Código maligno activa enlace hacia sitio que intenta instalar falso software de seguridad.
Nuevo tipo de ataque en línea aprovecha la función del cortapapeles para inducir al usuario a visitar un sitio maligno. Como es sabido, el portapapeles almacena texto o elementos gráficos que el usuario ha copiado con el fin de pegarlos y usarlos en otros programas.
Usa anuncios FlashLos sistemas infectados por este malware son forzados a abrir un enlace hacia un sitio de intrusión y fraude. El código usa Flash como plataforma, que "limpia" el portapapeles instalando en este el enlace en cuestión.
El enlace no puede ser eliminado con facilidad, y se presenta cada vez que el usuario intenta pegar algo.
Reinicio y desactivar funciones de FirefoxExpertos de F-Secure han observado el código maligno en anuncios flash en sitios corrientes, lo que aumenta la preocupación.
Por ahora no hay una solución definitiva, y F-Secure recomienda reiniciar el sistema. Una solución adicional puede ser detener todos los procesos vinculados a Firefox mediante el programador de tareas (Ctrl+Alt+Del).
“Es un ataque interesante, pero no parece tener un alto grado de propagación por el momento. No recuerdo haber visto algo así antes", comentó el director científico de F-Secure, Mikko Hypponen, a BBC.
lunes, 24 de noviembre de 2008
Nuevo malware interviene el portapapeles de Windows
SEGURIDAD INFORMATICA
Spam malicioso “agrega a un amigo" de Facebook
El correo parece provenir del dominio facebookmail.com, un dominio oficial utilizado por Facebook para enviar correos y notificar a sus usuarios sobre un evento.
Websense Security Labs ThreatSeeker Network descubrió una nueva campaña de spam de ingeniería social que se hace pasar como un correo electrónico oficial enviado por el popular sitio de redes sociales Web 2.0, Facebook. El correo parece provenir del dominio facebookmail.com, un dominio oficial utilizado por Facebook para enviar correos y notificar a sus usuarios sobre un evento.
Es común que Facebook envíe un correo electrónico para notificar a sus usuarios cuando otro usuario los agrega como amigos a la red social. Sin embargo, los creadores de spam incluyeron un archivo zip adjunto que afirma contener una fotografía para hacer que el receptor dé doble clic en él. El archivo adjunto es realmente un caballo de Troya.
Hemos alertado antes sobre nuestro descubrimiento a través del sistema HoneyJax de una campaña de phishing viral de Facebook, y por lo tanto no nos sorprende si la página de inicio presentada es un una página falsa usada para el sitio de phishing.
Sin embargo, un análisis del código fuente de la forma HTML muestra que contenía el nombre de usuario y contraseña para Facebook. Esto podría utilizarse para aumentar la legitimidad del correo electrónico para evadir los filtros de spam basados en reputación.
Falsos antivirus entre las amenazas más propagadas
Los códigos maliciosos más relevantes en este periodo estuvieron relacionados con el supuesto envío de medios de comunicación masivos como la CNN y a la utilización de falsos antivirus gratis para propagar malware.
ESET ha informado que el mes de agosto se ha caracterizado por diversas metodologías de ataque e infección entre las que destacan los falsos antivirus. Durante el mes también ha aumentado el uso de imágenes de famosas desnudas y de medios de comunicación reconocidos (como CNN y MSNBC) como gancho para redireccionar al usuario a sitios dañinos.
Los falsos antivirus, o ‘rogue’, son programas de seguridad falsos y gratuitos que intentan que el usuario los instale. Una vez instalados, solicitan el registro del usuario, con el objetivo de robar su información privada y de instalar posteriormente adware y spyware en su equipo. El rogue Antivirus XP 2008 fue la principal amenaza propagada durante este mes debido a la gran cantidad de técnicas utilizadas para llegar al usuario y por la diversidad de metodologías de ingeniería social utilizadas para engañarlo e infectarlo.
La técnica de propagación más común fue el envío de spam sobre publicidad de supuestos antivirus gratuitos o de falsas actualizaciones de seguridad, que tienen como fin que el usuario descargue un archivo ejecutable, que es, precisamente, el instalador del rogue. El segundo método más empleado es a través de sitios web con el mismo mensaje publicitario o con supuesto vídeos de famosas desnudas. Cuando el usuario intenta visualizarlos, se descarga un códec que termina siendo el malware en cuestión.
“La oferta de un supuesto antivirus que ha podido detectar un nuevo ejemplar de malware en nuestro equipo produce miedo en el usuario, que intentará arreglar esa falsa situación de peligro con muy malas consecuencias", explicó Fernando de la Cuadra, director de Educación de Ontinet.com.
