones no son detectadas por Antivirus ni por programas anti-espías. Un ejemplo de estas herramientas es TimeTrack que guardo un log con las actividades de los usuarios en el sistema.
Más información y descarga de TimeTrack:
http://www.bitcomputing.com/
Mas información y descarga RunAlyzer:
http://www.safer-networking.org/es/runalyzer/index.html
BCArchive 1.08.6
El programa es muy sencillo de usar, y cuenta con una interfaz de diseño intuitivo. Además, se integra con el Explorador de ficheros de Windows, lo que te permite codificar y decodificar archivos desde su propio menú contextual.Cuenta también con la opción de crear archivos encriptados auto-extraíbles, lo que te permite, por ejemplo, enviar una serie de ficheros confidenciales por e-mail con la seguridad de que sólo la persona que conozca la clave necesaria podrá abrir el archivo comprimido (sin necesidad, además, de tener el software instalado en su PC).
Descargar 
Popup Ad Stopper 07.04.24
Popup Ad Stopper se caracteriza por su simplicidad. No requiere configuración alguna y actúa desde la barra del sistema, en segundo plano. Funciona gracias a la aplicación de potentes filtros que escanean la página web antes de que lleguen a mostrarse a través de tu navegador web.Olvídate de él y navega tranquilo sin “pop-up” ni “pop under”, un nuevo concepto de publicidad que funciona de la siguiente manera: al cerrar la página web responsable del “pop under”, estarás sometido de repente a un autentico bombardeo de ventanas de publicidad, ventanas que han ido cargandose mientras estabas navegando por la página, de forma invisible.
RootkitRevealer 1.71
RootkitRevealer es una herramienta de Sysinternals dedicada a la detección de rootkits, un tipo de malware que puede otorgar el control del ordenador a un usuario remoto.
La localización de rootkits por parte de la aplicación tiene lugar tras un análisis pormenorizado del registro y de las llamadas realizadas al sistema de ficheros.
La relación de rootkits que RootkitRevealer puede hallar es la misma que la existente en el sitio web rootkit.com e incluye invitados tan ilustres como AFX, Vanquish y HackerDefender.
La clave para detectar rootkits está en la interpretación que se haga de los datos proporcionados por el programa. Utiliza el manual de ayuda incluido con RootkitRevealer para conocer si el ordenador está infectado por este software malicioso.
Anti Trojan Elite
Detecta y elimina todo tipo de troyanos y keyloggers de tu PC
Anti-Trojan Elite (ATE) es una eficaz herramienta contra todo tipo de malware. Si cualquier tipo de malware intenta dañar o irrumpir en tu sistema. No importa si es un troyano, espía o keylogger, Anti Troan Elite te ayudará.
Anti Trojan Elite tabién incluye un cortafuegos muy eficaz que te ayudará a completar la protección de tu ordenador.
Si piensas que tu ordenador está en peligro, instala y prueba Anti Trojan Elite.
Adicionalmente, lleva incluidas funciones que mejoran el rendimiento de tu PC, permite bloquear el Registro, reiniciar cuando un proceso bloquea el sistema, desactivar el autorun de tus unidades de CD y DVD y, por último, permite reparar Internet Explorer devolviéndole todo el resplandor del primer día.
Actualizada la base de datos
Anti-Trojan Elite (ATE) es una eficaz herramienta contra todo tipo de malware. Si cualquier tipo de malware intenta dañar o irrumpir en tu sistema. No importa si es un troyano, espía o keylogger, Anti Troan Elite te ayudará.
Anti Trojan Elite tabién incluye un cortafuegos muy eficaz que te ayudará a completar la protección de tu ordenador.
Si piensas que tu ordenador está en peligro, instala y prueba Anti Trojan Elite.
Adicionalmente, lleva incluidas funciones que mejoran el rendimiento de tu PC, permite bloquear el Registro, reiniciar cuando un proceso bloquea el sistema, desactivar el autorun de tus unidades de CD y DVD y, por último, permite reparar Internet Explorer devolviéndole todo el resplandor del primer día.
• Cambios recientes en Anti Trojan Elite:
Actualizada la base de datos
• Limitaciones de la versión de prueba:
Limitaciones: 30 días de prueba
Microsoft explica reciente error en Windows Genuine Advantage
Numerosos usuarios legítimos de Windows Vista se vieron enfrentados a las advertencias que Microsoft presenta en línea a los usuarios de copias pirateadas del sistema operativo. La compañía explica ahora el error. Diario Ti: Durante el pasado fin de semana, varios usuarios con licencias válidas de Windows vieron, incrédulos, como el sistema de validación del sistema operativo (Windows Genuine Advantage - WGA) les advertía que estaban usando software ilegal, y que deberían adquirir una licencia del producto antes de 30 días.En el blog de WGA, Microsoft explica que se trató de un error humano.
