Consultorio del Dr. Ogalinski

Ya no hay niveles; los creadores de malware se aprovechan de cualquier acontecimiento con tal de crear una nueva forma de ataque: esta vez están usando el reciente asesinato de la primer ministro Benazir Buttho, Primer Ministro de Pakistán y líder del Partido de la Gente de Pakistán. Ahora, estos creadores de malware han adaptado un script de JavaScript para aprovecharse de usuarios que buscan la noticia de este ataque. Esto ocurrió a menos de 24 horas de perpetrado el ataque.

De acuerdo con varios investigadores de Trend Micro, varios sitios que dicen tener información sobre el asesinato tienen código malicioso de JavaScript empotrado. Los usuarios que busquen información sobre el acto podrían acabar en uno de estos sitios infectados, donde el script identificado como JS_AGENT.AEVE se ejecuta y descarga un troyano de nombre TROJ_SMALL.LDZ, troyano que a su vez descarga e instala WORM_HITAPOP.O y TROJ_AGENT_AFFR.

Trend Micro encontró evidencias de que el troyano está en varios sitios, incluyendo MSN, BlogSpot, y Vino, así que a cuidarse de otra amenaza más.

Leer noticia completa en Ars Technica.

escrito por Dr. Ogalinski \\ tags: asesinato, benazir, buttho, javascript, troyano

La compañía de seguridad BitDefender identificó un nuevo troyano que ataca directamente a AdSense, la tecnología de Google para anuncios textuales, mismos que reemplaza el texto de estos anuncios con otros de un proveedor diferente. El troyano intenta redirigir las consultas que se supone se deberían enviar a servidores de Google a otro servidor, el cual a su vez sirve los anuncios cambiados. Google por su parte ha cancelado cuentas de clientes que desplieguen anuncios que redirijan a los usuarios a sitios maliciosos.

Este nuevo troyano, al cual nombraron como Trojan.Qhost.WU, se está propagando a un nivel bajo y no ha causado mucho daño, pero si la distribución cambiara podría significar un serio problema para usuarios y webmasters; para los primeros por el código malicioso, y para los segundos porque perderán cualquier cantidad de dinero que hagan.

Leer nota completa en Yahoo News.

escrito por Dr. Ogalinski \\ tags: adsense, anuncios, google, infección, redirección, textuales, trojan.qhost.wu, troyano

Hay una nueva clase de troyanos llamados “Troyano 2.0“, los cuales, entre otras gracias, usan los canales RSS para comunicarse. Estos fueron descubiertos por investigadores de seguridad, quienes se dieron cuenta del mecanismo de acción por medio de los canales RSS en vez del tradicional modelo de “llamar a casa”. Una empresa de seguridad recientemente detectó tres troyanos que usaban blogs de popularidad limitada (¡nooo! ¡tengo miedo!) para recibir órdenes de botnets o para enviar información robada a ladrones de identidades.

El peligro detrás de esto es que los que usan sitios legítimos como blogs o sitios de redes sociales se pueden ver expuestos a la amenaza, pues los atacantes se pueden esconder bajo identidades legítimas de Web 2.0, como Google o Yahoo, sitios que nadie bloquearía (bueno, casi nadie). Este nuevo tipo de troyanos se encuentra en etapa “embriónica“; es decir, apenas y se están conociendo.

El investigador que descubrió este nuevo tipo de troyanos pronostica que darán de que hablar en el 2008, dadas las escalabilidad, redundancia y camuflaje de marcas que los servicios basados en web proveen.

Leer nota completa en eWeek.

escrito por Dr. Ogalinski \\ tags: 2.0, canales, feeds, identidad, infección, rss, troyano, web

Un pequeño grupo de drives externos de la marca Seagate salieron de la fábrica con un regalo no planeado, pues incluían un troyano escondido en la misma unidad. La infección no es de mucho riesgo, a menos que jueges World of Warcraft. Hasta el momento sólo 1,800 máquinas han sido infectadas. La unidad en cuestión es la Maxtor Basics Personal Storage 3200; de alguna manera, un virus llamado Win32.AutoRun.ah, un virus que busca passwords en juegos en línea, se metió en las unidades.

Todos los juegos afectados son chinos, excepto World of Warcraft. Después de obtener el nombre de usuario y el password la información se envía a servidores en Corea y los Estados Unidos. El virus también borra otros irus similares y puede desactivar el software antivirus. Para asistir a sus clientes, Seagate está poniendo a disposición de los mismos una versión de Kaspersky Antivirus de 60 días de prueba. Por su parte, Seagate acusa a un fabricante chino subcontratado de esta infección.

