Archive for the ‘Virus’ Category

Recuperando carpetas ocultas en un Pendrive

noviembre 16, 2010

Seguramente a muchos les ha traido mas de un dolor de cabeza aquellos ‘virus’ que infectan las memorias USB (pendrive) cuando lo usamos en alguna cabina internet , la oficina o la universidad.

Pues bien, se ha hecho regular que al descubrir que dichas carpetas están con atrubutos de oculto y sólo lectura, estas propiedades no se les puede cambiar desde el explorador de Windows, algunos recurren al winrar para visualizar sus archivos.

La solución es bastante rápida.

Abrir una consola de MS-DOS, ubicarte en la carpeta o directorio que contiene las carpetas que estan ocultas.

Escribir en la linea de comandos:

>attrib -h -s -r *.* /s /d

y listo todas las carpetas se habrán restablecido las carpetas.

donde:

-h para quitar el atributo de oculto
-s para quitar el atributo de archivo de sistema
-r para quitar el atributo de solo lectura

/s realiza la acción en los archivos contenidos en la carpeta actual y las subcarpetas.
/d realiza la accion en directorios o carpetas

ATTRIB Linea de comandos ms-dos

Cuidado!! Falso virus, Cta gestion: Alerta Virus

abril 5, 2010

Esta es tal vez la forma mas burda de phishing pero si es usada es por que las victimas pican el anzuelo.

Envían un correo electrónico con las siguientes características:

Asunto: Cta gestion: Alerta Virus
Origen: correo electronic (correo.electronico@web.com)
Contenido:
 
DGTFX Un virus ha sido detectado en sus carpetas. La cuenta de correo tiene que ser actualizado a nuestro nuevo Asegurado contra DGTFX virus de la versión 2010 para evitar que daños y perjuicios a nuestro registro de correo web y archivos de yourimportant.
 
Haga clic en la pestaña respuesta, Rellenar las columnas de abajo y envíalode espalda o de su cuenta de correo electrónico se pondrá fin de evitarpropagación del virus.
 
NOMBRE DE USUARIO:
CONTRASEÑA:
NÚMERO DE TELÉFONO:
FECHA DE NACIMIENTO:
 
Director Técnico de la Web Team.Note que su contraseñase cifrará with1024-bit RSA claves para su contraseña de seguridad.

Tengan cuidado, los correos y formulario de empresas formales no solicitan contraseñas, así que al ver este correo en sus bandejas de entrada o bandeja de correo no deseado, simplemente ELIMINENLO.

Cuidado con esos enlaces cortos

marzo 12, 2010

Ahora que están de moda los sistemas de microblogging o mensajes cortos (twitter, facebook, etc) y el crecimiento del uso de los enlaces cortos me surgió una pregunta, acaso son seguros estos sistemas que acortan los enlaces, acaso estaré seguro de no acceder a algún enlace malicioso (autenticación).

Decidí buscar más información al respecto y grande fue mi sorpresa cuando iba encontrando algunos blogs que hablan del tema.

http://usemoslinux.blogspot.com/…/los-enlaces-cortos-esconden-peligros-de.html

http://www.elpais.com/articulo/…/20100121elpcibpor_7/Tes/

La cierto es que al hacer clic sobre un enlace corto no podemos saber el destino de éste, es un albur el destino, no sabemos si nos dirigirá a otro blog, alguna Web de noticias, o quizá y por qué no decirlo, a algún enlace malicioso conteniendo malware, este último es muy peligroso porque puede ser un software malicioso usado para hacer phishing y si así fuera sí que estamos en problemas.

Las costumbres actuales de los usuarios de twitter y facebook hacen que con total confianza presionen en cuanto enlace corto se publique en estas redes sociales, hay una gran probabilidad que dicho enlace haya introducido malware (que hace phishing) en tu computadora y el atacante sepa (haya robado) con seguridad tu contraseña de correo-e y tus nros de tarjetas de crédito. Esto es muy peligroso, si tiene acceso a tus contraseñas, tiene acceso a toda tu información de índole personal, a tus contactos en facebook, fotografías privadas, a las actividades que realizas en el día a día y ésto es muy preocupante; en mi país los delincuentes usan este tipo de información para extorsionar, chantajear y hasta secuestrar a sus víctimas.