Durante una actualización del sistema de cifrado usado para la activación y validación de la licencia de Windows, uno de los empleados de la compañía instaló los algoritmos demasiado pronto en los servidores de producción.
El problema en cuestión fue solucionado en los 30 minutos siguientes, pero el sistema de validación continuó ejecutando los algoritmos durante varias horas.
El error resultó en que los usuarios de copias legítimas de Windows perdieran funciones como el interfaz gráfico Aero y las funciones Defender y ReadyBoost, entre otras.
Fuente: Blog de WGA.
Yahoo! Messenger, desbordamiento en YVerInfo.dll
Yahoo publicó una actualización de seguridad para su software Yahoo! Messenger, que corrige una vulnerabilidad catalogada como crítica, la cuál puede ser explotada para comprometer el sistema del usuario.
El problema es ocasionado por un error de límites en el control ActiveX “YVerInfo.dll”.
Un atacante puede explotarlo mediante una página Web maliciosa, provocando un desbordamiento de búfer, con la posibilidad de ejecución remota de código.
La vulnerabilidad afecta las versiones anteriores a la 2007.8.27.1 de “YVerInfo.dll”, incluidas en todos los Yahoo! Messenger descargados antes del 29 de agosto de 2007.
Se recomienda a los usuarios de esta aplicación, actualizarse a la versión 8.1.0.419 (o posterior), desde el siguiente enlace:
http://messenger.yahoo.com/download.php
El problema es ocasionado por un error de límites en el control ActiveX “YVerInfo.dll”.
Un atacante puede explotarlo mediante una página Web maliciosa, provocando un desbordamiento de búfer, con la posibilidad de ejecución remota de código.
La vulnerabilidad afecta las versiones anteriores a la 2007.8.27.1 de “YVerInfo.dll”, incluidas en todos los Yahoo! Messenger descargados antes del 29 de agosto de 2007.
Se recomienda a los usuarios de esta aplicación, actualizarse a la versión 8.1.0.419 (o posterior), desde el siguiente enlace:
http://messenger.yahoo.com/download.php
Ad-Aware llega a Vista
Lavasoft ahora tiene versiones compatibles con Vista de su línea de anti-spyware Ad-Aware 2007. Todas las versiones Gratis, Plus y Pro ahora trabajan con la versión del nuevo sistema operativo de 32-bit de Microsoft.
Lavasoft ahora tiene versiones compatibles con Vista de su línea de anti-spyware Ad-Aware 2007. Todas las versiones Gratis, Plus y Pro ahora trabajan con la versión del nuevo sistema operativo de 32-bit de Microsoft.
Ahora puede descargar la nueva versión desde el PC World Download center. O, si ya tiene Ad-Aware instalado, haga click en el botón Update en la pantalla de inicio para obtener la versión compatible.
Solo instalé la nueva versión gratis en mi portátil con Vista y tanto la revisión de instalación e inicial fueron livianas. Y estuve feliz de ver que el programa no lista el seguimiento de cookies como una infección por spyware, como algunos programas lo hacían en el pasado, sino que en su lugar los clasifica en una pestaña “Objetos Privados”.
Pero en pruebas recientes de la versión XP de Ad-Aware 2007 Plus, el programa tuvo un pobre trabajo al detectar spyware y adware. Tenemos detalles de esta prueba en la revisión en línea de trabajos.
Para determinar como se le asemejan otros programas, de un vistazo a nuestra evaluación de antispyware “¡Muere, Spyware, Muere!. Colocamos siete aplicaciones líderes con sus respectivas pruebas para ver los que ofrecieron la mejor protección.
Lavasoft ahora tiene versiones compatibles con Vista de su línea de anti-spyware Ad-Aware 2007. Todas las versiones Gratis, Plus y Pro ahora trabajan con la versión del nuevo sistema operativo de 32-bit de Microsoft.
Ahora puede descargar la nueva versión desde el PC World Download center. O, si ya tiene Ad-Aware instalado, haga click en el botón Update en la pantalla de inicio para obtener la versión compatible.
Solo instalé la nueva versión gratis en mi portátil con Vista y tanto la revisión de instalación e inicial fueron livianas. Y estuve feliz de ver que el programa no lista el seguimiento de cookies como una infección por spyware, como algunos programas lo hacían en el pasado, sino que en su lugar los clasifica en una pestaña “Objetos Privados”.
Pero en pruebas recientes de la versión XP de Ad-Aware 2007 Plus, el programa tuvo un pobre trabajo al detectar spyware y adware. Tenemos detalles de esta prueba en la revisión en línea de trabajos.
Para determinar como se le asemejan otros programas, de un vistazo a nuestra evaluación de antispyware “¡Muere, Spyware, Muere!. Colocamos siete aplicaciones líderes con sus respectivas pruebas para ver los que ofrecieron la mejor protección.
Suscribirse a:
Entradas (Atom)