Archive for the ‘Noticias’ Category

Falso mensaje twitter vende viagra

abril 25, 2010

Un correo supuesto del soporte de twitter nos redirige a una pagina web de venta de viagra.

Al presionar el enlace, nos redirige a:
httx://kivaeast.com/midstream.html 

y este a su vez, redirige hacía la página web de venta de viagra:
httx://joincalm.com

Interbank, Falso correo de Verificación Urgente de Datos

abril 25, 2010

Hace unos días descubrí en mi bandeja de correo un mensaje con los siguientes datos,

Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏
Desde: Banco Interbank (noreply@sonico.com)

Para empezar no tengo cuentas en dicho banco, en segundo lugar Interbank no tiene como dominio de correo electrónico @sonico.com y ahí la señal de que se trataba de un fraude.

El contenido de dicho correo es como sigue:

ESTIMADO CLIENTE :

La importancia por la seguridad e integridad de nuestros servicios hemos decidido enviarle el siguiente mensaje de alerta en el cual le comunicamos que debido a los reiterados robos informaticos, el banco a puesto a disposicion a todos sus clientes la nueva banca celular.

!Ingresa a su banca para acceder al sistema de banca celular! desde aki :

http://www.grrr.ws/escola/inscrits/css/NetActiva/www.interbank.com.pe/

 Creo que lo errores saltan a la vista, un banco formal no escribe ‘desde aki :’

Es así que decido investigar pero no tuve la suerte de ver el comportamiento o lo que dicho enlace hacía, al parecer ya lo han reportado y esta fuera de línea.


He aquí la cabecera del correo.

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Status: n:0
X-SID-PRA: Banco Interbank noreply@sonico.com
X-AUTH-Result: NONE
X-Message-Info: R00BdL5giqqKCD/Wy0S2cY0xYtL/iwmX0lfiw24IiEeFn2
tAeTOaTUhcognDtSbAKP/RFfqyLVDrxxyomHSPN1ANmrNScx2A
Received: from moutng.kundenserver.de ([212.227.17.9]) by
BAY0-MC1-F35.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Mon, 12 Apr 2010 09:35:23 -0700
Received: from infong-es27.kundenserver.de
(infong-es27.1and1.es [212.227.114.95])
        by mrelayeu.kundenserver.de (node=mreu1) with ESMTP (Nemesis)
        id 0LnFph-1NZjtO0SwX-00hbRr; Mon, 12 Apr 2010 18:35:23 +0200
Received: from 186.160.53.202 (IP may be forged by CGI script)
    by infong-es27.kundenserver.de with HTTP
    id 4AgApW-1O1Mba3dD6-00078c; Mon, 12 Apr 2010 18:35:22 +0200
X-Sender-Info: 264167517@infong-es27.kundenserver.de
Date: Mon, 12 Apr 2010 18:35:22 +0200
Precedence: bulk
X-Apache-Env: www-ip="MTg2LjE2MC41My4yMDI=";helo="aW5mb25nLWVzMj
 cua3VuZGVuc2VydmVyLmRl";script="L2pzL3h6LnBocA=="
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Banco Interbank noreply@sonico.com
Message-Id: 1307462764.129@sonico.com
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Provags-ID: V01U2FsdGVkX195DS7ibZzuMFH1v60nWbxywCtm7kaZyq7WoT2
 f64v457yiktsr/4kVE9Sb77sPM/gCQGRs1DhoFamksspmPZN6g
 0HGXj6/RbU=
Return-Path: noreply@sonico.com
X-OriginalArrivalTime: 12 Apr 2010 16:35:24.0171 (UTC)
FILETIME=[268805B0:01CADA5E] 

Un Segundo correo esta vez con los siguientes datos,

 De: Interbank.com.pe (Servicioalcliente@interbank.com.pe)
Asunto: Verificación Urgente de Datos por Motivos de Seguridad.‏

Contenido:

CUENTA SUSPENDIDA

Estimado Cliente:

Le hacemos llegar una notificación debido a que su cuenta Interbank ha sido Suspendia por que su correo electronico no esta registrado debidamente en nuestra banca por Internet.

El registro Activará automaticamente su cuenta!.

