Phishing masivo y robo de información en un solo troyano

agosto 31, 2005 § Deja un comentario

Fuente: http://www.pandasoftware.es/

Partiendo de Downloader.CYZ, ejemplares de malware distintos participan en una sucesión de acciones que roban todo tipo de información confidencial del usuario.

PandaLabs ha detectado una dirección web preparada para llevar a cabo un complejo ataque combinado en el que participan hasta varios ejemplares de malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con la visita a una determinada dirección de Internet, preparada para aprovechar posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a dicha dirección.

En caso de que el usuario se conecte a dicha dirección, lo que verá será un código javascript codificado que, en realidad, constituye una forma de ocultar otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.

Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug) otros programas, con esto podría, entre otras cosas, terminar procesos, crear hilos de ejecución remotos… Posteriormente se autocopia en %temp%\sstchst.exe y se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará en el sistema. El troyano posee también la capacidad de cerrar ventanas normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se conecta a una web que parece ser un contador del número de infecciones.

Por su parte, Trj/Banker/VY se copia en el sistema con el nombre nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano reside en que está diseñado para interceptar la información que el usuario introduce cuando se conecta a páginas web correspondientes a un gran número de entidades financieras de todo el mundo.

Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:

– Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS creando cientos de entradas que corresponden a las entidades bancarias que desea controlar, de modo que cuando el usuario solicite dichas páginas, se le presenten aquellas réplicas cuyas direcciones acaba de conseguir.

– Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas en su código, agrupadas por entidad bancaria: en caso de que el usuario introduzca alguna combinación de estas cadenas de caracteres, será redirigido a una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.

La motivación que se puede esconder detrás de esta sofisticación del phishing son evitar el problema de las direcciones variables, de modo que no son abarcables por medio de una simple modificación del fichero HOSTS. De este modo, si todas las direcciones variables poseen una parte común, también podrán ser atacadas.

Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el ordenador afectado, con una función específica en cada caso:

– Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione los títulos de determinadas ventanas y en función de ellos, capture información y la escriba en un fichero de log.

– El segundo de los ficheros es indicador de la máquina

– El tercero de los ficheros salva la información depositada por el usuario en el portapapeles.

– Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el troyano reciba órdenes por control remoto. Además, con el fin de evitar firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer hijo, en el que se inyecta y a través del cual escucha.

Toda la información recolectada la va recogiendo en un directorio temporal, que posteriormente envía a un servidor remoto. En el momento de escribir estas líneas, dicha información superaba los 20MB, y contiene información muy confidencial que permitiría a cualquier persona acceder a las cuentas online de bancos, Skype, MS Passport, webmail…

Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un gran número de webs de entidades bancarias y las falsea de forma convincente, lo que implica un exhaustivo trabajo de investigación por parte del creador, como por parte de Dumarin.L, capaz de robar información de un gran número de aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que, cada vez más, los desarrolladores de malware apuestan por vivir económicamente de sus creaciones”.

Anuncios

Phishing masivo y robo de información en un solo troyano

agosto 31, 2005 § Deja un comentario

Fuente: http://www.pandasoftware.es/

Partiendo de Downloader.CYZ, ejemplares de malware distintos participan en una sucesión de acciones que roban todo tipo de información confidencial del usuario.

PandaLabs ha detectado una dirección web preparada para llevar a cabo un complejo ataque combinado en el que participan hasta varios ejemplares de malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con la visita a una determinada dirección de Internet, preparada para aprovechar posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a dicha dirección.

En caso de que el usuario se conecte a dicha dirección, lo que verá será un código javascript codificado que, en realidad, constituye una forma de ocultar otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.

Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug) otros programas, con esto podría, entre otras cosas, terminar procesos, crear hilos de ejecución remotos… Posteriormente se autocopia en %temp%\sstchst.exe y se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará en el sistema. El troyano posee también la capacidad de cerrar ventanas normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se conecta a una web que parece ser un contador del número de infecciones.

