Posts Tagged ‘Virus’

Recuperando carpetas ocultas en un Pendrive

noviembre 16, 2010

Seguramente a muchos les ha traido mas de un dolor de cabeza aquellos ‘virus’ que infectan las memorias USB (pendrive) cuando lo usamos en alguna cabina internet , la oficina o la universidad.

Pues bien, se ha hecho regular que al descubrir que dichas carpetas están con atrubutos de oculto y sólo lectura, estas propiedades no se les puede cambiar desde el explorador de Windows, algunos recurren al winrar para visualizar sus archivos.

La solución es bastante rápida.

Abrir una consola de MS-DOS, ubicarte en la carpeta o directorio que contiene las carpetas que estan ocultas.

Escribir en la linea de comandos:

>attrib -h -s -r *.* /s /d

y listo todas las carpetas se habrán restablecido las carpetas.

donde:

-h para quitar el atributo de oculto
-s para quitar el atributo de archivo de sistema
-r para quitar el atributo de solo lectura

/s realiza la acción en los archivos contenidos en la carpeta actual y las subcarpetas.
/d realiza la accion en directorios o carpetas

ATTRIB Linea de comandos ms-dos

Cuidado con esos enlaces cortos

marzo 12, 2010

Ahora que están de moda los sistemas de microblogging o mensajes cortos (twitter, facebook, etc) y el crecimiento del uso de los enlaces cortos me surgió una pregunta, acaso son seguros estos sistemas que acortan los enlaces, acaso estaré seguro de no acceder a algún enlace malicioso (autenticación).

Decidí buscar más información al respecto y grande fue mi sorpresa cuando iba encontrando algunos blogs que hablan del tema.

http://usemoslinux.blogspot.com/…/los-enlaces-cortos-esconden-peligros-de.html

http://www.elpais.com/articulo/…/20100121elpcibpor_7/Tes/

La cierto es que al hacer clic sobre un enlace corto no podemos saber el destino de éste, es un albur el destino, no sabemos si nos dirigirá a otro blog, alguna Web de noticias, o quizá y por qué no decirlo, a algún enlace malicioso conteniendo malware, este último es muy peligroso porque puede ser un software malicioso usado para hacer phishing y si así fuera sí que estamos en problemas.

Las costumbres actuales de los usuarios de twitter y facebook hacen que con total confianza presionen en cuanto enlace corto se publique en estas redes sociales, hay una gran probabilidad que dicho enlace haya introducido malware (que hace phishing) en tu computadora y el atacante sepa (haya robado) con seguridad tu contraseña de correo-e y tus nros de tarjetas de crédito. Esto es muy peligroso, si tiene acceso a tus contraseñas, tiene acceso a toda tu información de índole personal, a tus contactos en facebook, fotografías privadas, a las actividades que realizas en el día a día y ésto es muy preocupante; en mi país los delincuentes usan este tipo de información para extorsionar, chantajear y hasta secuestrar a sus víctimas.

===============================================
Uno de los gusanos más famosos de las redes sociales, KoobFace, utiliza Bit.ly cuando se envía a todos los contactos de su víctima, o publica en su Twitter que tiene un vídeo que puede verse en un enlace corto y que infectará a quien lo visite. Otro gusano, ZeuS, ha usado TinyURL para propagarse”.
===============================================

Como paliativo AVG tiene una aplicación que verifica los enlaces antes de acceder a ellos, aunque seamos realistas los virus actúan antes que los antivirus los detecten o tengan firmas digitales de ellos.

http://linkscanner.avg.com

Es bastante difícil ir contra la corriente pero no sería mala idea de iniciar una campaña para disminuir los ‘enlaces cortos’

Utilizan desastre en Chile para vender falso antivirus

marzo 7, 2010

Más de 13% de todas las búsquedas en Google sobre temas populares y tendencias llevan a enlaces maliciosos, y las búsquedas de las últimas noticias sobre el terremoto en Chile no es la excepción.

Normalmente los enlaces de los resultados de búsquedas parecen enlaces ordinarios que llevan a páginas web regulares. Esta vez los delincuentes cambiaron su táctica para hacer que los resultados de búsquedas luzcan aún más convincentes, haciendo que Google crea que es un archivo PDF.

Google dice a los usuarios que el formato del archivo es PDF y no HTML. Eso no es cierto; de hecho es una página HTML regular que cuando la visita, el usuario es redirigido a una página que luce así: sólo otra página de un antivirus falso. Este, como la mayoría de los sitios antivirus falsos es el .IN TLD que es el dominio de alto nivel para la India.