===============================================
Uno de los gusanos más famosos de las redes sociales, KoobFace, utiliza Bit.ly cuando se envía a todos los contactos de su víctima, o publica en su Twitter que tiene un vídeo que puede verse en un enlace corto y que infectará a quien lo visite. Otro gusano, ZeuS, ha usado TinyURL para propagarse”.
===============================================

Como paliativo AVG tiene una aplicación que verifica los enlaces antes de acceder a ellos, aunque seamos realistas los virus actúan antes que los antivirus los detecten o tengan firmas digitales de ellos.

http://linkscanner.avg.com

Es bastante difícil ir contra la corriente pero no sería mala idea de iniciar una campaña para disminuir los ‘enlaces cortos’

Virus: de Alessandra Rampolla

octubre 30, 2009

Virus supuestamente enviado por Alexandra Rampolla

 Un archivo malicioso es enviado a través de correo electrónico y es identificado como un troyano/backdoor conocido como Poison.awri.1 

Supuesto Remitente: Alexandra Rampolla (info@hi5.com)

 Remitente real: El correo es enviado desde el dominio o servidor de correo core2.hostingmadeeasy.com, incluso han usado una cuenta (mccormac@core2.hostingmadeeasy.com) de esta empresa para realizar el envió masivo de estos correos falsos.

 Virus Alexandra Rampolla

El correo enviado es un correo falso que usa una imagen de la conocida sexóloga Alexandra Rampolla ofreciendo supuesto video con tips sexuales y escenas en vivo; la imagen está enlazada a la dirección:

 hxxp://www.sailing-holiday-mallorca.com/realty/include/class/video-exclusivo/Tips_Sexuales.php

 que al hacer clic invoca un supuesto archivo de video, que al verificar resulta ser un archivo ejecutable de 32 bits, Tips_Sexuales.AVI.exe que debido a que muchos usuarios en su configuración por defecto de Windows tienen oculto la extensión de los archivo, es así que fácilmente este archivo malicioso logra engañar al usuario haciéndose pasar como un video multimedia.

 El virus al ser ejecutado -involuntariamente por el usuario- crea el siguiente archivo A0028457.exe en la computadora victima.

 C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP109\A0028457.exe

 A los usuarios una vez mas se le recomienda tener cuidado con los correos con supuestas promociones o provenientes de usuarios o contactos desconocidos, sobretodo desconfíen de los correos que tengan como remitentes del dominio hi5.com o el remitente info@hi5.com

Ademas, hemos comprabado que el troyano es reconocido por muchos antivirus pero lamentablemente Nod32 antivirus que tiene hoy por hoy muchos usuarios no reconocer el troyano. Pueden ver el analisis del archivo desde Virustotal.es

Seguiremos analizando este archivo.

Virus Paolo Guerrero

octubre 6, 2009

El archivo malicioso es enviado a través de correo electrónico y usa una variante del troyano Dropper para esconder un archivo ejecutable.

Es un correo falso que usa una imagen de la pagina de la conductora Magaly TV y unas supuestas imágenes del futbolista con escenas sexuales, a esta enlazada a una dirección Web.

 

Virus Paolo Guerrero

Virus Paolo Guerrero

La dirección Web conteniendo el virus pueden ser una de las siguiente:

 hxxp://www.vanitininfo.com/videos/magaly/video.php
hxxp://ridelats.com/media/videos/magaly/video.php

Si el usuario hace clic sobre la imagen obtendrá una ventana de dialogo que le indica que puedes descargar o ejecutar un archivo con el nombre Paolo_Guerrero.mp4.exe

El Malware se introduce en el equipo de la victima, modifica el archivo HOST, crea un servidor web en el equipo local y direacciona los accesos a las pagibas de BCP, Scotiabank y BBVA a paginas clonadas para robar las contraseñas.

Información adicional: http://www.scribd.com/doc/22477077

Peru – Paginas Web con Virus

septiembre 16, 2009

A propósito de haber probado el servicio Norton Safe Web de Norton se me ocurrió documentar algunos de mis hallazgos en las rutas de san google, nada de mucha importancia pero si vale la pena compartirlo a modo de información.

Hace un par de semanas hice algunas búsquedas en el servicio Safe Norton Web, normalmente los pone en cola, así que antes de esperar los resultados recordé que siempre encuentro paginas web peruanas que han sido secuestradas por algún ‘malintencionado’ agregándole virus, troyanos, malware, etc. Reiteradas oportunidades me cruce con estas páginas:

xxx.bizpartner.biz
xxx.clb.edu.pe,
xxx.sanagustinmiraflores.com

Pagina con Virus

Mi preocupación es que después de haber pasado algún tiempo, algunas páginas continúan secuestradas.

Esta es una alerta para las empresas que suelen descuidad sus paginas web, generalmente empresas pequeñas que pagan a algún diseñador que les implemente la pagina pero se olvidan de la administración y soporte.

En cuanto siga navegando, seguiré editando esta entrada.