Por su parte, Trj/Banker/VY se copia en el sistema con el nombre nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano reside en que está diseñado para interceptar la información que el usuario introduce cuando se conecta a páginas web correspondientes a un gran número de entidades financieras de todo el mundo.

Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:

– Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS creando cientos de entradas que corresponden a las entidades bancarias que desea controlar, de modo que cuando el usuario solicite dichas páginas, se le presenten aquellas réplicas cuyas direcciones acaba de conseguir.

– Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas en su código, agrupadas por entidad bancaria: en caso de que el usuario introduzca alguna combinación de estas cadenas de caracteres, será redirigido a una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.

La motivación que se puede esconder detrás de esta sofisticación del phishing son evitar el problema de las direcciones variables, de modo que no son abarcables por medio de una simple modificación del fichero HOSTS. De este modo, si todas las direcciones variables poseen una parte común, también podrán ser atacadas.

Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el ordenador afectado, con una función específica en cada caso:

– Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione los títulos de determinadas ventanas y en función de ellos, capture información y la escriba en un fichero de log.

– El segundo de los ficheros es indicador de la máquina

– El tercero de los ficheros salva la información depositada por el usuario en el portapapeles.

– Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el troyano reciba órdenes por control remoto. Además, con el fin de evitar firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer hijo, en el que se inyecta y a través del cual escucha.

Toda la información recolectada la va recogiendo en un directorio temporal, que posteriormente envía a un servidor remoto. En el momento de escribir estas líneas, dicha información superaba los 20MB, y contiene información muy confidencial que permitiría a cualquier persona acceder a las cuentas online de bancos, Skype, MS Passport, webmail…

Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un gran número de webs de entidades bancarias y las falsea de forma convincente, lo que implica un exhaustivo trabajo de investigación por parte del creador, como por parte de Dumarin.L, capaz de robar información de un gran número de aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que, cada vez más, los desarrolladores de malware apuestan por vivir económicamente de sus creaciones”.

Phishing masivo y robo de información en un solo troyano

agosto 31, 2005 § Deja un comentario

Fuente: http://www.pandasoftware.es/

Partiendo de Downloader.CYZ, ejemplares de malware distintos participan en una sucesión de acciones que roban todo tipo de información confidencial del usuario.

PandaLabs ha detectado una dirección web preparada para llevar a cabo un complejo ataque combinado en el que participan hasta varios ejemplares de malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con la visita a una determinada dirección de Internet, preparada para aprovechar posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a dicha dirección.

En caso de que el usuario se conecte a dicha dirección, lo que verá será un código javascript codificado que, en realidad, constituye una forma de ocultar otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.

Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug) otros programas, con esto podría, entre otras cosas, terminar procesos, crear hilos de ejecución remotos… Posteriormente se autocopia en %temp%\sstchst.exe y se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará en el sistema. El troyano posee también la capacidad de cerrar ventanas normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se conecta a una web que parece ser un contador del número de infecciones.

Por su parte, Trj/Banker/VY se copia en el sistema con el nombre nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano reside en que está diseñado para interceptar la información que el usuario introduce cuando se conecta a páginas web correspondientes a un gran número de entidades financieras de todo el mundo.

Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:

– Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS creando cientos de entradas que corresponden a las entidades bancarias que desea controlar, de modo que cuando el usuario solicite dichas páginas, se le presenten aquellas réplicas cuyas direcciones acaba de conseguir.

– Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas en su código, agrupadas por entidad bancaria: en caso de que el usuario introduzca alguna combinación de estas cadenas de caracteres, será redirigido a una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.

La motivación que se puede esconder detrás de esta sofisticación del phishing son evitar el problema de las direcciones variables, de modo que no son abarcables por medio de una simple modificación del fichero HOSTS. De este modo, si todas las direcciones variables poseen una parte común, también podrán ser atacadas.

Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el ordenador afectado, con una función específica en cada caso:

– Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione los títulos de determinadas ventanas y en función de ellos, capture información y la escriba en un fichero de log.

