Virus 5N (5 de Noviembre)

(Tomado de csirtcv.gva.es)

Un nuevo virus apodado como 5N, podría llevar a cabo acciones dañinas en los equipos infectados para, entre otras cosas, recopilar información o impedir su utilización a partir del próximo lunes 5 de Noviembre.

Riesgo: Alto Alto
Sistemas afectados:
Todos los equipos Windows.

Descripción:

El virus es capaz de reproducirse a través de dispositivos extraíbles (pen drives, discos duros externos, etc.) pudiendo así infectar aquellos equipos en los que se conecta el dispositivo extraíble. Una vez infectado el equipo, el virus modifica su configuración (el registro de Windows) para garantizar su permanencia en él. Además, también es capaz de recopilar información sobre el ordenador comprometido (como por ejemplo el nombre, la fecha actual, etc.) para enviarla posteriormente a servidores remotos.

En el caso de conectar un dispositivo extraíble en un ordenador infectado (por ejemplo, un USB de almancenamiento), el virus lo infectará. Para ello, marcará todas las carpetas que encuentre en el directorio raíz del dispositivo como ocultas con el fin de que no sean visibles para el usuario. Además, creará tantas copias de sí mismo como carpetas haya encontrado manteniendo el nombre de las originales. De esta forma cuando un usuario conecte un dispositivo USB infectado en su ordenador no verá las carpetas originales sino las carpetas generadas por el virus. Estas carpetas son realmente una copia del virus (un fichero ejecutable) de forma que cuando se haga clic en alguna de ellas para ver su contenido, el virus infectará el equipo de forma totalmente transparente al usuario. Además, para evitar sospechas, una vez el usuario haga clic en la carpeta falsa, el virus mostrará el contenido del directorio legítimo.

Cuando el virus detecte la fecha del 5 de Noviembre mostrará multitud de botones de apagado en puntos aleatorios de la pantalla de forma que si el usuario pulsa en alguno de ellos el equipo se apaga. El virus también puede modificar el fondo de escritorio así como generar la apertura de la unidad de CD-ROM/DVD.

Es importante destacar que el virus 5N no era detectado por la mayor parte de casas antivirus en el momento de su detección y análisis por lo que un equipo con un antivirus actualizado podría no haber detectado su infección en el equipo.

Solución:
Para detectar si un equipo se encuentra infectado para un usuario concreto, bastaría con iniciar sesión con el mismo usuario y pulsar las teclas “Shift” + “Ctrl” + “Alt” + “F7” y comprobar si aparece una ventana que solicita contraseña. Dicha ventana es invocada por el propio virus y permite introducir una contraseña para detener las acciones del mismo en el sistema. En el caso de introducir una contraseña incorrecta 3 veces procede a apagar el equipo.

Por tanto, si se mostrara dicha ventana a la hora de pulsar la combinación de teclas descrita anteriormente, serían síntomas de infección.

Otra opción para detectar si su equipo está infectado es iniciar la utilidad de símbolo del sistema a (Inicio > Ejecutar > cmd) y ejecutar los siguientes comandos:

  • dir %SystemDrive% /a /b /s | findstr -i drmvclt.exe
  • dir D: /a /b /s | findstr -i drmvclt.exe

El segundo comando habrá que ejecutarlo en el caso de que el ordenador tenga más de una unidad: D:, E:, F:, etc. Habría que cambiar la letra D: por la que corresponda.

En el caso de mostrar alguna salida los comandos anteriores, las cuales se corresponderían con las rutas en el sistema donde se encuentra almacenado el virus drmvclt.exe, se deberán anotar las mismas para posteriormente proceder a su eliminación.

Para desinfectar el equipo y los posibles dispositivos extraibles infectados, consulte la entrada correspondiente al virus 5N dentro de la base de datos de Virus de INTECO-CERT.

Notas:
Inteco-CERT

Fuente: Inteco-CERT
Advertisements

Ciberguerra: las víctimas reales que puede dejar un conflicto virtual

(Tomado de bbc.co.uk)

Ciber armas

¿Cómo se darán los ataques en posibles guerras futuras? ¿Con ataques por aire? ¿Con un ejército invasor? De hecho, se darán a través del cable de la computadora que está junto a usted.

