Conficker y un nuevo ataque para abril.-

Mientras los investigadores de la Universidad de Michigan están intentando averiguar de dónde viene el virus Conficker, utilizando numerosos sensores disponibles en la web, para hacer un seguimiento del “momento cero” a partir del cual se generó el gusano que ya infectó a más de diez millones de computadoras, también se dio a conocer que está previsto que el próximo 1 de abril se active una nueva versión de esta peligrosa amenaza.

Los sensores que utiliza la institución para identificar a la primera víctima de Conficker se denominan “darknet” y fueron instalados hace unos seis años en internet para hacer un seguimiento de la actividad maligna que se desarrolla en ella.

Además de los darknet, los científicos cuentan con el apoyo del Departamento de Seguridad Nacional de Estados Unidos, con el que colaboran para compartir la información recopilada de estos sensores que están instalados en todo el mundo.

“El reto es conocer todo al detalle para poder situar en el mapa dónde empezó todo”, señaló Jon Oberheide, estudiante de la mencionada universidad e implicado en el proyecto.

Obviamente no se trata de un trabajo sencillo. Para encontrar estas pequeñas pistas que pudieran detectar a la primera víctima de Conficker, los investigadores deberán indagar entre más de 50 TB de información.

Asimismo, cabe señalar que Conficker se convirtió en un complejo sistema multi-modular que continuamente muta hacia nuevas versiones, con una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo y se ayuda de servidores sin importar si están comprometidos o no por su ataque.

Algunos analistas del sector ya están comparando la eficacia de este código malicioso con la de “Storm Worm” o “Storm Virus”, que se popularizó a finales de 2006 como malware de rápida distribución, con decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de spam en la bandeja de entrada de los email.

Con respecto al proyecto de investigación relacionado con la actividad vírica en Internet, no es la primera vez que se pone en marcha una idea de este tipo, dado que en el 2005 los militares estadounidenses hicieron algo parecido con el gusano Witty que se propagó en 2004, y del cual se supo que fue una dirección IP europea la que inició el ataque.

Entre tanto, el éxito relativo o no de Conficker anima a las compañías antivirus a lanzar alertas de las que hacía años que no se emitían, y a poner a disposición de los usuarios herramientas gratuitas para que puedan deshacerse de este virus, que ojalá sirvan para prevenir o detener la nueva versión del ataque, prevista como dijimos, para el 1 de abril próximo.

McAfee: Google code es utilizado para distribuir Malware.

Google code, el sitio de alojamiento gratuito de códigos está siendo utilizado para distribuir malware, asi lo dijo un investigador de seguridad.

Google code es un lugar donde los programadores pueden alojar proyectos y códigos. Junto con los códigos legitimos, hay falsos enlaces que dirigen a los usuarios a descargar un códec que falta, dijo Dave Marcus, director de investigación en materia de seguridad de McAfee.

Los códecs descargados, serían un caballo de Troya, con intenciones de robar contraseñas e información financiera, dijo.

"Se está utilizando como una forma de enviar enlaces o como un lugar para albergar vinculos y redirecciones, porque es Google, y el fichero es altamente clasificado en el índice", dijo.

"Google trabaja duro para proteger a sus usuarios de programas maliciosos. El uso del proyecto de Google Code Hosting, o cualquier producto de Google para servir de alojamiento de malware, es una violación a las políticas de Google", dijo el portavoz en una declaración.

"Por el uso de herramientas automatizadas, estamos trabajando continuamente para detectar y eliminar los sitios que sirven de malware en la red. Hemos eliminado muchos de esos proyectos de Google Code y de los resultados de búsqueda. Además, vamos a seguir explorando nuevas maneras de identificar y eliminar dicho contenido", aclaró.

Fuente: CNET

Troyano bloquea acceso a The Pirate Bay

Nuevo troyano bloquea el acceso al sitio de The Pirate Bay y Mininova. ¿Quién es el responsable de este malware?

El malware es distribuido en forma de torrent adulterado y su cometido es dañar precisamente a los usuarios de tales sitios de intercambio ilegal.

El troyano Troj/Qhost-AC no tiene el comportamiento tradicional de ese tipo de malware; no instala software adicional, consistiendo su único cometido en intentar bloquear el acceso a los principales sitios de torrents en la red.

