Conficker y un nuevo ataque para abril.-

Mientras los investigadores de la Universidad de Michigan están intentando averiguar de dónde viene el virus Conficker, utilizando numerosos sensores disponibles en la web, para hacer un seguimiento del “momento cero” a partir del cual se generó el gusano que ya infectó a más de diez millones de computadoras, también se dio a conocer que está previsto que el próximo 1 de abril se active una nueva versión de esta peligrosa amenaza.

Los sensores que utiliza la institución para identificar a la primera víctima de Conficker se denominan “darknet” y fueron instalados hace unos seis años en internet para hacer un seguimiento de la actividad maligna que se desarrolla en ella.

Además de los darknet, los científicos cuentan con el apoyo del Departamento de Seguridad Nacional de Estados Unidos, con el que colaboran para compartir la información recopilada de estos sensores que están instalados en todo el mundo.

“El reto es conocer todo al detalle para poder situar en el mapa dónde empezó todo”, señaló Jon Oberheide, estudiante de la mencionada universidad e implicado en el proyecto.

Obviamente no se trata de un trabajo sencillo. Para encontrar estas pequeñas pistas que pudieran detectar a la primera víctima de Conficker, los investigadores deberán indagar entre más de 50 TB de información.

Asimismo, cabe señalar que Conficker se convirtió en un complejo sistema multi-modular que continuamente muta hacia nuevas versiones, con una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo y se ayuda de servidores sin importar si están comprometidos o no por su ataque.

Algunos analistas del sector ya están comparando la eficacia de este código malicioso con la de “Storm Worm” o “Storm Virus”, que se popularizó a finales de 2006 como malware de rápida distribución, con decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de spam en la bandeja de entrada de los email.

Con respecto al proyecto de investigación relacionado con la actividad vírica en Internet, no es la primera vez que se pone en marcha una idea de este tipo, dado que en el 2005 los militares estadounidenses hicieron algo parecido con el gusano Witty que se propagó en 2004, y del cual se supo que fue una dirección IP europea la que inició el ataque.

Entre tanto, el éxito relativo o no de Conficker anima a las compañías antivirus a lanzar alertas de las que hacía años que no se emitían, y a poner a disposición de los usuarios herramientas gratuitas para que puedan deshacerse de este virus, que ojalá sirvan para prevenir o detener la nueva versión del ataque, prevista como dijimos, para el 1 de abril próximo.

Utilizan inundacion en Santa Catalina para distribuir Spam

Los mensajes contienen un link que condice a troyanos que sustraen información de la máquina comprometida.

Websense Security Labs ha descubierto un spam que intenta sacar provecho del reciente desastre natural reportado en el estado de Santa Catarina, al sur de Brasil.


Esta campaña usa mensajes de e-mail que parecen alertas de noticias sobre el desastre en Santa Catarina. Para parecer reales, la artimaña incluye un teléfono legítimo para donaciones.


El mensaje también contiene un link que parece ser de un video sobre el reciente desastre. Este link en verdad conduce a un Troyano malicioso ejecutable llamado "Video_SC_Desastre.exe" (SHA1: 6862b862877e5cb9f2180cc53ee4338977bc0efb).


Cuando se abre el "Video_SC_Desastre.exe", se conecta a varias páginas. El ejecutable se conecta primero a la página que informa al controlador BOT sobre la infección. El ejecutable se conecta entonces a la cuenta de un proveedor de hospedaje.


Los Troyanos que sustraen la contraseña se descargan de esta página a la máquina comprometida y registrada como BHOs. Estos archivos se hospedan en el formato de imágenes de JPG, pero realmente son maliciosos ejecutables.


Entre otras actividades maliciosas de los Troyanos descargados, un Troyano, msnmgr.exe, lanza una contraseña robada para una aplicación que parece ser la del MSN Live Messenger.

Falsa entrevista de Barack Obama para propagar malware

El e-mail contiene links a archivos llamados ´BarackObama.exe´. Este archivo es un Trojan Downloader.

Websense Security Labs ThreatSeeker Network ha descubierto que los creadores de los puertos maliciosos están aprovechando los recientemente anunciados resultados de las elecciones presidenciales de 2008, y se están empezando a enviar e-mails maliciosos como cebo prometiendo enseñar en un video una entrevista con los consejeros del recién elegido presidente de Estados Unidos.

Sobre la ejecución de los archivos llamados system.exe y firewall.exe entran dentro del directorio de sistemas. Un kit de phishing se abre localmente, y los archivos que han entrado saltan para arrancar. Los archivos del host también se modifican.