My New Site

Categoría: Digital

  • Comienza la VI Campaña de Seguridad en la Red

    A principios de diciembre distintos expertos en seguridad informática coincidieron en señalar la alianza comercial creada entre los creadores de virus y los responsables del correo basura, una simbiosis de la que ambos sujetos se benefician. Con la cada vez mayor profesionalidad a la hora de crear virus, se ha detectado una estrecha relación entre el momento en el que los virus son liberados y los días festivos.

    Anteriormente los virus no tenían otra función más que su propia difusión. Cuanto más pudiesen infectar y más atención le prestaran los medios, mayor el regocijo y reconocimiento para el creador del software maligno. Desde hace algunos meses se viene observando una alianza estratégica entre estos creadores de virus, capaces de esparcir código malicioso por millones de sistemas Windows, y los spammers, que necesitan que ese código malicioso se difunda para poder enviar más eficazmente sus correos a millones de buzones.

    Esta profesionalización del medio requiere de unas técnicas más sofisticadas para maximizar el beneficio obtenido por ambas partes. Si, como en este caso, el beneficio consiste en una máxima difusión del virus que instala el código malicioso en la víctima, los creadores de gusanos no escatiman esfuerzos en intentar que el impacto sea de increíbles proporciones.

    Es por todo esto que durante las prolongadas vacaciones de navidad, como sucede en la actualidad, existe tradicionalmente un repunte en la aparición de virus destinados a golpear a empresas con sus técnicos en vacaciones o con una vigilancia más relajada. Se hace necesario en estos casos el refuerzo de las herramientas destinadas al bloqueo de código malicioso a nivel de pasarela, de clientes y en general una concienzuda revisión de los sistemas de seguridad y contingencia con los que cuentan las empresas para evitar sorpresas mayores. Y por supuesto una alerta continua entre los internautas fundamentalmente entre los más recientes, que adolecen de un asesoramiento e información precisa sobre navegación segura.

    Sexta Campaña de seguridad:Si los virus no toman vacaciones, nosotros tampoco.

    La Asociación de Internautas para paliar esa demanda sobre información de utilización de herramientas que garanticen seguridad en todos los aspectos necesarios, ha desarrollado un espacio dentro de su sitio web http://www.seguridadenlared.org que estará accesible desde el miércoles 22 de diciembre hasta el lunes 24 de enero de 2005, bajo el título de » VI CAMPAÑA NACIONAL DE SEGURIDAD EN LA RED», con el lema «Los virus no se toman vacaciones» y en esta ocasión patrocinada por: Ministerio de Industria, Turismo y Comercio, Telefónica, Panda Software, Wanadoo y Arsys

    Este espacio web propone al conjunto de internautas nuevos y experimentados, instrucciones, recomendaciones y descarga de herramientas software freeware que faciliten el conocimiento teórico necesario y el uso y manejo prácticos de todos los procedimientos de seguridad indispensables para una navegación segura.

    Esta campaña, contará con un servicio de línea abierta por correo electrónico atendido por un equipo de expertos en seguridad, y miembros de esta Asociación, que asesoraran y resolverán todos aquellas dudas y recogerán las sugerencias a los internautas que lo soliciten.

    Objetivos de campaña:
    * Limpiar los Ordenadores de virus.
    * Navegar con seguridad.
    * Preservar la Intimidad de las comunicaciones electrónicas.
    * Evitar las intrusiones en los ordenadores.
    * Formar e informar a los internautas sobre el uso de herramientas de seguridad
    * Informar sobre las posibilidades de las herramientas software gratuitas de libre utilización en la Red.
    * Favorecer el uso protegido, responsable y no intrusivo de las nuevas tecnologías de la información.
    * Estimular el conocimiento tecnológico, la netiqueta1 y la responsabilidad ciudadana de los Internautas
    * Estimular la confianza en el uso de la Red, para fines sociales, formativos, informativos, comerciales y transaccionales
    * Involucrar a los agentes sociales, empresas y organizaciones en la extensión del concepto de seguridad de uso de Internet

    Los contenidos:
    SEGURIDAD BASICA: Bugs y agujeros de seguridad, Actualizar windows, Claves Seguras, Anti-Dialers, Secuestro del navegador
    INTRUSIONES, Intrusos en el PC, Detección de Puertos, Escaner Puertos, Escaner ON-LINE, Firewall
    VIRUS Virus (1ª parte), Virus (2ª parte), Virus (3ª parte)
    PRIVACIDAD, Spyware, Spybot, Criptografía
    INTERNET, La web, Correo electrónico, Correo Basura, Protección de menores.

