Gusanos » MuyComputer
[ Gusanos ]
Malware navideño ataca Facebook

Malware navideño ataca Facebook

Facebook es un gran caldo de cultivo para la propagación de malware, y en esta ocasión debemos advertir de la última variante de un gusano ya conocido: Koobface.GK. El gancho que está utilizando para distribuirse se basa en un vídeo alojado en una página falsa que imita a YouTube con una felicitación de Navidad. El usuario, al reproducirlo o pinchar en cualquier enlace de la página, se estará descargando e instalando el gusano. Cuando el virus se instala en el equipo, aparece la imagen que podemos ver más abajo, en la que si no introduces el “captcha” (Completely Automated Public Turing test to tell Computers and Humans Apart ) correspondiente, amenaza con reiniciar el ordenador en un tiempo máximo de tres minutos. Una vez pasado este tiempo, no pasa nada, pero inutiliza el PC no permitiendo al usuario hacer ninguna otra acción. Cada vez que se introduce el texto mostrado en pantalla, el gusano registra un dominio nuevo y diferente donde se alojará el vídeo para continuar su distribución.Según Luis Corrons, director técnico de PandaLabs, “las redes sociales se han convertido en uno de los métodos más utilizados por los ciberdelincuentes para propagar sus creaciones ya que hay una cierta sensación de falsa seguridad por parte de los usuarios en los contenidos publicados en este tipo de redes. Los usuarios suelen confiar en los mensajes y en los contenidos que reciben, por lo que el número de lecturas y clics suele ser elevado”.PandaLabs recomienda una serie de consejos para tu seguridad a la hora de navegar en estas redes sociales:- No pinchar en enlaces sospechosos provenientes de fuentes no seguras o que no puedas contrastar.- Si se pincha en estos enlaces, fíjate siempre en la página destino. Si no la reconoces, cierra el navegador.- Si no aprecias nada raro en la página destino, pero te pide que realices una descarga, desconfía y no aceptes.- Si aun así descargas e instalas algún tipo de archivo ejecutable y el PC comienza a lanzar mensajes, probablemente estés ante un ejemplar de malware.
1 comentario0 shares
09/12/2009Javier Pérez Cortijo
¿Qué antivirus es el mejor?

¿Qué antivirus es el mejor?

Desde AV-Comparatives.org han organizado una serie de pruebas para facilitar a los usuarios la tarea de elección de un antivirus para proteger sus equipos. En dichas pruebas han analizado varios aspectos de dieciséis antivirus. A día de hoy los virus casi han pasado a un segundo plano frente a gusanos y malware que se propagan a través de Internet y medios de almacenamiento masivo. En ese aspecto pocos de ellos han podido dar la talla. ¿Qué antivirus utilizas?, ¿te sientes seguro con él?Los resultados de las pruebas que han realizado desde AV-Comparatives.org son bastante determinantes y dejan entrever la poca eficiencia de la mayoría de antivirus del mercado ante la eliminación de malware y su rastro, o restos, desde los cuales vuelve a instalarse en el equipo. Los antivirus que han participado en las pruebas son 16 y dejamos la lista a continuación con los enlaces a sus respectivas webs: -avast! Professional Edition 4.8 -AVG Anti-Virus 8.5 -AVIRA AntiVir Premium 9 -BitDefender Antivirus 2010 -eScan Anti-Virus 10-ESET NOD32 Anti-Virus 4.0-F-Secure Anti-Virus 2010-G DATA AntiVirus 2010-Kaspersky Anti-Virus 2010-Kingsoft Antivirus 2009 -McAfee VirusScan Plus 2009 -Microsoft Live OneCare 2.5 -Norman Antivirus & Anti-Spyware 7.10 -Sophos Anti-Virus 7.6 -Symantec Norton Anti-Virus 2010 -TrustPort Antivirus 2009 Tal y como adelantábamos los resultados son mediocres, ya que según refleja la tabla siguiente, los únicos con éxito son tres, el de Microsoft, eScan y el de Symantec. ¿Qué antivirus utilizáis en Windows? Desde MuyComputer os animamos a dejar vuestro comentario con el antivirus y los motivos, además del coste del mismo, para ver si así damos con la opción correcta a modo de brainstorming.
16 comentarios0 shares
10/11/2009Jesús Maturana
20 años de amenazas informáticas