El enlace fraudulento es:
http://aditivos.com.sv/includes/fileman/includes/www.interbank.com.pe/index.shtml

He aquí la cabecera, 

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtTQ0w9Mg==
X-Message-Status: n:0
X-SID-PRA: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
X-AUTH-Result: NONE
X-Message-Info: JGTYoYF78jEJRemogB0DrG8U7Uonnp59cA3w0GZq6yITpF7E
o3vl4gctGis75uynABblIcNI5LYgl7vHWUxrICWaBxQEFSub
Received: from quad.bahiaservers.com ([64.22.110.26]) by
SNT0-MC3-F37.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
         Thu, 1 Apr 2010 19:59:32 -0700
Received: from nobody by quad.bahiaservers.com with local (Exim 4.69)
        (envelope-from <nobody@quad.bahiaservers.com>)
        id 1NxX6X-0007aG-0H
        for xxxxxx@hotmail.com; Thu, 01 Apr 2010 23:59:29 -0300
To: xxxxxx@hotmail.com
Subject: Verificación Urgente de Datos por Motivos de Seguridad.
From: Interbank.com.pe <Servicioalcliente@interbank.com.pe>
Message-Id: <130746321.129@interbank.com.pe>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Date: Thu, 01 Apr 2010 23:59:29 -0300
X-AntiAbuse: This header was added to track abuse,
please include it with any abuse report
X-AntiAbuse: Primary Hostname - quad.bahiaservers.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID - [99 32003] / [47 12]
X-AntiAbuse: Sender Address Domain - quad.bahiaservers.com
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: cadenaintegracion.com.ar:/public_html/images
Return-Path: nobody@quad.bahiaservers.com
X-OriginalArrivalTime: 02 Apr 2010 02:59:32.0788 (UTC)
FILETIME=[851A3F40:01CAD210]
 

Cuidado!! Falso virus, Cta gestion: Alerta Virus

abril 5, 2010

Esta es tal vez la forma mas burda de phishing pero si es usada es por que las victimas pican el anzuelo.

Envían un correo electrónico con las siguientes características:

Asunto: Cta gestion: Alerta Virus
Origen: correo electronic (correo.electronico@web.com)
Contenido:
 
DGTFX Un virus ha sido detectado en sus carpetas. La cuenta de correo tiene que ser actualizado a nuestro nuevo Asegurado contra DGTFX virus de la versión 2010 para evitar que daños y perjuicios a nuestro registro de correo web y archivos de yourimportant.
 
Haga clic en la pestaña respuesta, Rellenar las columnas de abajo y envíalode espalda o de su cuenta de correo electrónico se pondrá fin de evitarpropagación del virus.
 
NOMBRE DE USUARIO:
CONTRASEÑA:
NÚMERO DE TELÉFONO:
FECHA DE NACIMIENTO:
 
Director Técnico de la Web Team.Note que su contraseñase cifrará with1024-bit RSA claves para su contraseña de seguridad.

Tengan cuidado, los correos y formulario de empresas formales no solicitan contraseñas, así que al ver este correo en sus bandejas de entrada o bandeja de correo no deseado, simplemente ELIMINENLO.

Antivirus paralizó Windows

marzo 23, 2010

Una actualización defectuosa hizo que el antivirus BitDefender trasladara diversos archivos de Windows (64-bit) a cuarentena, debido a que la actualización considera que están infectados por el malware “Trojan.FakeAlert.5”.

El foro de usuarios de BitDefender estuvo durante el fin de semana colmado de indignados comentarios. Uno de los frustrados usuarios comenta que todo archivo que intenta ser ejecutado, incluyendo el explorador de Windows y las actualizaciones del propio BitDefender eran puestas en cuarentena.

BitDefender admite en su blog que el error resultó, en algunos sistemas, en que algunos programas dejaran de funcionar y que incluso Windows no pudiera ser iniciado.

La empresa reaccionó con rapidez y a las 07:00 hrs. del domingo 21 de marzo había publicado un parche reparador para la versión 2010 de BitDefender. El parche para la versión 2009 será publicada lo antes posible, informa la empresa.

Bitdefender ha publicado en su web 2 comunicados al respecto.

Problema con Actualización: Trojan.FakeAlert.5.
Carta abierta a los usuarios de BitDefender.

Extraido de: DiarioTI

Cuidado con esos enlaces cortos

marzo 12, 2010

Ahora que están de moda los sistemas de microblogging o mensajes cortos (twitter, facebook, etc) y el crecimiento del uso de los enlaces cortos me surgió una pregunta, acaso son seguros estos sistemas que acortan los enlaces, acaso estaré seguro de no acceder a algún enlace malicioso (autenticación).