Leer nota completa en Internet News.

escrito por Dr. Ogalinski \\ tags: infección, malware, maxtor, passwords, robo, seagate, troyano, virus, warcraft, world

Apuesto mis comics de Image (¡ja! aún si pierdo tu pierdes) a que muchos usuarios de PC esperaban con ansias este día. Uno de los puntos que siempre sale a relucir al vender una Mac es que son prácticamente libres de virus, algo que algunos han atribuído a que su presencia en el mercado es mucho menor que la de Windows. Pues bien, al parecer el mito (porque eso es lo que es) de que las Mac no tienen virus está empezando a desmoronarse, pues en días pasados se liberó un sofisticado troyano que apunta sólo a sus usuarios.

Este troyano se llama OSX.RSPlug.A, y el mecanismo de infección de este es simple: por ingeniería social; cuando el usuario quiere ver videos, el sitio les da una página que dice que QuickTime no puede reproducir videos y que tienen que instalar un códec: si el usuario procede, una variante de DNSChanger se instala y toma control de las peticiones enviadas a eBay, PayPal y algunos sitios de bancos.

Continuar leyendo »

escrito por Dr. Ogalinski \\ tags: apple, dnschanger, ebay, ingeniería, mac, osx, osx.rsplug.a, paypal, quicktime, social, troyano

Skype avisó a los usuarios de un programa malicioso que afecta al servicio de VoIP, la segunda alerta en las últimas 5 semanas. Este troyano se hace pasar por un complemento de Skype y roba credenciales para accesar al servicio. Este programa se llama Skype Defender, y se instala si los usuarios descargan el archivo SkypeDefenderSetup.exe, y entonces ejecuta una interfaz falsa de Skype, con todo y nombre de usuario y password. Si se meten ambos campos, el programa indica que no fueron reconocidos, y pide que se intente de nuevo.

Pero cuando eso pasa, los nombres de usuarios y passwords recordados por Internet Explorer ya fueron enviados al atacante. Varios vendedores de programas de seguridad ya actualizaron sus firmas digitales de detección para detectar a la nueva amenaza, la cual no se autodistribuye, sinó que usa los trucos de la ingeniería social para llegar a otras computadoras.

Leer nota completa en PC World.

escrito por Dr. Ogalinski \\ tags: defender, infección, nombre, password, robo, setup, skype, skypedefendersetup.exe, troyano, usuario

Los autores del troyano Storm están determinados a hacer la red de bots (botnet) más grande que haya habido, y tal parece que lo están logrando. Han intentado todo tipo de trucos para hacer que los usuarios caigan en su trampa: noticias del tiempo, tarjetas personales, reportes de que Saddam Hussein vive, de que Fidel Castro está muerto, fotos de mujeres, YouTube, y en el último ataque, hasta blogs.

La “Banda Zhelatin“, como se les conoce a los autores, son los responsables de tal troyano. Hasta ahora, se estima que las infecciones van en aumento, y en consecuencia la red de bots que están creando: de acuerdo con las últimas estadísticas, en agosto había 1.7 millones de computadoras infectadas, pero otras estadísticas llegan a cifras tan altas como 10 millones.

Continuar leyendo »

escrito por Dr. Ogalinski \\ tags: bot, botnet, ddos, gusano, infección, negación, red, servicio, storm, troyano, zhelatin

Ahora le toca el turno a Blogger, al cual está atacando el troyano Storm llenando cientos de páginas con mensajes titilantes que pretenden hacer que los usuarios caigan en su trampa, y hagan clic en sus links.

En estos momentos todos ya están familiarizados con los mensajes que pretenden que los usuarios hagan clic para ver un supuesto video de YouTube, y los que lo hacen son llevados a una página que infecta la PC y la hace parte de una red de bots (botnet).

Continuar leyendo »

escrito por Dr. Ogalinski \\ tags: blogger, engaño, enlace, google, gusano, peligroso, storm, troyano, video, youtubel

Otra vez el troyano Storm cambia sus tácticas, y esta vez intenta hacer que los usuarios hagan clic sobre links que supuestamente son videos de YouTube, todo esto por medio de correo. Este link conduce a un URL numérico, tal como lo hacían variantes antiguas del mismo troyano.

Los usuarios que han hecho clic ven un mensaje que dice que el video está cargando en segundo plano, pero en realidad, una rutina de JavaScript intenta explotar vulnerabilidades tanto del navegador como de otras aplicaciones. Si cualquiera de esos intentos tiene éxito, el troyano es depositado en la PC.

Continuar leyendo »

escrito por Dr. Ogalinski \\ tags: clic, link, malware, redirección, Seguridad, storm, troyano, video, virus, youtube