20 años de amenazas informáticas

Coincidiendo con la celebración del 20 Aniversario de Panda Security, los expertos de PandaLabs, el laboratorio de detección de esta empresa de seguridad, han elaborado el ranking de las amenazas informáticas más peligrosas de los últimos 20 años, tanto para usuarios finales como para compañías. Las diferentes amenazas han sido seleccionadas por la popularidad que han alcanzado al haber sido protagonistas de grandes epidemias.    La galería de virus e infecciones más famosos está compuesta por muchos "viejos conocidos" de todos los usuarios de informática. Veamos cuáles son.   1. Viernes 13 o Jerusalem. Creado en Israel en 1988 (incluso antes de la fundación de Panda), supuestamente conmemoraba el cuarenta aniversario del Estado Judío en la ciudad de Jerusalem. Cada viernes 13, todos los programas que intentaban ejecutarse en el ordenador se borraban.2. Barrotes. El primer virus conocido español, que apareció en 1993. Una vez infectado el PC, el virus permanecía oculto hasta el 5 de enero, fecha en la que se activaba y aparecían unas barras en el monitor.    3. Cascade o Falling Letters. Nació en Alemania en 1997. Cuando un PC se infectaba con este virus, hacía caer las letras de la pantalla como si se tratara de una cascada.   4. CIH o Chernobyl. Nació en junio de 1998 en Taiwán, y sólo tardó una semana en distribuirse e infectar a miles de ordenadores.   5. Melissa. Este virus con nombre de mujer hizo su aparición el 26 de marzo de 1999 en Estados Unidos. Fue uno de los primeros virus que utilizó técnicas de ingeniería social, ya que llegaba con el mensaje “Aquí está el documento que me pediste… no se lo enseñes a nadie ;-)”.   6. ILoveYou o Loveletter. Tan famoso, que casi no hace falta ni presentarlo. El virus "amoroso" apareció en el año 2000, desde Filipinas. Llegaba con el asunto ILoveYou y fue capaz de infectar a millones de ordenadores e importantes instituciones como el Pentágono.    7. Klez. Llegó en 2001 desde Alemania, y sólo infectaba los días 13 de los meses impares.   8. Nimda. El nombre le viene de admin, con el orden de las letras cambiadas, ya que era capaz de crear privilegios de administrador en el ordenador afectado. Nació en China el 18 de septiembre de 2001.   9. SQLSlammer. También fue un verdadero quebradero de cabeza para las empresas. Nació el 25 de enero de 2003 y llegó a afectar a más de medio millón de servidores en cuestión de días.   10. Blaster. Desde Estados Unidos, el 11 de agosto de 2003 este virus, que contenía el su código el mensaje: “Sólo quiero decir que te quiero san!!” y añadía “Billy Gates, ¿por qué haces posible esto? Para de hacer dinero y arregla tu software”.   11. Sobig. Fue famoso durante el verano de 2003, vino desde Alemania. La variante F fue la más dañina, atacando el 19 de agosto del mismo año y generando más de un millón de copias de sí mismo.   12. Bagle. Apareció el 18 de enero de 2004 y ha sido uno de los más prolíficos en cuanto a cantidad de variantes diferentes.   13. Netsky. Este gusano nació en Alemania en el año 2004 y se aprovechaba de vulnerabilidades de Internet Explorer. Su creador también fue el padre de otro virus famoso, Sasser.   14. Conficker. El último y el más reciente, aparecido en noviembre de 2008. A modo de curiosidad, no afectaba a los ordenadores con teclado en ucraniano…    Más información en http://www.pandasecurity.com/spain/20aniversario.  
1 comentario2 shares
26/08/2009Javier Pérez Cortijo
¿Qué pasó con Conficker?

¿Qué pasó con Conficker?