    Los patrocinadores opinan:

    Ignacio de Orúe, Director de Gestión y Agregación de Contenidos de Uni2-Wanadoo.

    «El incremento de la difusión de virus en la red, ha llevado a Wanadoo España a aumentar desde hace tiempo sus esfuerzos para prevenir el riesgo de infecciones en todos sus portales y servicios. Esta labor se ha intensificado a lo largo del año 2004, a través del desarrollo de herramientas y nuevos servicios para los internautas que, añadidos a su acceso Wanadoo, les han facilitado una navegación más segura. Sin embargo, ningún esfuerzo es suficiente ante un problema que crece día a día. Por ello, Wanadoo, como operador integrado de banda ancha, apoya una vez más a la Asociación de Internautas, que a través de iniciativas como la VI Campaña de Seguridad en la Red, pretende concienciar a los usuarios sobre los peligros de las infecciones on line y poner de manifiesto la necesidad de que el internauta tome medidas para evitar ser víctima de los virus.»

    Roberto Rius Bas, Director de Procesos de Marketing de Telefónica

    «En un momento de fuerte crecimiento en los accesos a Internet de banda ancha en España con la incorporación de nuevos usuarios, la seguridad en la Red se ha convertido en una necesidad básica para el desarrollo armonioso de la Sociedad de la Información, al tiempo que supone un constante reto para la capacidad de innovación y de respuesta, tanto para las compañías proveedoras de acceso a Internet como para las empresas especializadas en software de seguridad. Sin duda, actividades como la presente Campaña de Seguridad en la Red promovidas por la Asociación de Internautas, ofrecen una excelente ocasión a todos los actores que intervienen en el mercado de Internet para constituir un punto de encuentro que permita sustanciar avances concretos en esta materia, que en el caso de Telefónica de España reafirma nuestro permanente esfuerzo de innovación en las distintas mesas de diseño de productos y servicios».

    Alberto Calvo, Director de Comunicación de Arsys

    «La red es un bien común y por ello debe existir una sensibilidad especial para mantenerla limpia de elementos que la distorsionan. El compromiso de una empresa como Arsys que gestiona más de 70.000 clientes es colaborar con la sociedad de la información y poner todos los medios para que Internet sea un terreno limpio y seguro, y no un riesgo para los usuarios. Cada cual en su campo debe llevar al extremo las medidas necesarias para que la Red sea lo que tiene que ser: una fuente de conocimiento».

    José Manuel Crespo, Director de marketing de producto de Panda Software:

    «Nuestra participación en esta campaña está en línea con los objetivos marcados tanto de Calidad Total como de responsabilidad por una sociedad mejor. Panda Software se siente orgullosa de involucrarse en esta campaña para prestar un servicio a la Sociedad, aportando valor a la misma como lo que somos, expertos en seguridad informática que mantienen un contacto día a día con sus clientes y que están al corriente de las necesidades de los internautas en materia de seguridad. Teniendo en mente los excelentes resultados de otras campañas en las que hemos participado y nuestro alto nivel de coordinación con las instituciones públicas y con la Asociación de Internautas, estamos convencidos de que esta Campaña va a ser fundamental para luchar contra los peligros de Internet no quede sólo en un buen propósito de estas fiestas».

    Campaña de Seguridad

  • Nuevo virus/troyano informático

    Si el usuario hace clic en dicho mensaje (en español
    significa «haga clic aquí para ser removido»), entonces es
    enviado a una página en donde se le solicita usar el puntero del mouse
    para desplazar las barras de desplazamiento a los efectos de visualizar lo que
    está oculto. Esta es una acción muy común que cualquiera
    de nosotros suele realizar cientos de veces mientras navegamos por páginas
    que ocupan más de una pantalla.

    Sin embargo, en este caso esta acción oculta un exploit
    que se aprovecha de un fallo en el Internet Explorer, y que lleva a la ejecución
    de un código.

    El código es un troyano del tipo proxy con puerta trasera ( Win32/Agent.CE ),
    y permite que una vez ejecutado, un usuario remoto pueda utilizar nuestra máquina
    como una lanzadera de correo spam. Sin embargo, el tipo de explotación de este
    fallo, puede ser fácilmente modificado para que se pueda descargar y ejecutar
    cualquier otra clase de código, lo que incluye cualquier tipo de virus o gusano
    mucho más dañino.

    Es importante que recordemos que jamás debemos hacer
    clic sobre enlaces que aparezcan en mensajes no solicitados llegados a nuestro
    buzón. Una de las razones es que fácilmente podrían ser
    usados para ejecutar cualquier clase de código malicioso. Y este tipo
    de fallo no es privativo del software de Microsoft. Otros navegadores y clientes
    de correo también son afectados por algunos de los últimos exploits
    detectados.

