Mas sobre Falsos Programas Antivirus

Ayer cuando «El comercio» publico la noticia haciendo referencia al falso programa de desinfección que usa el emblema de la PNP recordé un artículo que leí hace unos días.

El articulo señala, «No es la primera vez que ocurre, ni la ultima» en que supuestos programas de protección y desinfección son en realidad malwares que hacen en nuestras computadoras justamente lo que aseguran proteger.

Los inescrupulosos criminales informáticos no dudan en usar logos y marcas reconocidas, de empresas informáticas, bancos, hasta organismos estatales. Hasta algunos meses estas técnicas eran usadas con frecuencia por atacantes chinos pero en el ultimo años incremento y los últimos casos nos señalan que esta practica se ha globalizado, e incluso no solo es de uso exclusivo de criminales sino que también agencias gubernamentales de seguridad han caído en la misma practica ilegal, esto a raíz que el mismísimo FBI uso un troyano llamado CIPAV para intervenir una cuenta de MySpace que enviaba falsas amenazas de bombas.

Existen casos donde se usan imágenes de TV como el Homero Simpson, asimismo el caso del paso mes de Junio donde los atacantes usaron como carnada una falsa actualización de Microsoft.

Troyano del FBI
http://www.vsantivirus.com/21-07-08.htm

Homero Simpson nos envía troyanos
http://blogs.eset-la.com/laboratorio/2008/07/15/homero-simpson-propaga-troyano/

Falsa Actualización de Microsoft
http://www.vsantivirus.com/26-06-07.htm

Malware usa emblema de la PNP

Este articulo lo escribió Cesar Orosco y también lo lei en El Comercio de ayer 30 de Julio

Hoy aparece en la portada del diario El Comercio, un titular en el que se alerta de un virus que hace uso del emblema de la Policía Nacional del Perú para distribuir un virus, el que se hace pasar como un supuesto software de protección.

Este software ha sido distribuido mediante correo electrónico en el que incluso se copiaban algunos textos de la Web de la DIVINDAT para hacer más creíble el mensaje. Ofrecían un enlace al supuesto software que no era otro sino un virus, utilizado para el robo de información. La Web fue retirada el día de ayer, después de haber informado el hecho a la DIVINDAT.

Ataque Phishing a los clientes del BBVA al descubierto

Se ha identificado un correo electronico con una ataque de phishing que que tenía como objetivo a los clientes del Banco BBVA, el correo en mención tiene como emisor a «BBVA (conoceme@sexyono.com)»; al ingresar al supuesto enlace del banco, que este direccionaba a un enlace externo de dominio mexicano.

(http://www.carpama.com.mx/configlop.php).

Pueden ver el screshot

http://img253.imageshack.us/img253/9185/phishingbbvaiv5.jpg

Al parecer los ‘phishers’ lograron acceder al servidor web e incluyeron un archivo php (configlop.php) que re-direcciona a la victima a otro servidor ubicado en Brasil

(http://www.bellajanela.com.br/restrito/tabelas/configuration/config/log/)

donde los ‘phishers’ lograron entrar y dejar el código para la recoleccion de datos.

Los servidores web comprometidos pertenecen a empresas que han sido atacadas por los phishers.

ZeroDay en Microsoft Word

Una vulnerabilidad ha sido reportada en Microsoft Word, que pueden ser explotada por personas maliciosas comprometiendo el sistema.

La problema es causado debido a un error aun no especificado, que al ser explotado puede causar corrupción de memoria; para ello el atacante se vale de un documento creado especialmente para explotar esta vulnerabilidad que el usuario ejecuta sin saberlo, permitiendo la ejecucion de codigo arbitrario en sus sistema.

Las versiones afectadas son:

Microsoft Office XP Service Pack 3
Microsoft Word 2002 Service Pack 3

Mas Información:

http://www.frsirt.com/english/advisories/2008/2028/solution
http://www.microsoft.com/technet/security/advisory/953635.mspx

Pioneer crea un disco óptico de 400 gigas

La empresa japonesa Pioneer, especializada en dispositivos de sonido para automóviles y para el hogar, se ha lanzado en la carrera de los ópticos presentando en sociedad un disco de hasta 400 GB de memoria, ocho veces más que lo que puede almacenar un Blu-ray de doble capa.

Como aún no existen grabadores comerciales para esta tecnología, Pioneer anunció que de momento sólo estará disponible para venderse con contenidos pregrabados.

Para lograr esta capacidad de memoria, Pioneer utilizó precisamente el sistema de las capas, sólo que en vez de dos esta empresa añadió 16 y el experimento le ha salido bien.

Resolvieron algunos problemas de interferencia en la lectura entre una y otra capa y, lo más importante, los hicieron legibles para el sistema óptico Blu-Ray, evitando cualquier problema de incompatibilidad de los sistemas.

El ahorro de discos con motivos ecológicos es otro de los beneficios que más se anunciarán desde Pioneer, que ha definido a su nuevo disco como «un gran paso en el futuro de los sistemas de gran almacenaje», según un comunicado de la empresa. Pioneer presentará los detalles del disco de 400 GB en el ‘Simposio Internacional de Memorias ópticas o dispositivos ópticos de datos’ que se celebrará en Hawaii la próxima semana.