Por otra parte, durante el mes de agosto se registró una gran propagación de malware a través de spam con falsas noticias de diversos medios de comunicación, entre los que se destacan CNN y MSNBC. Estos correos tienen el objetivo de engañar al usuario y que el mismo acceda a un sitio previamente vulnerado por el atacante y en donde se alojan supuestos vídeos. Al intentar visualizarlos, se descargan troyanos como Nuwar (también conocido como gusano de la tormenta) y Agent.ETH.
Finalmente, en agosto aparecieron nuevos casos de archivos no convencionales entre los creadores de malware, como los MP3, que llevan a la descarga de distintos códigos maliciosos. También se han popularizado los correos con enlaces a archivos de Adobe Flash (extensión .swf) para redirigir al usuario a sitios dañinos
Acelerar el acceso a los programas
Aunque tu equipo disponga de suficiente memoria RAM y puedas trabajar con varios programas sin problemas, el sistema de Windows XP siempre utiliza el Kernel para enviar y recibir archivos del archivo de paginación del disco duro, por este motivo la velocidad de respuesta es menor. Si dispones de memoria RAM suficiente puedes seguir estos pasos para cambiar la configuración de tu Windows XP y obligarlo a que no lo pagine al disco y de esa manera aumentar el rendimiento:Haz clic sobre el botón Inicio -> Ejecutar, escribe regedit y pulsa el botón AceptarAhora navegamos en nuestro registro de Windows XP hasta ubicarnos en siguiente cadena: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Memory ManagementBusca en el panel derecho la entrada DisablePagingExecutive y hacemos doble clic sobre ella.En la ventana que aparece cambia el valor de 0 y pones 1 luego pulsa el botón Aceptar y reiniciamos nuestro Windows XPHabremos conseguido con ello mas velocidad de acceso a los programas, porque ahora nuestro Windows XP utilizará menos el disco duro.
Enviar un mensaje a alguien que te tenga omitido
Primero, hay que ponerle a la persona que nos omite Sin Admisión. Ahora, lo que hay que hacer es ponernos como Nick el mensaje que queremos mandarle. Y por último, lo volvemos a admitir. Desde luego que no podremos hablar con él, pero le saldrá al momento una ventanita con nuestro Nick (que en realidad será el mensaje que queramos decirle) diciendo que acabamos de iniciar sesión. Por que lo hemos omitido primero?? porque así el mensaje solo le saldrá a el, y no a toda la lista de contactos, al Admitirlo de nuevo, solo le saldrá a el la ventanita.
Donde se guarda el password
En la esquina inferior izquierda de esa ventana de identificación, encontramos una opción que podemos marcar: “recordar nuestro nombre de usuario y contraseña en este equipo”. ¿Alguna vez os habéis preguntado dónde guarda esta información? Pues la respuesta es en el registro. Y más concretamente, en la entrada de registro: "Hkey_Current_UserSoftwareMicrosoftMessengerServicePasswordMSN Messenger Service".
Sin embargo, Mocosoft no nos lo iba a poner tan sencillo (aunque casi) y el password se encuentra encriptado, así que para conocerlo deberemos desencriptarlo (y eso os lo vais a tener que currar vosotros)... En nuestra sección accesorios tenéis a vuestra disposición un programa que hace esta función.
Pero esa no es la única clave en el registro interesante que hace nuestro querido Messenger... y sino fijaos en 'HKEY_CURRENT_USERSoftwareMicrosoftMessengerServiceListCache.NET Messenger Service', donde podremos ver no sólo toda nuestra lista de contactos, sino además si figuran como admitidos o no admitidos. En un primer vistazo parece que toda esta información se encuentra encriptada, sin embargo, no es así. Sólo tenemos que hacer doble clic en cualquiera de las entradas y en la nueva ventana que se abre (en la parte de la derecha) podremos ver la dirección de correo electrónico de ese contacto.
Pero eso no es todo. Si miramos en esa misma entrada de registro nuestra información, veremos que, si hemos rellenado todos los datos que nos pide el messenger, también se encuentran ahí almacenados nuestro teléfono de casa, el móvil y el del trabajo :O
Para ello debemos buscar las siguientes siglas: PHH (home telephone number) – contiene el teléfono de casa PHM (mobile telephone number) – contiene el teléfono del móvil PHW (work telephone number) – contiene el teléfono de nuestro trabajo
Además toda esta información se encuentra sin encriptar, así que haciendo un Netbios he introduciéndonos en la clave del registro de la víctima "Hkey_Current_UserSoftwareMicrosoftMessengerServicePasswordMSN Messenger Service" podremos obtener sus números de teléfono rápidamente... eso sí, recordad que para ello el usuario de ese PC debe haberlos introducido antes, lo que es poco probable ya que por ejemplo en España, esos datos son opcionales, además de no disponer todavía de los servicios relacionados con llamadas telefónicas ni envíos de mensajes sms que en otros países sí están activados.