Hacer que los resultados de búsqueda luzcan como un PDF le da al enlace mayor autenticidad. Tal vez pudiera ser una investigación o por lo menos un artículo mejor escrito. La probabilidad de que un usuario abra este tipo de enlaces es tal vez más alta que si fuera sólo un enlace web aleatorio.

Extraido de DiarioTi

Virus: de Alessandra Rampolla

octubre 30, 2009

Virus supuestamente enviado por Alexandra Rampolla

 Un archivo malicioso es enviado a través de correo electrónico y es identificado como un troyano/backdoor conocido como Poison.awri.1 

Supuesto Remitente: Alexandra Rampolla (info@hi5.com)

 Remitente real: El correo es enviado desde el dominio o servidor de correo core2.hostingmadeeasy.com, incluso han usado una cuenta (mccormac@core2.hostingmadeeasy.com) de esta empresa para realizar el envió masivo de estos correos falsos.

 Virus Alexandra Rampolla

El correo enviado es un correo falso que usa una imagen de la conocida sexóloga Alexandra Rampolla ofreciendo supuesto video con tips sexuales y escenas en vivo; la imagen está enlazada a la dirección:

 hxxp://www.sailing-holiday-mallorca.com/realty/include/class/video-exclusivo/Tips_Sexuales.php

 que al hacer clic invoca un supuesto archivo de video, que al verificar resulta ser un archivo ejecutable de 32 bits, Tips_Sexuales.AVI.exe que debido a que muchos usuarios en su configuración por defecto de Windows tienen oculto la extensión de los archivo, es así que fácilmente este archivo malicioso logra engañar al usuario haciéndose pasar como un video multimedia.

 El virus al ser ejecutado -involuntariamente por el usuario- crea el siguiente archivo A0028457.exe en la computadora victima.

 C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP109\A0028457.exe

 A los usuarios una vez mas se le recomienda tener cuidado con los correos con supuestas promociones o provenientes de usuarios o contactos desconocidos, sobretodo desconfíen de los correos que tengan como remitentes del dominio hi5.com o el remitente info@hi5.com

Ademas, hemos comprabado que el troyano es reconocido por muchos antivirus pero lamentablemente Nod32 antivirus que tiene hoy por hoy muchos usuarios no reconocer el troyano. Pueden ver el analisis del archivo desde Virustotal.es

Seguiremos analizando este archivo.

Peru – Paginas Web con Virus

septiembre 16, 2009

A propósito de haber probado el servicio Norton Safe Web de Norton se me ocurrió documentar algunos de mis hallazgos en las rutas de san google, nada de mucha importancia pero si vale la pena compartirlo a modo de información.

Hace un par de semanas hice algunas búsquedas en el servicio Safe Norton Web, normalmente los pone en cola, así que antes de esperar los resultados recordé que siempre encuentro paginas web peruanas que han sido secuestradas por algún ‘malintencionado’ agregándole virus, troyanos, malware, etc. Reiteradas oportunidades me cruce con estas páginas:

xxx.bizpartner.biz
xxx.clb.edu.pe,
xxx.sanagustinmiraflores.com

Pagina con Virus

Mi preocupación es que después de haber pasado algún tiempo, algunas páginas continúan secuestradas.

Esta es una alerta para las empresas que suelen descuidad sus paginas web, generalmente empresas pequeñas que pagan a algún diseñador que les implemente la pagina pero se olvidan de la administración y soporte.

En cuanto siga navegando, seguiré editando esta entrada.

Un terrible virus amenaza el sistema Windows

enero 16, 2009

El virus conocido como Downadup se ha convertido en el peor de los últimos años, al afectar a más de 6,5 millones de ordenadores.

Un virus informático registrado esta semana y conocido como “Downadup” se ha convertido en el peor de los últimos años al afectar a más de 6,5 millones de ordenadores que operan en base al sistema Windows, informó hoy la compañía de seguridad en Internet F-Secure.

“La cantidad de infecciones de Downadup es impresionante”, comentó un investigador de F-Secure, Toni Koivunen. “De lo que se calculaba que serían 2,4 millones de máquinas infectadas pasó a afectar a más de 8,9 millones en los últimos cuatro días. Es increíble”, comentó el especialista.