El gusano Conficker causó estragos en múltiples e importantes redes de ordenadores. No hablamos de redes cualesquiera, sino de redes gubernamentales, parlamentos, redes militares, etcétera. Desde abril no se ha vuelto a saber de él. Los ordenadores infectados pasaban a formar parte de una botnet que podía ser controlada de forma remota. En particular hablamos de más de 5 millones de víctimas a nivel mundial, pero, ¿qué pasó a Conficker? y más importante, ¿sigue activo e infectando ordenadores?Según podemos leer en CNN, Conficker todavía hace que las compañías de seguridad se pongan nerviosas. En particular Philip Porras, director de programa en SRI International, grupo de investigación sin ánimo de lucro, ha afirmado que Conficker sigue infectando millones de máquinas alrededor del mundo y por tanto las botnets pasan a tener más ordenadores a su disposición así como la información contenida en los mismos.Porras es un miembro del grupo internacional de seguimiento de Conficker y ha afirmado que "Conficker ha salido a la luz como uno de los bots realmente grandes que ha sido capaz de mantenerse a sí mismo en la Web", lo que es raro. Aun así, los usuarios de ordenadores, incluso los infectados, no han observado los posibles terribles resultados.La única cosa que el autor / autores de Conficker ha llevado a cabo con la posible potencia de la inmensa botnet ha sido intentar vender software falso de seguridad de ordenador a una pequeña parte de los usuarios con equipos infectados. La ausencia de un ataque mayor ha llevado a pensar a la gente que el gusano está prácticamente muerto.Mikko Hypponen, jefe de investicación de F-Secure, ha afirmado que la gente que creó Conficker habría lanzado ya una gran ofensiva si lo tuvieran en mente. Hypponen, quien hablará la próxima semana sobre la botnet Conficker en la conferencia Black Hat, ha comentado que lleva 20 años dedicado al mundo de los virus y hay muchas cosas al respecto que no había visto antes, además de tecnología a la última, y por ello le hace pensar que quien está detrás del virus es un nuevo grupo o banda que lo intenta por primera vez. Los atacantes con más experiencia no dejan que los gusanos se expandan tan ampliamente precisamente para evitar titulares y publicidad.Los creadores de botnets suelen crear redes de ordenadores de entre 2.000 y 10.000 ordenadores para evitar cualquier posible detección. Por ello ha comentado que si la gente que está detrás de Conficker quisiera seguir con ello, es muy probable que lo abandonen y empiecen de nuevo.Otra opinión al respecto llega de la mano de Don DeBolt, director de investigación de amenazas de CA. En su caso comenta que todavía está en seguimiento y eso significa que está aún activo. Sin embargo afirma que ciertamente la amenaza ha ido a menos debido a toda la atención y dedicación que ha recibido. No obstante, las teorías sobre la evolución son varias y otros, por ejemplo Graham Cluley, consultor senior de tecnología en Sophos, afirma que la red aún sigue creciendo.Lo importante por el momento es que no se ha cometido ninguna acción a gran escala con la botnet salvo un intento de venta de software falso, y tambén que los investigadores siguen esforzándose por hacer que las cifras de Conficker desciendan En la conferencia Black Hat de la semana que viene tendremos más datos al respecto.
1 comentario0 shares
27/07/2009Jesús Maturana
Brecha de seguridad: 68.000 webs