Decidí buscar más información al respecto y grande fue mi sorpresa cuando iba encontrando algunos blogs que hablan del tema.

http://usemoslinux.blogspot.com/…/los-enlaces-cortos-esconden-peligros-de.html

http://www.elpais.com/articulo/…/20100121elpcibpor_7/Tes/

La cierto es que al hacer clic sobre un enlace corto no podemos saber el destino de éste, es un albur el destino, no sabemos si nos dirigirá a otro blog, alguna Web de noticias, o quizá y por qué no decirlo, a algún enlace malicioso conteniendo malware, este último es muy peligroso porque puede ser un software malicioso usado para hacer phishing y si así fuera sí que estamos en problemas.

Las costumbres actuales de los usuarios de twitter y facebook hacen que con total confianza presionen en cuanto enlace corto se publique en estas redes sociales, hay una gran probabilidad que dicho enlace haya introducido malware (que hace phishing) en tu computadora y el atacante sepa (haya robado) con seguridad tu contraseña de correo-e y tus nros de tarjetas de crédito. Esto es muy peligroso, si tiene acceso a tus contraseñas, tiene acceso a toda tu información de índole personal, a tus contactos en facebook, fotografías privadas, a las actividades que realizas en el día a día y ésto es muy preocupante; en mi país los delincuentes usan este tipo de información para extorsionar, chantajear y hasta secuestrar a sus víctimas.

===============================================
Uno de los gusanos más famosos de las redes sociales, KoobFace, utiliza Bit.ly cuando se envía a todos los contactos de su víctima, o publica en su Twitter que tiene un vídeo que puede verse en un enlace corto y que infectará a quien lo visite. Otro gusano, ZeuS, ha usado TinyURL para propagarse”.
===============================================

Como paliativo AVG tiene una aplicación que verifica los enlaces antes de acceder a ellos, aunque seamos realistas los virus actúan antes que los antivirus los detecten o tengan firmas digitales de ellos.

http://linkscanner.avg.com

Es bastante difícil ir contra la corriente pero no sería mala idea de iniciar una campaña para disminuir los ‘enlaces cortos’

Utilizan desastre en Chile para vender falso antivirus

marzo 7, 2010

Más de 13% de todas las búsquedas en Google sobre temas populares y tendencias llevan a enlaces maliciosos, y las búsquedas de las últimas noticias sobre el terremoto en Chile no es la excepción.

Normalmente los enlaces de los resultados de búsquedas parecen enlaces ordinarios que llevan a páginas web regulares. Esta vez los delincuentes cambiaron su táctica para hacer que los resultados de búsquedas luzcan aún más convincentes, haciendo que Google crea que es un archivo PDF.

Google dice a los usuarios que el formato del archivo es PDF y no HTML. Eso no es cierto; de hecho es una página HTML regular que cuando la visita, el usuario es redirigido a una página que luce así: sólo otra página de un antivirus falso. Este, como la mayoría de los sitios antivirus falsos es el .IN TLD que es el dominio de alto nivel para la India.

Hacer que los resultados de búsqueda luzcan como un PDF le da al enlace mayor autenticidad. Tal vez pudiera ser una investigación o por lo menos un artículo mejor escrito. La probabilidad de que un usuario abra este tipo de enlaces es tal vez más alta que si fuera sólo un enlace web aleatorio.

Extraido de DiarioTi

Pilotos olvidan aterrizar por estar concentrados en sus laptops

noviembre 5, 2009

Dos pilotos estadounidenses se distrajeron en grado tal en la cabina mientras usaban sus laptops personales, que olvidaron aterrizar.

Diario Ti: Los legisladores estadounidenses consideran prohibir el uso de PC portátiles, reproductores MP3 y otros aparatos móviles en las cabinas de pilotos luego que dos pilotos de la aerolínea Northwest no aterrizaron en el aeropuerto de Minneapolis el pasado 21 de octubre por encontrarse absortos en sus laptops personales.
Durante una hora, los pilotos no reaccionaron a las llamadas de la torre de control, lo que incluso llevó a las autoridades aeroportuarias a temer un eventual secuestro. Después de haber volado 240 kilómetros desde Minneapolis, los pilotos se percataron de la situación, retornando al lugar de destino.

