Si algo era muy molesto de Windows Vista, eran las intrusivas advertencias de segurdad (UAC). Los usuarios se quejaron y Microsoft escuchó.

Es así que Windows 7 cuenta con un un sistema UAC menos molesto, pero según pruebas realizadas 8 de 10 malware lograron contaminar al sistema operativo con la configuración de fábrica. El problema no es que el nuevo sistema operativo de Microsoft sea inseguro, sino que en su afán de ofrecer una mejor experiencia de usuario, los parámetros default que ofrece Windows 7 no son tan seguros como deberían.

La recomendación, como siempre, es navegar con precaución y si es necesario modificar la configuración de seguridad a una más alta.

Link: Windows 7 security defeated by 8 out of 10 malware applications (Download Squad)

Supongo que todos acá han visto esos popups o avisos emergentes que saltan mientras uno navega, y en particular esos que advierten que han hallado un virus en nuestro PC. Aparentan ser avisos legítimos de empresas de seguridad, con una estética que imita la de Microsoft y diseños llamativos pero bien cuidados. Bueno, eso es un decir, está claro que algunos avisos se ven absolutamente falsos.

Al pinchar en esos avisos, la persona va a parar al sitio de una supuesta empresa de software de seguridad en donde le venden un programa que puede llegar a costar fácilmente USD 100. Ese programa, desde luego, es un troyano más peligroso que prestarle plata a JF.

Según un estudio publicado por Symantec, esta clase de antivirus falsos, llamados genéricamente Scareware (porque venden sólo gracias a que asustan al incauto) infectó a 43 millones de personas entre julio 2008 y junio 2009.

En resumen: al instalar ese software las personas le pagan a unos estafadores, un acto en el cual de paso le confían los datos de su tarjeta de crédito. Descargan un programa que no sólo no los defiende de los virus sino que les instala una puerta trasera o los convierte en sucursales de mafias del SPAM o cosas peores. Son cuarenta y tres millones de personas estafadas por partida triple: Eso no se ve todos los días.

Link: Millions tricked by ’scareware’ (BBC)

(cc) Sophos D/A/CH Presseinfo

Antes de que los fans anti-Linux se emocionen, lamento decirles que no se trata de un problema de seguridad atribuible al sistema operativo libre e involucra a sistemas Windows y servidores de DNS dinámicos.

Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una cadena: Es tan fuerte como su eslabón más débil.  Esto quiere decir que no importa qué tan fuerte sean todos los elementos de seguridad que usemos, basta un punto débil y ahí se producirán los problemas.  Por ejemplo nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…

Con el uso de troyanos en Windows, se ha producido un robo masivo de cuentas FTP usadas para administrar el contenido de servidores web en Linux.  Con este acceso FTP, los intrusos han modificado algunos sitios web para incluir un iframe hacia otro sitio web.  Este iframe contiene una referencia a una URL que apunta a un nombre de host servido por un sistema de DNS dinámico y el servidor final causa que el usuario descargue una variante del troyano Bredolab.gen, con el que se puede repetir el proceso.

Los nombres de hosts utilizados apuntan a un segundo servidor web instalado entre los mismos servidores afectados.  Este servidor se instala con la misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en el servidor y con él descargar, compilar y ejecutar un segundo servidor.  Según lo que se ha investigado, el servidor secundario utilizado es nginx y queda corriendo en el puerto 8080, un puerto que no requiere permisos de administrador para ser utilizado.

El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada servidor involucrado se crea una gran red balanceada y dinámica, lo que dificulta su detección y bloqueo.  Por ahora, los proveedores de DNS dinámico han bloqueado los dominios usados en esta botnet.

El hecho de distribuir troyanos para Windows, que posteriormente se usan para controlar tales computadores, hace que el problema sea difícil de detener incluso teniendo el apoyo de los servicios de DNS dinámicos.  Para empeorar la situación, estos mismos troyanos en Windows son usados para seguir robando cuentas FTP legítimas.

Links:
- Linux webserver botnet pushes malware (The Register)
- Dynamic DNS and botnet of zombie web servers (Unmask Parasites)
- Drive-by campaign using Dynamic DNS domains (Abuse.ch)

(cc) Sophos D/A/CH Presseinfoa

Que la red está llena de porno malwares no es novedad, pero lo que sí lo es, al menos en parte, son los resultados de la investigación realizada por McAfee que nos confronta a los términos más peligrosos de toda la web.

Aunque, además indica algunas otras recomendaciones como estar alertas de toda palabra que acompañe al término free (gratuito) pues representa un 23,6% de probabilidad de ser un sitio fraudulento.

Otros términos eventualmente nocivos son los de “screensaver”, que alcanza un 59,1% de peligrosidad se va en conjunción con el término “free”; también es curioso que “Barack Obama” sea más peligroso que “viagra”, y que “Rihanna” sea aún más peligroso que ambos juntos; pero en fin, sin aburrirlos más los dejamos con los 12 más peligrosos de toda la red.

Link: Los términos más peligrosos para buscar en la red (CHW)

Crédito: FerneMillen

Según informa The New York Times, serían más de mil los computadores pertenecientes a gobiernos y privados de todo el mundo los que habrían sido infiltrados por un sistema de espionaje que ha sido bautizado como GhostNet.

