(cc) Sophos D/A/CH Presseinfo

Antes de que los fans anti-Linux se emocionen, lamento decirles que no se trata de un problema de seguridad atribuible al sistema operativo libre e involucra a sistemas Windows y servidores de DNS dinámicos.

Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una cadena: Es tan fuerte como su eslabón más débil.  Esto quiere decir que no importa qué tan fuerte sean todos los elementos de seguridad que usemos, basta un punto débil y ahí se producirán los problemas.  Por ejemplo nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…

Con el uso de troyanos en Windows, se ha producido un robo masivo de cuentas FTP usadas para administrar el contenido de servidores web en Linux.  Con este acceso FTP, los intrusos han modificado algunos sitios web para incluir un iframe hacia otro sitio web.  Este iframe contiene una referencia a una URL que apunta a un nombre de host servido por un sistema de DNS dinámico y el servidor final causa que el usuario descargue una variante del troyano Bredolab.gen, con el que se puede repetir el proceso.

Los nombres de hosts utilizados apuntan a un segundo servidor web instalado entre los mismos servidores afectados.  Este servidor se instala con la misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en el servidor y con él descargar, compilar y ejecutar un segundo servidor.  Según lo que se ha investigado, el servidor secundario utilizado es nginx y queda corriendo en el puerto 8080, un puerto que no requiere permisos de administrador para ser utilizado.

El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada servidor involucrado se crea una gran red balanceada y dinámica, lo que dificulta su detección y bloqueo.  Por ahora, los proveedores de DNS dinámico han bloqueado los dominios usados en esta botnet.

El hecho de distribuir troyanos para Windows, que posteriormente se usan para controlar tales computadores, hace que el problema sea difícil de detener incluso teniendo el apoyo de los servicios de DNS dinámicos.  Para empeorar la situación, estos mismos troyanos en Windows son usados para seguir robando cuentas FTP legítimas.

Links:
- Linux webserver botnet pushes malware (The Register)
- Dynamic DNS and botnet of zombie web servers (Unmask Parasites)
- Drive-by campaign using Dynamic DNS domains (Abuse.ch)

El motor de búsqueda VirusScan (de McAfee) recibió una actualización de firmas que ha generado una serie de problemas en decenas de computadores y servidores, con el consiguiente dolor de cabeza para sus administradores.

El problema tendría su origen en la actualización DAT 5664, la que estaría marcando como virus archivos que son legítimos del navegador Internet Explorer, al igual que ciertos controladores de equipos HP/Compaq. Pero eso no es todo, porque ni el mismo McAfee se salvó de si mismo, ya que algunos de sus archivos también fueron marcados como troyanos luego de instalar la actualización.

De hecho el archivo de sistema winvnc.exe lo trasladó al área de cuarentena, por lo que los usuarios vieron cómo sus monitores desplegaban la famosa pantalla azul de la muerte de Windows.

Los foros del antivirus han sido bombardeados por usuarios de distintos países, por lo que la compañía se encuentra trabajando para solucionar el problema a la brevedad.

Link: McAfee false-positive glitch fells PCs worldwide (The Register)

Excelentes noticias para los desarrolladores de programas de Antivirus para OS X: Ha re-nacido un nuevo mercado. Malas noticias para los que pensaban que el ambiente de OS X estaba a salvo de infecciones.

Los virus en el mundo Apple han dejado de ser una broma. La semana pasada, ya te informamos que más de 20 mil computadoras Macintosh estaban contagiadas con el troyano OSX.Trojan.iServices.A.

Hoy, más de 5 mil computadoras ya están infectadas con una variación de este mismo troyano, gracias a la pereza de algunos usuarios de pagar USD$700 por una copia legal del Photoshop CS4.

Todas las versiones pirata de la aplicación de fotografía de Adobe, están infectadas con este virus.

Si por esas cosas raras de la vida estás infectado, la única manera por el momento de eliminarlo de tu sistema es mediante el software VirusBarrier X5. Te aconsejamos comprarlo (pagar dinero para adquirirlo legalmente) … porsiacaso.

Link: New Variant of Mac Trojan Horse iServices Found in Pirated Adobe Photoshop CS4 (Intego) (vía)

¿Pero qué se hace cuando un hospital se ve infectado por un virus de computador?

Tres hospitales londinenses: St. Bartholomew’s, the Royal London Hospital y The London Chest Hospital se encuentran en esta situación. Los expertos aún no determinan el origen de la infección, pero algunos piensan que se produjo debido al efecto de un virus llamado Mytob, el que se expande por medio del correo electrónico dejando abierta una puerta trasera para que entren troyanos al equipo infectado.

En uno de los hospitales se aseguró que las medidas de emergencia habían sido activadas con el objeto que los sistemas clínicos importantes sigan en funcionamiento, mientras la conexión a la red vuelve a ser reestablecida.

De momento no se conoce si los datos clínicos de los pacientes se vieron afectados, pero se logró mantener al agente malicioso controlado para que no infectara otros equipos de la red.

Link: Computer virus at the Trust 1500hrs (vía CNET)