Brecha de seguridad: 68.000 webs

La compañía de seguridad Prevx y en particular su CTO, Jacques Erasmus, ha descubierto una gran brecha de seguridad en más de 68.000 webs en relación sus credenciales FTP. Entre ellas se incluyen sitios como Amazon, Cisco, BBC, entre otros. Según parece, el gusano Zbot está alojando en un servidor chino los datos de acceso a FTPs de nada menos que alrededor de 68.000 sitios web. Además del hecho en cuestión, están siendo almacenados en un inseguro formato de texto plano.Jacques Erasmus, director de investigación en Prevx, ha hecho el descubrimiento mientras investigaba una nueva variante del gusano Zbot. Según cuenta, los datos eran retirados desde equipos infectados justo en el momento de la infección. Ejemplo de ello es cuando un desarrollador web de una de las organizaciones se ve infectado y por tanto los datos de acceso al FTP se ven comprometidos. Con esos datos el atacante puede acceder al FTP de la compañía en cuestión y alterar las páginas web a su antojo comprometiendo los contenidos o enlaces de las mismas. Las investigaciones han revelado que la captura de datos de acceso a los FTPs son recientes, exactamente en las últimas dos semanas. Las cuentas FTP comprometidas tienen mucho valor para los atacantes puesto que pueden inyectar código malicioso en webs como Gumblar, Beladen y Nine-Ball, que afectaron a cientos de miles de webs.Erasmus también hizo mención a que los datos estaban siendo almacenados en texto plano, lo que hace muy sencillo que otros hackers los encuentren y hagan uso de ellos. Prevx ha comenzado a alertar a las organizacioens afectadas aunque es probable que ya haya habido alguna consecuencia por la brecha de seguridad. Las compañías grandes con páginas web con mucho trático, del estilo de Amazon, BBC, Symantec, etcétera tienen prioridad.
0 comentarios0 shares
27/06/2009Jesús Maturana
Conficker cuesta 9.100 millones

Conficker cuesta 9.100 millones

El gusano Conficker utiliza una vulnerabilidad crítica de Windows Server para atacar ordenadores con sistemas operativos de la plataforma, incluyendo la beta de Windows 7, y convirtiéndose en el más dañino de los últimos años. El coste del daño causado por Conficker, y su eliminación ha sido cuantificado por expertos en seguridad del Cyber Secure Institute y asciende a una cantidad astronómica: 9.100 millones dólares.A este gusano se le conoce también como Downup, Downandup y Kido, y fue identificado en octubre de 2008. Aunque el día 15 de ese mismo mes Microsoft publicó un parche para corregir la vulnerabilidad, Conficker ya había arrasado la Red y aún continúa haciéndolo en los equipos no protegidos.La infección de millones de ordenadores y el anuncio de variantes aún más peligrosas llevó a Microsoft a ofrecer una recompensa de 250.000 dólares por cualquier información que llevara a la captura de sus autores, bajo un programa similar que fue utilizado con éxito para atrapar al creador del gusano Sasser, que fue denunciado por antiguos amigos universitarios.Además, la compañía, junto a firmas de seguridad y la ICANN, actuó para deshabilitar los dominios utilizados por Conficker y frenar su expansión. Aunque estaba anunciado un ataque masivo para el 1 de abril (día de los inocentes en varios países), éste no sucedió y en los últimos días la infección decrece y se espera que el gusano deje de funcionar el 3 de mayo.A pesar de ello, su impacto ha sido significativo y desde el Cyber Secure Institute se valora en 9.100 millones de dólares, contabilizando los recursos empleados para identificar o limpiar el virus por administraciones, empresas y particulares.
0 comentarios0 shares
24/04/2009Juan Ranchal
El troyano que quería ser gusano

El troyano que quería ser gusano

Win32/Vundo Trojan es el responsable de que más de 3,6 millones de PCs a lo largo y ancho del mucho fueran infectados en el segundo trimestre del año pasado. Según un analista experto en spyware de Microsoft, este código se está comportando como un gusano, haciendo del mismo una amenaza aún más peligrosa y con mayor proyección en equipos remotos, además de hacer más difícil su eliminación debido a las nueva características mostradas.Según los datos hechos públicos en el Microsoft Security Intelligence Report, el Troyano Win32/Vundo infectó más de 3,6 millones de ordenadores en la segunda mitad de 2008, ocupando la tercera posición en el ranking de malware detrás de Renos y Zlob. Vundo es una familia de malware con varios componentes que están diseñados para mostrar a la víctima anuncios mediante pop-ups. Según las últimas declaraciones de Jaime Wong, analista spyware de Microsoft el malware está evolucionando permitiendo la descarga y ejecución de código arbitrario.Según ha anunciado Jaime Wong, han encontrado nuevas variantes del troyano que disponen de comportamientos de replicación gracias a la copia de sí mismos en unidades de la máquina infectada. Se copia a sí mismo en la raíz de las unidades con un nombre aleatorio y terminación .dll o crea un directorio aleatorio y se copia dentro con el mismo nombre. Esta variante es conocida como Gusano Win32/Vundo.A.Debido a las nuevas características de infección gracias a las cuales puede replicarse y descargarse de Internet a sí mismo, es recomendable que la limpieza se haga sin conexión a internet y posteriormente se reinicie para evitar que ningún proceso en memoria vuelva a descargarlo. En caso de estar infectado los usuarios verán una cantidad ingente de pop-ups mostrándose en el escritorio.
0 comentarios0 shares
23/04/2009Jesús Maturana
Nuevo Conficker.e pide 49,95$