El mes pasado, se llevó a cabo un ejercicio militar internacional bajo el nombre de operación Locked Shields (escudos cerrados) en la que no se oyeron explosiones, no hubo balas, ni tanques, aviones o pinturas de camuflaje.

De hecho, las tropas raramente abandonaron la sala de control en una base militar de alta seguridad en Estonia; el centro de defensa cibernética de la OTAN.

Esta gente representa a un nuevo tipo de guerrero: el ciber-soldado.

La I Guerra de Internet

El ejercicio funcionó de la siguiente manera: un equipo de ingenieros informáticos fueron instruidos para atacar a otros nueve equipos situados en distintos puntos alrededor de Europa.

Para hacerlo, desde sus terminales cocinaron todo tipo de virus, gusanos y troyanos, entre otros tipos de ataques, para secuestrar y robar datos de las computadoras de sus enemigos ficticios.

La idea era aprender valiosas lecciones sobre como afrontar este tipo de ataques contra instalaciones militares y comerciales. Como pueden ver, la ciber-amenaza es algo que los aliados occidentales se toman en serio.

No es coincidencia el que la OTAN haya establecido su centro de defensa en Estonia.

En 2007 las páginas de internet de sus bancos, medios de comunicación y organismos del gobierno fueron víctimas de un tipo de ataque conocido como Denegación de Servicio Distribuido (DDOS).

Estos ataques duraron tres semanas y desde entonces se conocen como la I Guerra de Internet.

Se cree que los autores fueron piratas informáticos pro-Rusia airados por la retirada de una estatua de la era soviética en el centro de la capital, Tallinn.

Armas cibernéticas letales

Los ataques DDOS son bastante simples. Las redes de miles de computadoras infectadas, conocidas como botnets, acceden simultáneamente a la página objetivo del ataque, que queda saturada por el volumen en tráfico, y por lo tanto inhabilitada.

Sin embargo, este tipo de ataques no son nada comparado con las últimas armas digitales. Hoy en día se teme que una II Guerra en internet, pudiera ocasionar daños físicos e incluso muertes.

“Los ciber atacantes más sofisticados podrían hacer cosas como descarrilar trenes por todo el país”, explica Richard A. Clarke, quien fue consejero en contra-terrorismo y ciber-seguridad de los expresidentes Bill Clinton y George Bush.

“Pueden ocasionar apagones, no sólo desconectando la electricidad sino dañando permanentemente los generadores, lo que llevaría meses reparar. Podrían hacer explotar tuberías de petróleo o gas. Podrían derribar aviones”.

En el epicentro del problema están los elementos que hacen de enlace entre el mundo físico y el digital. Actualmente estos controladores sistematizados hacen una gran cantidad de trabajos, desde abrir válvulas de tuberías a controlar las señales de tráfico.

Muy pronto, estarán presentes en los hogares, controlando aparatos inteligentes como el sistema de calefacción central. Y estos dispositivos usan el ciberespacio para comunicarse con su amos, obedeciendo órdenes sobre qué hacer después y avisando si hay problemas.

Si logras piratear estas redes, puedes en teoría controlar sistemas de abastecimiento de agua, electricidad o la distribución de alimentos en supermercados.

La vulnerabilidad de los Scada

En 2007 el Departamento de Seguridad Nacional de Estados Unidos comprobó la vulnerabilidad de estos sistemas conocidos como SupervisoryControl and Data Acquisition (Scada). Lo hicieron usando programas malignos para atacar un generador de diesel.

Imágenes en video del experimento mostraron cómo la máquina se movía violentamente antes de que la pantalla quedara oscurecida por humo negro.

Se teme que en caso de guerra, tales cosas no ocurran en un laboratorio sino en el mundo real.

Una de las razones que hacen a los Scada vulnerables es que muchos fueron diseñados por los ingenieros que diseñaron las máquinas, que aunque aprendieron a programar no son expertos en seguridad.

De hecho, alertan, es bien posible que una central de energía tenga menos protección anti-virus que una simple computadora portátil.

El agresivo virus Stuxnet

Por su parte, Ralph Langer, experto en seguridad informática estuvo estudiando al gusano conocido como Stuxnet y lo que descubrió le dejó aterrado.

Stuxnet tenía como objetivo sistemas Scada específicos, ocasionando pocos daños a otras aplicaciones infectadas. Era lo suficientemente inteligente como para encontrar a su presa de computador en computador.