Según la compañía Microsoft, el gusano informático estaría buscando un fichero ejecutable de Windows llamado “services.exe” para luego proceder a formar parte de ese código.

Según la firma de antivirus, el gusano informático utiliza un algoritmo para lograr cientos de nombres de dominios diferentes cada día, tales como mphtfrxs.net, imctaef.cc y hcweu.org., por lo que sería complicado rastrear ese sitio.

Por ahora, los expertos han logrado revertir este virus, prediciendo algunos de los posibles nombres de los dominios. Este proceso no ayudaría a averiguar quiénes son los responsables, pero al menos se obtendría la cantidad exacta de las máquinas afectadas.

Si los ordenadores tienen sus programas antivurs al día, no tienen qué temer.

Fuente: ElComercio.com.pe

Virus en la Estacion Espacial Internacional

agosto 27, 2008

La NASA ha confirmado que el gusano W32.Gammima.AG (que roba datos de acceso para juegos “on line” e intenta enviarlos a un servidor central) ha sido detectado a bordo de la Estación Espacial Internacional (ISS), a donde presumiblemente llegó alojado en el portátil de uno de los astronautas incorporados en Julio, y desde el que se propagó, al parecer vía USB, a varios portátiles ma? de la tripulación.

Los ordenadores de la ISS no están directamente conectados a Internet, sino a un enlace satelital que les permite enviar y recibir correos, información y ficheros.

Pese a que el gusano se considera de baja peligrosidad, el incidente podría no resultar banal, ya que el portavoz de la NASA declinó responder si los portátiles infectados están o no conectados a sistemas críticos de la estación espacial

Fuente: www.kriptopolis.org

Mas sobre Falsos Programas Antivirus

julio 31, 2008

Ayer cuando “El comercio” publico la noticia haciendo referencia al falso programa de desinfección que usa el emblema de la PNP recordé un artículo que leí hace unos días.

El articulo señala, “No es la primera vez que ocurre, ni la ultima” en que supuestos programas de protección y desinfección son en realidad malwares que hacen en nuestras computadoras justamente lo que aseguran proteger.

Los inescrupulosos criminales informáticos no dudan en usar logos y marcas reconocidas, de empresas informáticas, bancos, hasta organismos estatales. Hasta algunos meses estas técnicas eran usadas con frecuencia por atacantes chinos pero en el ultimo años incremento y los últimos casos nos señalan que esta practica se ha globalizado, e incluso no solo es de uso exclusivo de criminales sino que también agencias gubernamentales de seguridad han caído en la misma practica ilegal, esto a raíz que el mismísimo FBI uso un troyano llamado CIPAV para intervenir una cuenta de MySpace que enviaba falsas amenazas de bombas.

Existen casos donde se usan imágenes de TV como el Homero Simpson, asimismo el caso del paso mes de Junio donde los atacantes usaron como carnada una falsa actualización de Microsoft.

Troyano del FBI
http://www.vsantivirus.com/21-07-08.htm

Homero Simpson nos envía troyanos
http://blogs.eset-la.com/laboratorio/2008/07/15/homero-simpson-propaga-troyano/

Falsa Actualización de Microsoft
http://www.vsantivirus.com/26-06-07.htm

Piratas usan contenido de elcomercio.com.pe para enviar spam con videos con malware

junio 28, 2008

Entorno multimedia del portal de noticias de “El Comercio” es aprovechado inescrupulosamente por piratas en Internet para hacer ‘spam’ engañoso.

La técnica usada es el envio de video conteniendo malware, envian noticias sacadas del portal de El Comercio a través de correo electronico supuestamente enviasdas desde el mismo portal (www.elcomercio.com.pe) con videos incrustados conteniendo codigo malicioso.

elcomercio fake

Segun el portal de El comercio, denuncian el fraude que perjudica la imagen de este portal y señalan que los correos tienen como Asunto, Un Supuesto conflicto belico con chile, lo que induce a las victimas a ingresar a leer la noticia, una vez ingresado a la noticia el video pone en ejecucion el cogigo malicioso y toma control sobre el equipo de la victima.

Se puede encontrar mayor informacion en los siguientes enlaces.

http://blogs.elcomercio.com.pe/vidayfuturo/2008/06/noticias-falsas-con-videos-y-v.html

http://www.elcomercio.com.pe/ediciononline/HTML/2008-06-26/cuidado-correo-spam-difunde-falsas-noticias.html