Fuente: http://www.20minutos.es/noticia/396896/0/pionner/bluray/400/

Multiples Vulnerabilidades en Panda ActiveScan

Múltiples vulnerabilidades se han detectado en ActiveScan de Panda Antivirus, podrían ser explotadas por atacantes remotos y tomar control total de los sistemas afectados.

La primera vulnerabilidad es causada por un desbordamiento del búfer del control ActiveX del modulo ActiveScan cuando maneja datos malformados que son transmitidos a través del método «update()», que puede ser explotada por atacantes remotos, permitiéndoles la ejecución de código arbitrario valiéndose del engaño a un usuario cuando visita una pagina web creada especialmente para este fin, luego de lo cual se ejecutara el código arbitrario.

La segunda vulnerabilidad es causada por un error de diseño en el control ActiveX ActiveScan cuando procesa URLs para ser utilizadas en el método «update()», que podría ser explotada por atacantes remotos para descargar e instalar archivos arbitrariamente.

Mas información:

http://www.frsirt.com/english/advisories/2008/2008

ZeroDay en el control ActiveX «Microsoft Access Snapshot Viewer»

El control ActiveX del visor de snapshots de Microsoft Office, especificamente en Microsoft Access presenta una vulnerabilidad, que permite el control remoto del sistema a los atacantes no autenticados y la descarga arbitraria archivos. Este problema es originado por un error de diseño en el control «snapview.ocx»

Snapshop Viewer es suministrado con Office 2000, Office XP y Office 2003, y también puede ser instalado en un sistema que no tiene Microsoft Office.

US-CERT ha reportado esta vulnerabilidad como la VU#837785

Actualmente no se conoce la solución al problema pero US-CERT recomienda leer el aviso de Seguridad de Microsfot (Microsoft Security Advisory 955179) y deshabilitar el control ActiveX de Microsoft Snapshot Viewer en Internet Explorer, actualizar Internet Explorer a la versión 7, asimismo leer el artículo de Microsoft, «Cómo impedir la ejecución de un control ActiveX en Internet Explorer»

Más información:

http://www.kb.cert.org/vuls/id/837785

Referencias de Ayuda y soluciones

http://www.microsoft.com/technet/security/advisory/955179.mspx
http://support.microsoft.com/kb/175274
http://www.us-cert.gov/reading_room/securing_browser/
http://technet.microsoft.com/en-us/library/bb456992.aspx

Spammers rusos han logrado romper CHAPTCHA de Gmail, yahoo! Mail, y Hotmail

Spammers rusos han logrado romper CHAPTCHA de Gmail, yahoo! Mail, y Hotmail.

Hasta ahora los grandes proveedores de correo gratutito como Gmail, Hotmail y Yahoo Mail se protegían de enviar spam forzando a los nuevos usuarios a usar sus sistemas CAPTCHA, sistema que genera numeros y letras (que hasta ahora sólo podían ser decifrados por los sentidos humanos), evitando asi que los spammers usen ‘robots’ para crear nuevos usuarios que se dediquen al envio de spam.

Desde hace meses circula la noticia, hackers rusos han logrado romper el CAPTCHA de Google Mail y efectivamente, estos hackers han diseñado un sistema autoaprendizaje que con ayuda de un servidor  es alimentado por humanos en la lectura de los CAPTCHAs y va analizando el comportamiento de los sistemas CAPTCHA de los proveedores de correo. Los invetigadores creen que en los últimos días estos sistemas han incrementado su efectividad, tal es así, que estos hackers rusos venden paquetes de miles de correos para ser usados para el envio de spam por módicas sumas de dinero.

Pueden Revisar mas información y detalles en los siguientes enlaces.

http://blogs.zdnet.com/security/?p=1418
http://blogs.zdnet.com/security/?p=1232
http://www.vsantivirus.com/mm-captchasbroken.htm

Snort Security Platform (Snort SP) 3.0 Beta

Vía csirtuni: Acaban de lanzar Snort Security Platform 3.0 Beta. La arquitectura de Snort 3.0 consta de dos componentes principales: una plataforma de software denominada plataforma de seguridad Snort (SnortSP) 3.0. y el modulo de analisis de trafico que se conecta a SnortSP; en esta versió release el motor del modulo de detección es el usado en la versión Snort 2.8.2.

Características principales:

• Soporte nativo para IPv6, MPLS y GRE
• Soporte nativo online
• Más sistemas de plugins tales como módulos de adquisición de datos, descodificadores y los analizadores de tráfico.
• Modelo de ejecución multihilo, múltiples motores pueden analizar simultáneamente el mismo tráfico.
• Aumento de rendimiento

Mayor información:

http://www.snort.org/dl/snortsp

Descarga Directa

http://www.snort.org/dl/prerelease/3.0.0.b/snortsp-3.0.0.b.tar.gz