Su objetivo eran los sistemas que controlan las centrifugadoras de uranio en las instalaciones nucleares de Natanz, en Irán. Ahora se especula que el ataque es obra de agentes israelíes o estadounidenses.

Sea cual sea la verdad, Langner estima que atrasó el programa nuclear al menos dos años. Un éxito que demuestra que las armas cibernéticas están aquí para quedarse.

El problema dice, es que ahora que Stuxnet infectó miles de computadoras en el mundo, su código está disponible para cualquiera lo suficientemente inteligente como para adaptarlo.

Langner dice estar seguro de una cosa: si se extiende el uso de armas cibernéticas, sus objetivos estarán en su mayoría en occidente, más que en países como Irán, que dependen poco de internet.

La amenaza es mayor, a medida que los hogares se empiecen a llenar de neveras que se llenan a si mismas, hornos que obedezcan órdenes desde nuestros teléfonos inteligentes o aparezcan autos sin piloto.

“Habrá una cantidad infinita de direcciones IP”, apuntó el expirata informático Jason Moon. “Ahora todo bien, pero piensen en lo que va a ser para el hacker”.

El mundo está siendo testigo del advenimiento de un nuevo tipo de arma y el mundo podría verse obligado a adaptarse.

Siga la sección de tecnología de BBC Mundo a través de @un_mundo_feliz

Darkbot se extiende vía Skype y afecta ya a miles de usuarios

(Tomado de elhacker.net) Hace ya dos semanas, nuestros compañeros de ADSLzone.net se hicieron eco de un virus que se estaba propagando utilizando el servicio Skype. Dicho virus, trataba de atraer al usuario con la frase “lol is this your new profile pic?”, invitándole a pinchar en un enlace que contenía el ransonware Dorkbot.

Sin embargo, durante el pasado fin de semana, investigadores de la empresa de seguridad Avast, han detectado que un nuevo troyano se está extendiendo por el servicio, y que ya ha afectado a miles de usuarios. En concreto, el troyano es Darkbot y como característica especial, también puede distribuir más malware, como de tipo ransonware.

Los usuarios que tienen el virus en su ordenadores podrían ver como la información de sus cuentas de redes sociales u otros servicios cae en manos ajenas.

El troyano, que como ya hemos indicado anteriormente, puede distribuir más virus, también se encarga de instalar un programa que “bloquea” el ordenador del usuario. Se trata de algo que no es nuevo, ya que otros virus también hacen algo parecido pidiendo al usuario posteriormente una cuantía económica por desbloquearlo.

Hacer click en un enlace con información

Se invita al usuario a desbloquearlo haciendo click en un enlace que se adjunta en un mensaje. Sin embargo, ésto es mentira ya que el usuario es redirigido a una página en la que a pesar de haber cierta información, no se indica como se puede llevar a cabo ésto ni la cantidad que hay que pagar.

Pinchando en dicho enlace, el usuario únicamente ha conseguido que su ordenador pase a formar parte de una botnet que está destinada a llevar a cabo ataques DDoS.

Problemas con los motores de los antivirus

Es probable que inicialmente algunos antivirus no sean capaz de detectar la amenaza en el equipo del usuario. Actualmente se sabe que aproximadamente una docena de los 44 motores que existen en la actualidad, son capaces de realizar la detección del malware y eliminarlo de forma satisfactoria. También es probable que a lo largo de esta semana todos los motores sean capaz de hacer lo mismo, por lo que es cuestión de tiempo.

FUENTE :http://www.redeszone.net/2012/10/23/darkbot-se-extiende-via-skype-y-afecta-ya-a-miles-de-usuarios/

Cuidado: Estos son tres correos que no querrá ver en su bandeja de entrada

(Tomado de segu-info.com.ar) Estos son tres correos electrónicos que no querrá ver hoy en su bandeja de entrada. Aunque los mensajes dicen que fueron enviados por LinkedIn, YouTube y Google, la verdad es que los encabezados han sido falsificados, y los mensajes han sido preparados especialmente para parecer comunicaciones auténticas de estas empresas de Internet.


Al hacer clic en cualquiera de los enlaces, lo llevará a algún sitio de estafa tipo farmacéutica Canadiense para venderle Viagra, o incluso a alguna página web con carga maliciosa. Tenga siempre cuidado al hacer clic en enlaces de correos no solicitados, pase antes con el mouse por arriba del enlace para ver a donde lo dirige en realidad antes de hacer clic, y asegúrese de mantener su protección antivirus y antispam actualizados.