    La otra razón de no responder o hacer clic sobre estos
    enlaces, está en que generalmente esto no lleva a desuscribir nuestra
    dirección de correo de la lista del spammer de turno, si no todo lo contrario.
    Es como decir en letras mayúsculas AQUI ESTOY, Y MI DIRECCION ES VERDADERA,
    para que pronto nos convirtamos en destinatarios de mucho más spam (y
    mucho más del que nos imaginamos a medida que nuestra dirección
    empiece a distribuirse a otros spammers).

    La única medida práctica a tomar en el caso de
    recibir correo no solicitado, tenga o no enlaces, es borrarlo de nuestro buzón,
    sin siquiera intentar abrirlo.

    Según alguna legislación norteamericana, adoptada
    en parte por otros países, lo mínimo que se le exige a un correo
    para que no sea considerado spam, es que tenga alguna opción para decidir
    no recibir más mensajes. Aunque ya de por si es un disparate (los expertos
    en leyes no estudian seguridad informática), ahora se suma que es muy
    fácil convertir esa acción en el mejor camino para explotar una
    vulnerabilidad y ejecutar un código no deseado.

    El fallo en el procedimiento de «Drag and Drop»,
    hecho publico en el mes de agosto, no tiene aún ningún parche
    publicado por parte de Microsoft. La única solución es desactivar
    el scripting de nuestro navegador.

    Win32/Agent.CE

    > CARACTERISTICAS
    Si el usuario presiona el enlace pensando que dejará de recibir ese tipo
    de correo no solicitado, no solo estará enviando su propia dirección
    a los spammers, si no que además terminará recibiendo mas correo
    no solicitado.
    El enlace lo llevará a una página web con contenido malicioso
    que pide ser desplazada para visualizarse.

    Esta página se aprovecha de la vulnerabilidad del Internet
    Explorer (Drag and Drop vulnerability), para la ejecución de un troyano
    de acceso remoto por puerta trasera.

    El troyano descargado (descrito mas abajo), puede ser cualquier
    otro si el spammer modifica sus mensajes.

    Win32/Agent.CE

    Caballo de Troya que se ejecuta como servicio y como un proceso
    normal.

    Cuando se ejecuta intenta activarse como un servidor proxy,
    de tal modo que cada equipo infectado puede convertirse en un repetidor de spam.

    Una vez descargado, el troyano se copia a si mismo en la siguiente
    ubicación con los atributos de sistema, oculto y solo lectura:

    c:windowssystem32w32.exe

    De acuerdo a la versión del sistema operativo, las carpetas «c:windows»
    y «c:windowssystem32» pueden variar («c:winnt», «c:winntsystem32»,
    «c:windowssystem»).

    Cuando el archivo W32.EXE se ejecuta se realiza las siguientes acciones:

    Crea un servicio llamado «Windows Service Application».

    Modifica el registro para asegurarse que el servicio se ejecutará en
    modo seguro y en modo seguro con conexión de red.

    HKLMSYSTEMCurrentControlSetControl
    SafeBootMinimalw32
    (predeterminado) = Service

    HKLMSYSTEMCurrentControlSetControl
    SafeBootNetworkw32
    (predeterminado) = Service

    Para ejecutarse en cada inicio del sistema crea las siguientes claves en el
    registro de Windows:

    HKLMSoftwareMicrosoftWindows
    CurrentVersionRun
    w32 = w32.exe

    HKLMSoftwareMicrosoftWindows
    CurrentVersionRunServices
    w32 = w32.exe

    HKCUSoftwareMicrosoftWindows
    CurrentVersionRun
    w32 = w32.exe

    Cambia el registro para que el proxy se ejecute como un programa normal en
    el entorno actual del sistema, y más tarde en el entorno de cualquier
    usuario.

    Inicia su modo de operación normal como proxy. Para
    ello el troyano queda a la escucha por el puerto TCP 9687 y otro seleccionado
    al azar. Este segundo puerto es registrado con el sitio web «www.earthlabs.biz»
    que lo controla para algún uso futuro.

    Para no ejecutarse mas de una vez en memoria crea el siguiente mutex:

    w32

    > INSTRUCCIONES PARA ELIMINARLO
    1. Desactive la restauración automática en Windows XP/ME.

    2. Reinicie en Modo a prueba de fallos.

    3. Ejecute un antivirus actualizado y elimine los archivos infectados.

    4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro
    del sistema.