– El segundo de los ficheros es indicador de la máquina

– El tercero de los ficheros salva la información depositada por el usuario en el portapapeles.

– Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el troyano reciba órdenes por control remoto. Además, con el fin de evitar firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer hijo, en el que se inyecta y a través del cual escucha.

Toda la información recolectada la va recogiendo en un directorio temporal, que posteriormente envía a un servidor remoto. En el momento de escribir estas líneas, dicha información superaba los 20MB, y contiene información muy confidencial que permitiría a cualquier persona acceder a las cuentas online de bancos, Skype, MS Passport, webmail…

Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un gran número de webs de entidades bancarias y las falsea de forma convincente, lo que implica un exhaustivo trabajo de investigación por parte del creador, como por parte de Dumarin.L, capaz de robar información de un gran número de aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que, cada vez más, los desarrolladores de malware apuestan por vivir económicamente de sus creaciones”.

Phishing masivo y robo de información en un solo troyano

agosto 31, 2005 § Deja un comentario

Fuente: http://www.pandasoftware.es/

Partiendo de Downloader.CYZ, ejemplares de malware distintos participan en una sucesión de acciones que roban todo tipo de información confidencial del usuario.

PandaLabs ha detectado una dirección web preparada para llevar a cabo un complejo ataque combinado en el que participan hasta varios ejemplares de malware distintos. El mayor peligro de este ataque es que se inicia tan sólo con la visita a una determinada dirección de Internet, preparada para aprovechar posibles vulnerabilidades en el equipo del usuario que se encuentre conectado a dicha dirección.

En caso de que el usuario se conecte a dicha dirección, lo que verá será un código javascript codificado que, en realidad, constituye una forma de ocultar otro código que por medio de diversas vulnerabilidades y objetos diseñados a tal efecto, en caso de ser exitosa, resulta en la descarga en el sistema de Trj/Downloader.CYZ.

Cuando éste se ejecuta, intenta otorgarse a sí mismo el privilegio de depurar (debug) otros programas, con esto podría, entre otras cosas, terminar procesos, crear hilos de ejecución remotos… Posteriormente se autocopia en %temp%\sstchst.exe y se ejecuta, borrando el fichero inicial. Además, intenta descargar y ejecutar dos ficheros desde otras tantas direcciones web, file1.exe y file2.exe, que contienen dos códigos maliciosos, Trj/Banker/VY y Trj/Dumarin.L, y que guardará en el sistema. El troyano posee también la capacidad de cerrar ventanas normalmente asociadas a avisos de seguridad, de modo que el usuario no pueda visualizarlas y advertir el peligro. En cada infección, Downloader.CYZ se conecta a una web que parece ser un contador del número de infecciones.

Por su parte, Trj/Banker/VY se copia en el sistema con el nombre nbthlp.exe, creando una entrada en el registro de Windows para ejecutarse cada vez que se reinicie el sistema. Sin embargo, la peligrosidad de este troyano reside en que está diseñado para interceptar la información que el usuario introduce cuando se conecta a páginas web correspondientes a un gran número de entidades financieras de todo el mundo.

Para llevar esto a cabo, emplea un curioso método, que consiste dos acciones:

– Por un lado, lanza una petición DNS para resolver un dominio, del que obtiene direcciones cientos de réplicas falsas de páginas web de bancos, con el objeto de llevar a cabo ataques de phishing. Seguidamente, modifica el fichero HOSTS creando cientos de entradas que corresponden a las entidades bancarias que desea controlar, de modo que cuando el usuario solicite dichas páginas, se le presenten aquellas réplicas cuyas direcciones acaba de conseguir.

– Por otro lado, el troyano posee una lista de cadenas de caracteres detalladas en su código, agrupadas por entidad bancaria: en caso de que el usuario introduzca alguna combinación de estas cadenas de caracteres, será redirigido a una nueva web falsa simulando ser su banco, para llevar a cabo la estafa.