Pilotos despistados

La normativa actual permite a los pilotos usar equipos electrónicos personales bajo la condición que la aeronave se encuentre a una altitud superior a los 3.000 metros. En la situación descrita, el avión volaba a una altura inferior.

El presidente de la comisión de aeronáutica civil en el Senado estadounidense, Byron Dorgan, declaró la víspera que se preparará un proyecto de ley que prohíbe totalmente el uso de laptops y aparatos electrónicos personales en las cabinas de pilotos. Dorgan incluso expresó sorpresa de que hasta ahora no exista una prohibición de ese tipo.

El avión en cuestión transportaba a 144 pasajeros. Aparte de ser despedidos de Northwest, la autoridad aeronáutica estadounidense FFA revocó las licencias de ambos pilotos.

Fuente: USA Today
Extraido: diarioti.com

Spam solicita confirmación de contraseña de facebook

noviembre 5, 2009

Mensaje fraudulento intenta confundir al usuario suplantando la dirección de soporte de Facebook, support@facebook.com.

Diario Ti: Websense Security Labs ThreatSeeker Network descubrió una nueva ola de ataques maliciosos de correo electrónico que afirman ser una confirmación para restaurar contraseñas de Facebook.

Facebook
Los mensajes contienen un archivo adjunto .zip con un archivo .exe en su interior. El archivo .exe tiene actualmente una tasa de detección de casi 30 por ciento en VirusTotal.

El archivo .exe malicioso conecta dos servidores para descargar archivos maliciosos adicionales y se une al botnet Bredolab, lo que significa que los atacantes tienen el control completo de la PC, con lo que pueden robar información de los clientes y enviar correos electrónicos no deseados. Uno de los servidores se encuentra en Holanda y el otro en Kazajstán.

Fuente: Websense.
Extraido de: diarioti.com

Sabías que?

noviembre 3, 2009

Este video lo vi publicado en la web de un diario local y realmente las cifras que se señalan son para sorprenderse de cómo va cambiando el mundo y el ritmo de crecimiento que la información va teniendo en torno al fenomeno internet.

Sin duda hace bastante rato que el crecimiento de la información le tomó la delantera a nuestra capacidad de procesarla.

Virus: de Alessandra Rampolla

octubre 30, 2009

Virus supuestamente enviado por Alexandra Rampolla

 Un archivo malicioso es enviado a través de correo electrónico y es identificado como un troyano/backdoor conocido como Poison.awri.1 

Supuesto Remitente: Alexandra Rampolla (info@hi5.com)

 Remitente real: El correo es enviado desde el dominio o servidor de correo core2.hostingmadeeasy.com, incluso han usado una cuenta (mccormac@core2.hostingmadeeasy.com) de esta empresa para realizar el envió masivo de estos correos falsos.

 Virus Alexandra Rampolla

El correo enviado es un correo falso que usa una imagen de la conocida sexóloga Alexandra Rampolla ofreciendo supuesto video con tips sexuales y escenas en vivo; la imagen está enlazada a la dirección:

 hxxp://www.sailing-holiday-mallorca.com/realty/include/class/video-exclusivo/Tips_Sexuales.php

 que al hacer clic invoca un supuesto archivo de video, que al verificar resulta ser un archivo ejecutable de 32 bits, Tips_Sexuales.AVI.exe que debido a que muchos usuarios en su configuración por defecto de Windows tienen oculto la extensión de los archivo, es así que fácilmente este archivo malicioso logra engañar al usuario haciéndose pasar como un video multimedia.

 El virus al ser ejecutado -involuntariamente por el usuario- crea el siguiente archivo A0028457.exe en la computadora victima.

 C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP109\A0028457.exe

 A los usuarios una vez mas se le recomienda tener cuidado con los correos con supuestas promociones o provenientes de usuarios o contactos desconocidos, sobretodo desconfíen de los correos que tengan como remitentes del dominio hi5.com o el remitente info@hi5.com

Ademas, hemos comprabado que el troyano es reconocido por muchos antivirus pero lamentablemente Nod32 antivirus que tiene hoy por hoy muchos usuarios no reconocer el troyano. Pueden ver el analisis del archivo desde Virustotal.es

Seguiremos analizando este archivo.