    5. Elimine bajo la columna «Nombre», la entrada «w32»,
    en las siguientes claves del registro:

    HKLMSoftwareMicrosoftWindows
    CurrentVersionRun

    HKLMSoftwareMicrosoftWindows
    CurrentVersionRunServices

    HKCUSoftwareMicrosoftWindows
    CurrentVersionRun

    6. Busque las siguientes claves y borre la clave «w32»:

    HKLMSYSTEMCurrentControlSetControl
    SafeBootMinimal

    HKLMSYSTEMCurrentControlSetControl
    SafeBootNetwork

    7. Cierre el editor del Registro del sistema.

    8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda
    presencia del troyano.

    9. Instale los parches correspondientes:

    MS04-018 Parche acumulativo para Outlook Express (823353)
    http://www.microsoft.com/technet/security/bulletin/ms04-018.mspx

    MS04-025 Actualización acumulativa para IE (867801)
    http://www.microsoft.com/technet/security/Bulletin/MS04-025.mspx

  • Nuevo gusano simula ser usuario de chat

    Noomy.A es un nuevo y sofisticado gusano que explora lo que puede ser una nueva línea en ataques: aparenta ser un usuario de chat que ofrece contenidos atractivos para que los demás usuarios los descarguen.

    PandaLabs detectó recientemente la aparición de un nuevo y sofisticado gusano denominado Noomy.A. Aunque no se han registrado incidencias en los equipos de los usuarios provocadas por este código malicioso, Noomy.A presenta una serie de características a las que debe prestarse atención, sobre todo como indicadoras de las que podrían presentar futuros códigos maliciosos.

    Noomy.A es un gusano programado en Visual Basic, que está diseñado para propagarse a través de correo electrónico y del sistema de chat IRC. Para enviarse a través de e-mail utiliza mensajes con características muy variables, ya que puede utilizar diversos asuntos y cuerpos de texto escogidos a partir de amplias listas de opciones. Por su parte, el nombre del fichero adjunto al mensaje de correo electrónico, y que contiene el código del gusano, también tiene un nombre escogido de forma aleatoria. En caso de que el usuario ejecute dicho archivo, Noomy.A se enviará a direcciones de correo -que no contengan determinadas subcadenas de texto- que encuentra en los ficheros con extensiones .dbx, .htm, .html y .php que estén almacenados en el computador.

    Hasta este punto, Noomy.A no difiere demasiado de los tradicionales gusanos de correo electrónico; sin embargo, este gusano también puede propagarse a través de IRC de una forma bastante atípica. Así, Noomy.A crea un servidor HTTP en los equipos a los que afecta, al tiempo que genera una gran cantidad de archivos con copias de sí mismo
    Tras ello, Noomy.A se conecta e inicia sesión en diferentes canales de chat de IRC, como si de un usuario más se tratase. A partir de ese momento, introduce mensajes en las salas de chat que hacen uso de técnicas de ingeniería social.

    “Muchos códigos maliciosos utilizan los servidores IRC para llevar a cabo sus acciones. Sin embargo, en la mayoría de los casos suelen ser empleados como intermediarios entre un hacker y un virus para realizar acciones maliciosas de forma remota en los computadores afectados. La manera en que Noomy.A trata de utilizar la ingeniería social para engañar a los usuarios de IRC parece que es un intento de abrir una nueva vía para la propagación de virus informáticos. Por ello, lo mejor es permanecer siempre alerta, haciendo caso omiso de cualquier mensaje que ofrezca contenidos que no hayamos solicitado, sea cual sea el medio en que nos encontremos” afirma en un comunicado de prensa Luis Corrons, director de PandaLabs.

  • Messenger funciona nuevamente

    El servicio de mensajería instantánea de Microsoft (MSN Messenger), se encuentra nuevamente operativo y funcionando sin problemas, después de fallas intermitentes que afectaron a sus más de 100 millones de usuarios durante tres días. El problema no está relacionado con el nuevo gusano Funner, como algunos medios indican.

    El fallo técnico que generó los problemas en el servicio desde el pasado sábado 9 hasta el lunes 11 de octubre, aparecieron después de una rutinaria sesión de mantenimiento. Un portavoz de Microsoft informó que la caída nada tuvo que ver con el gusano capaz de propagarse vía MSN Messenger, detectado el domingo en la red.

    Los reportes de los principales fabricantes de antivirus confirman esta afirmación.
    El gusano Funner (detectado como "Win32/Funner.A" por Nod32), se propaga enviándose a si mismo a la lista de contactos del Messenger. Además, intenta descargar de un dominio registrado en China (www .78p .com), una actualización de su código viral.

    Por sus características, el gusano no tiene la capacidad de afectar al servicio de MSN en si mismo, pero en cambio ha infectado a una cantidad importante de usuarios que usan Messenger.

  • ¡¡ AMUS !!