La motivación que se puede esconder detrás de esta sofisticación del phishing son evitar el problema de las direcciones variables, de modo que no son abarcables por medio de una simple modificación del fichero HOSTS. De este modo, si todas las direcciones variables poseen una parte común, también podrán ser atacadas.

Por otra parte, Trj/Dumarin.L deposita una serie de ficheros en el ordenador afectado, con una función específica en cada caso:

– Uno de los ficheros, detectado a su vez como Trj/MiniLD.C, se inyecta en todos los procesos del sistema, permitiendo que Dumarin.L inspeccione los títulos de determinadas ventanas y en función de ellos, capture información y la escriba en un fichero de log.

– El segundo de los ficheros es indicador de la máquina

– El tercero de los ficheros salva la información depositada por el usuario en el portapapeles.

– Finalmente, un cuarto contiene la funcionalidad backdoor, que permite que el troyano reciba órdenes por control remoto. Además, con el fin de evitar firewalls orientados a procesos, Dumarin.L crea un proceso Internet Explorer hijo, en el que se inyecta y a través del cual escucha.

Toda la información recolectada la va recogiendo en un directorio temporal, que posteriormente envía a un servidor remoto. En el momento de escribir estas líneas, dicha información superaba los 20MB, y contiene información muy confidencial que permitiría a cualquier persona acceder a las cuentas online de bancos, Skype, MS Passport, webmail…

Según Luis Corrons, director de PandaLabs: “Si algo destaca en este ataque es lo cuidado que está, tanto en lo referente al troyano Banker.VY, que vigila un gran número de webs de entidades bancarias y las falsea de forma convincente, lo que implica un exhaustivo trabajo de investigación por parte del creador, como por parte de Dumarin.L, capaz de robar información de un gran número de aplicaciones diferentes, de las que puede obtener beneficio. Parece claro que, cada vez más, los desarrolladores de malware apuestan por vivir económicamente de sus creaciones”.

El autor del gusano Zotob está relacionado con la creación de otros 20 virus

agosto 31, 2005 § Deja un comentario

Fuente: http://www.noticiasdot.com/

Farid Essebar, de 18 años y nacionalidad rusa pero residente en Marruecos, fue arrestado el pasado jueves 25 de agosto, tan solo dos semanas después de que varios gusanos hubieran atacado diversas organizaciones de renombre en todo el mundo. Farid Ensebar habría utilizado la firma de “Diabl0”, palabra que ha sido encontrada en el código del gusano Zotob. No es raro que los autores de programas maliciosos dejen así su “huella” u otro tipo de mensajes en el interior del código. Las autoridades turcas, que han detenido al presunto cómplice de Farid Enssebar, Atilla Ekici, han identificado a otros 16 sospechosos de estar relacionados en el caso.

Las investigaciones llevadas a cabo por Sophos han establecido que otros 20 virus poseen la marca Diablo, entre los cuales se encuentran Mydoom-BG y varias versiones del gusano Mytob. Estos virus, que encabezan las listas de los virus más detectados en todo el mundo, suponen seis de los diez puestos del Top Ten y un 54% del total de los virus detectados por Sophos a lo largo de este mes.

“A primera vista los gusanos Mytob y Zotob pueden parecer bastante diferentes entre si: un grupo de virus se propaga vía email, mientras que el otro lo hace básicamente explotando los agujeros de seguridad de Microsoft” comenta Annie Gay, Directora General de Sophos Francia y Europa del Sur. “Sin embargo, al ser estudiado de cerca por un analista de virus experimentado, las similitudes se hacen patentes. Es evidente que quienquiera que haya creado Zotob, ha tenido acceso al código fuente de Mytob, suprimiendo la parte ligada a la difusión por correo electrónico y reemplazándola por otra que se aprovecha del fallo de Microsoft. Los gusanos Mytob han estado muy presentes en las clasificaciones de los virus más propagados en el 2005, y todo lo que pueda impedir la creación y la circulación de nuevas variantes es bien recibido. Es sin embargo posible que varias personas hayan tenido acceso al código fuente de Mytob, y que por lo tanto no estemos todavía ante el final de sus días”