Nuevo Conficker.e pide 49,95$

El pasado miércoles TrendMicro descubrió una nueva variante del gusano Downad.KK/Conflicker.c que han denominado Conficker.e. La versión anterior del mismo usó su funcionalidad P2P para actualizarse y ahora es aún más molesto. Al surgir este tipo de gusanos, siempre cabe la pregunta, ¿qué busca su creador? Fama, notoriedad, daño ajeno. Pero en este caso queda demostrado que ha sido creado por codicia, exige un pago de 49,95 dólares.   Paul Ferguson, de la división de investigación de amenazas de TrendMicro, ha realizado completo informe de la actualización del gusano incluyendo algunos interesantes datos. El primero de ellos es que dejará de funcionar el día 3 de mayo de este año. La versión actual avisa con mensajes falsos de antivirus que informan de amenazas inexistentes junto con un molesto pop-up que exige el pago de casi 50 dólares.    Usa un nombre aleatorio y un nombre de servicio aleatorio cuando se instala. Después de la instalación borra el componente inicial. Para prograpagarse hace uso del bug MS08-067 (ya parcheado por Microsoft, por lo que un sistema actualizado no tendrá problemas con él) hacia una dirección IP externa si existe una conexión a Internet válida. Si no, entonces prueba con las direcciones de red LAN. Abre el puerto 5114 y empieza a funcionar como servidor HTTP enviando peticiones SSDP.        También se conecta con myspace.com, msn.com, ebay.com, cnn.com y aol.com. Y después de ello borra todos los logs, archivos, registros e historial, etc. Ferguson  también ha observado una conexión a un conocido dominio del virus Waledac (goodnewsdigital.com), que intenta descargarse una versión cifrada del archivo print.exe, aunque de momento tiene que determinar si ha sido una coincidencia fortuita o existe relación entre Conficker y Waledac.  
0 comentarios0 shares
12/04/2009Jesús Maturana
Llega la cura para Conficker

Llega la cura para Conficker

Todo tipo de organismos están previniendo del peligro que podrían correr nuestros PCs mañana a estas horas, cuando se prevé que Conficker.C, una nueva mutación de este infeccioso gusano de Internet, active su ejecución. El día de los inocentes en Estados Unidos parece haber sido elegido por sus programadores como la fecha de activación de un código de muy mal gusto para el que sin embargo parecen surgir soluciones válidas.   Parece que la amenaza que podría representar Conficker y más concretamente, su tercera variante, Conficker.C, podría verse atajada gracias al descubrimiento de los patrones que sigue este código malicioso para propagarse por la red de redes e ir infectando uno tras otro a los equipos que encuentra a su paso y que no están protegidos. En MuyComputer ya contamos todo sobre este peligroso código y cómo erradicar sus anteriores mutaciones.    La vulnerabilidad de la que se aprovecha Conficker está basada en el parche que Microsoft bautizó con el código MS08-67 y que precisamente tapaba el agujero de seguridad que trataba de aprovechar Conficker. Si hemos aplicado el parche no deberíamos preocuparnos demasiado, pero si no es así lo mejor es que actualicemos nuestro equipo cuanto antes -si es que podemos, ya que precisamente Conficker trata de impedirlo- a través del servicio  Windows Update.   El método que investigadores y expertos en seguridad han descubierto para frenar la propagación de Conficker no ha sido desvelado aún, pero ya existen mecanismos preliminares que tratan de atajar la actuación de virus, tanto de la propia Microsoft como de empresas de seguridad informática tales como Symantec o McAfee.  
0 comentarios0 shares
31/03/2009Javier Pastor
Cómo borrar el gusano Conficker