El sistema tendría su centro de operaciones en China, aunque los investigadores canadienses de la Universidad de Toronto -quienes lo descubrieron- no han podido establecer que el propio gobierno de ese país esté involucrado directamente. El espionaje se estaría realizando desde hace dos años al menos y afectaría a 1.295 computadores pertenecientes a embajadas, ministerios de relaciones exteriores y oficinas gubernamentales de 103 países.

Los equipos afectados por el malware usado por GhostNet, pueden ser controlados a distancia, al menos al punto de obtener documentos y activar la webcam o micrófono. De todos modos no hay certeza de que estas últimas funciones hayan sido usadas alguna vez.

El afectado más famoso por el momento es el Dalai Lama, quien no goza de las simpatías del gobierno chino. Supuestamente los computadores ubicados en los centros de su organización en India, Bélgica, Inglaterra y Estados Unidos estuvieron siendo vigilados.

Link: Vast Spy System Loots Computers in 103 Countries (NYTimes)

La empresa TJ Maxx sufrió una epidemia de malware en sus sistemas, los que habrían dejado expuestas un total de 100 millones de tarjetas de crédito y débito.

El hecho quedó al descubierto la semana pasada, luego de realizar una investigación sobre una importante cantidad de transacciones que registraban e informaban sobre los datos que almacenaban las tarjetas. Estos registros anómalos habrían comenzado a realizarse en Noviembre de 2008, luego que uno de los sistemas que se encargaba del procesamiento de pagos con tarjetas, fue infectado con un malware (del que no se entregó mayor información).

RJ Maxx se encargaba de los procesos de pago de la compañía Heartland Payment Systems, proveedor de servicios de procesamiento de tarjetas de crédito a comerciantes en los Estados Unidos.

De confirmarse esta filtración de información bancaria, se transformaría en la mayor violación de seguridad registrada en los Estados Unidos.

Link: Malware infestation responsible for credit card data breach (ars technica)

Una vez en tu computador, el gusano busca el archivo ejecutable de Windows llamado "services.exe" y luego pasa a formar parte de dicho código.

Luego se copia en la carpeta del sistema de Windows como un archivo del tipo "dll", se retitula con un nombre de entre 5 y 8 caracteres cómo "piftoc.dll", modifica el registro de Windows para finalmente ejecutar el archivo "dll" infectado como un servicio del sistema.

Una vez que el gusano está instalado, crea un servidor HTTP, borra rastros de su instalación y comienza a bajar programas y archivos de sitios maliciosos.

Pero el Downadup tiene una inteligencia adicional, ya que usa un complicado algoritmo que genera miles de nombres de dominio diferentes cada día, como por ejemplo mphtfrxs.net,imctaef.cc,hcweu.org, etc… pero sólo uno de ellos es válido y es el que realmente usa para conectarse a la nave madre. Esta estrategia hace casi imposible rastrear sus quehaceres.

Según F-Secure, la siguiente lista muestra la cantidad de IPs infectadas a nivel mundial

• China – 38.277
• Brasil – 34.814
• Rusia – 24.526
• India – 16.497
• Ukrania – 14.767
• Italia – 13.115
• Argentina – 11.675
• Corea – 11.117
• Rumania – 8.861
• EEUU – 3.958
• Reino Unido – 1,789

Links:
- The Downadup Worm Hits 3.5 Million (InformationWeek)
- Instrucciones y programa para eliminarlo en español (Symantec)
- Más ayuda y programas para eliminarlo en inglés (F-Secure)
- Programas Antivirus gratuitos: AVG Free – Avast! – ClamWin (código abierto)

Uno de los culpables más recurrentes en la lista de malware son los antivirus falsos, que a través de una advertencia de seguridad en un pop-up o en la barra de mensajes de Internet Explorer (”Su equipo puede estar en riesgo, ¡haga click aquí para estar a salvo!”) consigue que el usuario instale voluntariamente un programa que bien puede convertir al computador en un zombie para ataques DOS o bien en un generador de spam y publicidad para el usuario.  Como guinda de la torta, en muchas ocasiones los mismos usuarios terminan pagando USD$40 o USD$50 para “registrar” su nuevo producto ante la insistencia del mismo.

Volviendo a la noticia, según Microsoft la última versión de su MSRT ya habría limpiado 394.000 computadores del malware “Antivirus 2009″, que también se hace pasar por “Advanced Antivirus”, “Ultimate Antivirus 2008″ y “XPert Antivirus”.

Si bien la noticia es alentadora, la ignorancia generalizada del público en Internet es perturbante, pues estos mismos programas pueden grabar las contraseñas con las que accedemos a nuestra cuenta bancaria o llevar a la persona a sitios de phishing.

Link: Microsoft kicks fake security software off 400,000 PCs (ComputerWorld)

Según un estudio realizado por la compañía Sophos, Estados Unidos es la principal fuente de malware a nivel mundial, seguido por China y en un lejano tercer lugar, por Rusia.

El reporte destaca como hechos relevantes que el principal tipo de ataque por malware es el denominado SQL Injection (Inyección SQL) y que, cada 4.5 segundos, se descubre una nueva página web infectada.

El estudio sorprende ya que, comúnmente, se piensa que la mayoría de estos ataques se originan en países pertenecientes a la ex Unión Soviética. Más aún si pensamos las importantes sumas de dinero que se invierten en Estados Unidos en temas relacionados con la seguridad en Internet.

Para revisar el estudio en detalle, se puede descargar desde este link.

Link: US computers still the source of most malware (Ars Technica)