El autor del gusano Zotob está relacionado con la creación de otros 20 virus

agosto 31, 2005 § Deja un comentario

Fuente: http://www.noticiasdot.com/

Farid Essebar, de 18 años y nacionalidad rusa pero residente en Marruecos, fue arrestado el pasado jueves 25 de agosto, tan solo dos semanas después de que varios gusanos hubieran atacado diversas organizaciones de renombre en todo el mundo. Farid Ensebar habría utilizado la firma de “Diabl0”, palabra que ha sido encontrada en el código del gusano Zotob. No es raro que los autores de programas maliciosos dejen así su “huella” u otro tipo de mensajes en el interior del código. Las autoridades turcas, que han detenido al presunto cómplice de Farid Enssebar, Atilla Ekici, han identificado a otros 16 sospechosos de estar relacionados en el caso.

Las investigaciones llevadas a cabo por Sophos han establecido que otros 20 virus poseen la marca Diablo, entre los cuales se encuentran Mydoom-BG y varias versiones del gusano Mytob. Estos virus, que encabezan las listas de los virus más detectados en todo el mundo, suponen seis de los diez puestos del Top Ten y un 54% del total de los virus detectados por Sophos a lo largo de este mes.

“A primera vista los gusanos Mytob y Zotob pueden parecer bastante diferentes entre si: un grupo de virus se propaga vía email, mientras que el otro lo hace básicamente explotando los agujeros de seguridad de Microsoft” comenta Annie Gay, Directora General de Sophos Francia y Europa del Sur. “Sin embargo, al ser estudiado de cerca por un analista de virus experimentado, las similitudes se hacen patentes. Es evidente que quienquiera que haya creado Zotob, ha tenido acceso al código fuente de Mytob, suprimiendo la parte ligada a la difusión por correo electrónico y reemplazándola por otra que se aprovecha del fallo de Microsoft. Los gusanos Mytob han estado muy presentes en las clasificaciones de los virus más propagados en el 2005, y todo lo que pueda impedir la creación y la circulación de nuevas variantes es bien recibido. Es sin embargo posible que varias personas hayan tenido acceso al código fuente de Mytob, y que por lo tanto no estemos todavía ante el final de sus días”

Microsoft reconoce que el Software libre es una amenaza

agosto 31, 2005 § Deja un comentario

Fuente: http://www.noticiasdot.com/

El reconocimiento del riesgo que representa el software libre para la marcha de la empresa se realizó a través del documento Form 10-K, un informe que todas las empresas que cotizan en bolsa deben entregar al organismo regulador del mercado de valores.

En este documento, Microsoft dice que “los softwares no comerciales continúan siendo un desafió significativo para nuestro modelo de negocio”.

Microsoft explica que el ejemplo más notable del software libre es el sistema operativo “Linux”, aunque, también, reconoce la existencia de una gran variedad de soluciones que compiten con productos de la firma.

Entre estos productos, Microsoft destaca Open Office, que compite con la suite Office, y la Fundación Mozilla, que a través de Firefox esta arañando cuota de mercado a Internet Explorer.

Microsoft también se hace eco de la presión que viene ejerciendo el movimiento de software libre sobre las administraciones gubernamentales para que estas adopten exclusivamente soluciones que respondan al “open Source”.

Como conclusión, la multinacional dice que este podría contribuir a la reducción de los ingresos por ventas y de los margenes operativos de la compañía.

Esta es la segunda ocasión en que a través de sus comunicados a la Comisión de Valores la firma reconoce la amenaza que representa el Software libre. La primera vez se produjo en un documento similar durante el año pasado.

¿Dónde estoy?

Actualmente estás viendo los archivos para agosto, 2005 en Seguridad Informática.