Cómo borrar el gusano Conficker

El gusano Conficker se ha convertido en la mayor amenaza malware en este arranque de año. Las estimaciones hablan de que puede estar hibernado en cerca de diez millones de PC esperando el momento de actuar en sus actividades cibercriminales. Microsoft, que ha puesto en caza y captura, al autor de la maldita creación, ha desarrollado un parche para saber si estamos infectados.  Averigua si tú eres uno de ellos.   Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más dañino de los últimos meses. en este artículo os vamos a enseñar a cómo protegeros de Conficker.   La primera medida es tener contraseñas sólidas o servicios de registro tipo OpenDNS. La segunda saber si ya estamos infectados. Para ello lo mejor es pasar un antivirus actualizado. Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\ [Random name for the service] Image Path = „%System Root%\system32\svchost.exe -k netsvcs“ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\[Random name for the service]\Parameters ServiceDll = „[Path and filename of the malware]“ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\SvcHost También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan: • Windows Security Center • Windows AutoUpdate • Windows Defender • Error Reporting Service   Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:   „virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“, „symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“, „etrust“, „networkassociates“, „computerassociates“, „f-secure“, „kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“, „drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“, „quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“, „hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“, „prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“, „arcabit“, „cpsecure“, „spamhaus“, „castle„wilderssecurity“, „windowsupdate“   Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:   • http://checkip.dyndns.org   • http://getmyip.co.uk   • http://www.getmyip.org   En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:   • ask.com • baidu.com • google.com • msn.com • www.w3.org • yahoo.com     A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.   Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“):   http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx  
4 comentarios0 shares
19/02/2009Fernando Claver
Todo sobre el gusano Conficker