Si uno es descuidado caerá en la trampa de los spammers y pondrá sus finanzas e información en peligro. (¡Ah!, y también hemos visto también algunos correos que dicen venir de Amazon)

Traducción: Raúl Batista – Segu-Info
Autor: Graham Cluley
Fuente: NakedSecurity (Sophos)

Descubren peligrosas vulnerabilidades en 41 apps de Android

(Tomado de ticbeat.com)

Google Android seguridad

Un equipo de investigadores alemanes ha descubierto importantes vulnerabilidades en 41 aplicaciones presentes en Google Play que han sido descargadas entre 39,5 y 185 millones de ocasiones. Estos fallos de seguridad pueden permitir acceder a información de banca en línea, redes sociales, correo electrónico o servicios de mensajería instantánea.

El problema es que todas estas aplicaciones utilizan un sistema de encriptación ineficaz, según la información presentada por estos investigadores y recogida por Ars Technica.

Para descubrirlo, conectaron los dispositivos  a una red local que utilizaba varios exploits conocidos con los que consiguieron superar las capas de seguridad. La clave estaba en los protocolos SSL y TLS.

Pero todo comenzó con la descarga de 13.500 aplicaciones gratuitas de Google Play que fueron sometidas a un análisis estadístico. Con él se descubría si las implementaciones SSL de las apps eran potencialmente vulnerables a estos exploits o no. El 8% (1.074) lo era.

Los investigadores analizaron en profundidad 100 de estas 1.074 aplicaciones y descubrieron que en algunos casos aceptaban certificados SSL firmados por ellos mismos en lugar de por una autoridad válida. En otros, los certificados autorizaban nombres de dominio diferentes a aquellos a los que accedía la app.

Así, por ejemplo, descubrieron que un “muy popular servicio de mensajería entre plataformas” con varias decenas de millones de usuarios (el estudio no da el nombre de ninguna de las aplicaciones analizadas) exponía los números de teléfono almacenados en la agenda.

Internet Explorer 9 XSS Filter Bypass

(Tomado de segu-info.com.ar) El 18 de octubre, Jean Pascal Pereira ha descubierto una forma de saltar el filtro de XSS implementado por Internet Explorer 9.

El navegador ofrece una función para eliminar patrones sospechoso de ataques de Cross-site Scripting en los parámetros brindados a cada página web.

En la prueba de concepto publicada en Bugtraq se explica que el truco consiste en insertar nullbytes en medio de la cadena de ataque de XSS cada vez que se construye un enlace a través del tag A, de la siguiente manera:

[a href = '= http://localhost/ieb/blah.php?a alerta [s[NULL]cript] (1) [/s[NULL]cript]'] ClickMe [/a]

Actualmente no hay una solución para esta vulnerabilidad.

Cristian de la Redacción de Segu-Info

Servidores RDP hackeados en venta

(Tomado de segu-info.com.ar) Existe un número cada vez mayor de servicios de cibercrimen ofrecidos en línea. En los últimos días han aparecido servicios que por unos pocos dólares ofrecen la posibilidad de comprar un ingreso a de las redes de la lista Fortune 500.

Krebs on security ha examinado el acceso a 17.000 ordenadores en todo el mundo, a pesar de que casi 300.000 sistemas comprometidos han pasado por este servicio desde su creación a principios de 2010. Todas las máquinas en venta han sido creadas por sus legítimos propietarios para aceptar conexiones entrantes a través de Internet, utilizando el protocolo de escritorio remoto (RDP), un servicio integrado en Microsoft que da acceso al escritorio del PC anfitrión.

Con el slogan “The whole world in one service”, el sitio ruso Dedicatexpress.com anuncia servidores RDP en varios foros especializados en delitos informáticos. El acceso se concede a los nuevos clientes que se comunican con el propietario a través del servicio de mensajería instantánea y pagan una cuota de inscripción de U$S20 a través de WebMoney, una moneda virtual. El precio de cualquier servidor hackeado se calcula sobre la base de varias cualidades, como la velocidad de su procesador y el número de núcleos de procesador, la velocidad de carga, el tiempo que el servidor ha permanecido hackeado y el tiempo disponible en línea ( “uptime”).

Cristian de la Redacción de Segu-Info