Los PC infectados son redirigidos, con lo que las visitas a The Pirate Bay, Suprbay y Mininova no son posibles. Aparte de ello, el troyano ejecuta un archivo de audio que menciona la ilegalidad de descargar material protegido.

Aunque la impresión inicial es que el troyano ha sido diseñado y distribuido por la industria discográfica estadounidense -que anteriormente ha usado estrategias de este tipo- este no es el caso del troyano en cuestión. Una interpretación más realista es que sería la obra de algún bromista, escribe TorrentFreak.

El torrent con el troyano ha sido eliminado de los sitios afectados.

Via | DiarioTi

Utilizan inundacion en Santa Catalina para distribuir Spam

Los mensajes contienen un link que condice a troyanos que sustraen información de la máquina comprometida.

Websense Security Labs ha descubierto un spam que intenta sacar provecho del reciente desastre natural reportado en el estado de Santa Catarina, al sur de Brasil.


Esta campaña usa mensajes de e-mail que parecen alertas de noticias sobre el desastre en Santa Catarina. Para parecer reales, la artimaña incluye un teléfono legítimo para donaciones.


El mensaje también contiene un link que parece ser de un video sobre el reciente desastre. Este link en verdad conduce a un Troyano malicioso ejecutable llamado "Video_SC_Desastre.exe" (SHA1: 6862b862877e5cb9f2180cc53ee4338977bc0efb).


Cuando se abre el "Video_SC_Desastre.exe", se conecta a varias páginas. El ejecutable se conecta primero a la página que informa al controlador BOT sobre la infección. El ejecutable se conecta entonces a la cuenta de un proveedor de hospedaje.


Los Troyanos que sustraen la contraseña se descargan de esta página a la máquina comprometida y registrada como BHOs. Estos archivos se hospedan en el formato de imágenes de JPG, pero realmente son maliciosos ejecutables.


Entre otras actividades maliciosas de los Troyanos descargados, un Troyano, msnmgr.exe, lanza una contraseña robada para una aplicación que parece ser la del MSN Live Messenger.

Falsa entrevista de Barack Obama para propagar malware

El e-mail contiene links a archivos llamados ´BarackObama.exe´. Este archivo es un Trojan Downloader.

Websense Security Labs ThreatSeeker Network ha descubierto que los creadores de los puertos maliciosos están aprovechando los recientemente anunciados resultados de las elecciones presidenciales de 2008, y se están empezando a enviar e-mails maliciosos como cebo prometiendo enseñar en un video una entrevista con los consejeros del recién elegido presidente de Estados Unidos.

Sobre la ejecución de los archivos llamados system.exe y firewall.exe entran dentro del directorio de sistemas. Un kit de phishing se abre localmente, y los archivos que han entrado saltan para arrancar. Los archivos del host también se modifican.

Alerta por troyano en Facebook

Se trata de una amenaza doble pues el gusano también ataca Google Reader y Picasa.

Fortinet ha detectado un gusano malicioso en Facebook que está utilizando Google Reader y Picasa, para que así los usuarios al acceder descarguen el código malicioso en sus equipos.

Esta nueva amenaza funciona con un vídeo malicioso que es distribuido a través del gusano de Facebook y que utiliza ingeniería social para obtener información confidencial de los usuarios, quienes son redirigidos fuera de Facebook al sitio de Google Reader o Picasa.

Desde finales de julio del 2008, los gusanos que estaban atacando a los usuarios de Facebook habían sido detectados en varios sitios. La estrategia ha sido simple, pero efectiva: un mensaje malicioso es enviado a los amigos del usuario infectado, invitándoles a visitar una página que contiene un vídeo, algo muy común en la actual era de la Web 2.0. Sin embargo, si los usuarios siguen el link, pronto se darán cuenta de que el vídeo no empieza, a menos que instalen un códec especial, cómo es solicitado por la página. Como era de esperarse, dicho códec no es más que un troyano, que contiene varias piezas de malware, entre las que se incluye la copia de un gusano.

Este “salto" a través de Google Reader o Picasa sirve para un propósito básico: le da al usuario la sensación de que el vídeo está guardado en Google, por lo que supone que debería ser seguro. Esto, más el factor de que “el mensaje es de un amigo", hace que disminuya la cautela del usuario, y aumentan las posibilidades de descargar el código malicioso.