Todo sobre el gusano Conficker

Conficker es uno de los virus más dañinos de los últimos tiempos, un gusano que se apodera de tu PC, monta una especie de servidor web y empieza a atacar otros ordenadores de tu entorno. Por su interés, reproducimos una entrevista al director de los laboratorios de una de las empresas de seguridad más importantes, GDATA, que nos enseña a descubrir cómo opera Conficker y, lo que es más importante, a evitarlo.   Conficker es el virus de 2009. Ha hecho tanto daño que hasta Microsoft ha ofrecido una recompensa de 250.000 dólares por la cabeza del maleante que lo ha ideado. Y es que Conficker es muy dañino. El departamento de comunicación de una de las principales empresas de seguridad europea, G DATA, nos ha enviado una entrevista en profundidad de lo más interesante con el jefe de sus laboratorios,  Ralf Benzmüller que reproducimos a continuación. En ella se explica con pelos y señales cómo actúa Conficker y cómo evitarlo.   Ralf Benzmüller: "Conficker ha infectado a 10 millones de PCs"   ¿Cuál es el grado de peligrosidad real de Conficker?   Conficker, también conocido como Downadup, Downad y Kido.ih, se aprovecha de una vulnerabilidad en el servicio RPC de Windows, solucionada por Microsoft el pasado octubre mediante un parche especial. El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.    Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más eficaz de los últimos doce meses, llegando a afectar a algunos de los 3.000 ordenadores del gobierno de Carintia, a numerosos hospitales en Austria e Inglaterra e incluso a partes de la marina francesa.   Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día, basándose en la fecha.   La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los cibercriminales darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.   ¿Cuántos ordenadores han sido infectados?   Las estimaciones varían enormemente y van desde unos pocos cientos de miles de equipos infectados hasta unos 10 millones. Es difícil hacer una estimación precisa. Muchos de los ordenadores infectados están conectados a varios servidores de control, por lo que pueden ser contados varias veces. Por otra parte, cientos de PCs infectados en redes corporativas pueden figurar de cara al exterior como un único equipo. Aún así, incluso siendo conservadores nos enfrentamos a una de las botnets de mayor capacidad.   ¿Cómo protegerse?   El caso de Conficker demuestra en toda su crudeza la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota una vez da con él, es de dominio público desde octubre de 2008. Desde entonces, Microsoft ha ofrecido la actualización necesaria para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.   Un factor digno de mención, y todavía más decisivo, es la utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como “12345” o “admin” no proporciona seguridad alguna, algo de lo que los creadores de Conficker se aprovechan sin problemas. Es más, en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los sticks USB, uno de los principales caminos para la difusión de Conficker. El mecanismo de autoarranque está activado en muchos ordenadores y no lo utiliza sólo Conficker para propagarse, sino también muchos otros programas de malware. Aun así, al desactivar la función de autoarranque se impide la facilidad de uso de CDs.  OpenDNS proporciona un servicio interesante al respecto: reconocen los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombie infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.   ¿Cómo saber si Conficker ha infectado un ordenador?   Una suite completa de protección antivirus con firmas de detección actualizadas es capaz de detectar Conficker. Cualquiera que no haya hecho sus deberes y haya dejado puertas traseras internas del sistema abiertas o que no haya aplicado los parches críticos tendrá que realizar un gran esfuerzo para desinfectar su ordenador.   Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\ [Random name for the service] Image Path = „%System Root%\system32\svchost.exe -k netsvcs“ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\[Random name for the service]\Parameters ServiceDll = „[Path and filename of the malware]“ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\SvcHost También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan: • Windows Security Center • Windows AutoUpdate • Windows Defender • Error Reporting Service   Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:   „virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“, „symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“, „etrust“, „networkassociates“, „computerassociates“, „f-secure“, „kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“, „drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“, „quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“, „hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“, „prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“, „arcabit“, „cpsecure“, „spamhaus“, „castle„wilderssecurity“, „windowsupdate“   Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:   • http://checkip.dyndns.org   • http://getmyip.co.uk   • http://www.getmyip.org   En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:   • ask.com • baidu.com • google.com • msn.com • www.w3.org • yahoo.com   Los ordenadores que accedan a estos dominios pueden estar infectados.   ¿Cómo deshacerse de Conficker?   A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.   Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“):   http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx  
2 comentarios0 shares
18/02/2009Fernando Claver
250.000 dólares por un cracker

250.000 dólares por un cracker

Microsoft ha anunciado que ofrecerá una recompensa de nada menos que un cuarto de millón de dólares para cualquiera que ofrezca información que permita capturar al creador del gusano Conflicker, que está infectando millones de PCs. Es una estrategia sorprendente de los responsables de Redmond, que parecen haberse cansado de los perjuicios que causan estos crackers con la creación de este tipo de código malicioso.    El gusano Conflicker/Downadup está siendo una de las amenazas recientes más peligrosas y extendidas en la red de redes, y de hecho Microsoft ha decidido tomar cartas en el asunto de forma definitiva y ha ofrecido una recompensa de 250.000 dólares a cualquiera que pueda ofrecer información que ayude a la captura del responsable de la creación de dicho gusano.    La empresa de Redmond se ha aliado con los registradores de dominios y con proveedores de DNS como la ICANN, ORG y NeuStar además de empresas expertas en seguridad como Symantec y Arbor Networks, entre otras, para detener de una vez por todas la actividad de Conflicker. "Combinando nuestra experiencia con una comunidad más amplia, podemos extender las barreras de defensa para proteger a más gente en todo el mundo", comentó George Stathakopoulos, director general del llamado Trustworthy Computing Group en Microsoft.   Se estima que Conflicker -también conocido como Downadup- ha infectado al menos a 10 millones de PCs, y lleva extendiéndose desde el mes de noviembre. Su actividad hace que la protección anti-malware no sirva de nada, y de hecho bloquea el acceso a sitios web con software para evitar este tipo de ataques. Pero es la segunda de sus actividades la que más preocupa a los expertos, ya que Conflicker "llama a casa" cada día para esperar órdenes del responsable de su creación, que podría ejecutar descargas o acciones en los ordenadores infectados.  
0 comentarios0 shares
13/02/2009Javier Pastor
[ ]