Consejos contra el malware (IV)

junio 28, 2008 § Deja un comentario

En esta entrega continuamos con la serie de artículos iniciado en los boletines anteriores dando consejos para prevenir el malware. Hoy les hablaremos sobre el Adware y el Spyware.

Se define como Adware al software que despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes, o a través de una barra que aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario.

Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas de los navegadores de Internet o en los clientes de correo. Estas barras de tareas personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con publicidad, sea lo que sea que el mismo esté buscando.

Se define como Spyware o software espía a las aplicaciones que recopilan información sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.

Seguir leyendo

Ver Consejos contra el malware (III)

Sitios web falsos que prometen antispyware gratuitos

junio 3, 2008 § Deja un comentario

IronPort Systems, unidad comercial de Cisco, detectó la aparición de un sitio web falso que ofrece supuestamente la descarga de una solución antispyware gratuita. Este sitio funciona por medio de un envío aleatorio de mensajes que invitan a los usuarios a utilizar una solución antispyware para proteger la PC. En realidad es un botsite que utiliza técnicas de ingeniería social para propagar diversos virus.
Cuando es abierto el sitio web falso gratuito http://antispyware911.com/ automáticamente se activa la descarga de un troyano malicioso. La aparición del archivo en PDF muestra el virus troyano y ofrece más información sobre su detección y proliferación.

Con este ataque recientemente identificado, IronPort intenta demostrar que los filtros de reputación de Internet de la S-Serie ofrecen una nueva clase de protección mejorada, así como la capacidad de la compańía para proporcionar más información sobre la forma en que se pueden detectar, identificar, informar y responder a esta amenaza.

La detección temprana de este sitio web apócrifo se logró a través de una combinación de varias tecnologías, entre las que destacan los filtros de reputación, asigna notas de reputación a las IPs basadas en su probabilidad de enviar spam. Esta primera capa de defensa detiene el 80% del spam en el gateway y detiene la mayoría del spam distribuido principalmente por Storm Botnet.

También estuvo presente la labor realizada por el Anti-spam de IronPort, que usa su red Senderease para ver el 25% del tráfico de email mundial. Una combinación de tecnologías automatizadas y humanas analiza este tráfico con cerca de 200 parámetros, incluyendo el tipo de archivo y su contenido. Cuando se detecta un nuevo ataque de spam, se generan reglas rápidamente y se envían al motor de IronPort Anti-Spam.

Fuente: http://seguridad-informacion.blogspot.com/2008/06/sitios-web-falsos-que-prometen.html

Sitio web falso regala solución antispyware

mayo 30, 2008 § Deja un comentario

Este es un ejemplo de un Botsite que utiliza técnicas de ingeniería social para propagar diversos virus.

IronPort Systems detectó la aparición de un sitio web falso que ofrece una solución antispyware gratuita.

Se trata de un envío aleatorio de mensajes que invita al usuario a instalar una solución antispyware gratuita para proteger la PC.

Cuando es abierto el sitio web falso gratuito automáticamente se activa la descarga de un troyano malicioso. La aparición del archivo en PDF muestra el virus troyano y ofrece más información sobre su detección y proliferación.

Fuente: http://www.diarioti.com/gate/n.php?id=17826

Zango, Storm y AdPack: cuando el río suena

mayo 18, 2008 § Deja un comentario

Desde hace varios años, existe una compañía llamada ahora Zango (antes conocida como 180solutions o Hotbar) que tiene una dudosa relación con la instalación de spyware o cualquier tipo de código malicioso. Realmente Zango ofrece juegos, videos y todo tipo de contenido a cambio de instalarte un programa que te muestra anuncios cada cierto tiempo (adware).

Si buscamos en Google sobre Zango, pronto encontraremos muchos enlaces donde la gente se queja de lo que instala Zango, pero siempre Zango se defiende diciendo que lo que hace es totalmente legal. Legal o no, algo pasa puesto que muchas casas de antispyware o antivirus lo detectan como posiblemente peligroso, aunque Zango incluso denunció a alguna de ellas por este motivo (aunque luego quitó la denuncia).

“I really don’t know what to say. It’s astonishing how people’s perceptions of Zango continue to be informed by this sort of post. How exactly does this constitute evidence that Zango is untrustworthy?”

Lo interesante del tema es que hace unos días, la unidad de e-crime de S21sec encontró un nuevo kit de infección llamado AdPack (similar a MPack, IcePack, FirePack, GPack, …) que incluía un fichero llamado zango.php. Este fichero realmente lo que hace es intentar explotar una vulnerabilidad en la toolbar que instala Zango, con lo que realmente utilizan Zango para instalar otro tipo de malware: algo malicioso (AdPack) utiliza algo supuestamente malicioso (Zango) para instalar otro tipo de programas maliciosos (generalmente Bancos o InfoStealer).

Además, también se comenta que las últimas versiones de Storm, también intentan explotar las vulnerabilidades de la toolbar de Zango en las páginas que crea, utilizando drive-by exploits. Algunos se atreven a comentar la relación de Zango con Storm, pero yo creo que es ir demasiado lejos, y es simplemente una explotación más en un software vulnerable (aunque ese software sea posiblemente malicioso). De todas formas, no es la primera vez que este tipo de cosas ocurren, ¿se os ocurre alguna?
David Barroso

No todo vale en la lucha contra el terrorismo

febrero 28, 2008 § Deja un comentario

El año pasado, funcionarios del estado alemán de Renania del Norte-Westfalia espiaron los hábitos de navegación y los archivos almacenados en los discos duros de los ordenadores de un número indeterminado de internautas mediante el uso sistemático de troyanos y spyware.

Wolfgang Schäuble, el ministro del interior germano, justificó tales prácticas aduciendo que se trataba de medidas necesarias para luchar contra el terrorismo internacional, pero esta semana la más alta instancia judicial del país ha tirado por tierra dichas argumentaciones y ha dejado claro que espiar los PCs de los ciudadanos constituye una violación del derecho a la privacidad.

Asimismo, la corte establece que el estado sólo puede espiar las comunicaciones de sus conciudadanos en casos extraordinarios en los que haya pruebas claras de que existe una amenaza real y se tenga el permiso correspondiente de un juez.

Estamos indudablemente ante una sentencia muy importante por cuanto corta las alas a aquellos que piensan que la amenaza del terrorismo les profiere la potestad de pisotear los derechos de los ciudadanos. Al menos en Alemania. Casos como los de Estados Unidos o Gran Bretaña, en los que los organismos estatales gozan de una amplia libertad para espiar a quienes consideren necesario, tengan indicios evidentes o simples sospechas, no son el ejemplo a seguir.

Fuente: http://www.abadiadigital.com/index.php?module=TrackBack&id=58,2828

CIPAV: el spyware del FBI

agosto 1, 2007 § Deja un comentario

El FBI ha reconocido en un documento judicial estar utilizando un programa malicioso para controlar las actividades de un individuo que enviaba amenazas de bomba a un instituto del estado de Washington.

Del software -denominado CIPAV- no se sabe demasiado, aunque del citado documento y la opinión de algunos expertos ya pueden deducirse algunos datos.

Por ejemplo, se sabe que se trata de un programa para Windows, que una vez instalado y activado recopila y envía información de la máquina espiada (IP, puertos, servicios, programas, conexiones, número de serie, MAC de la tarjeta de red, etc, etc.) a los ordenadores del FBI, presumiblemente situados en la sede de este organismo en Cuantico, Virginia….

También se sabe que el programa espía requiere ser activado, y que esa activación se realiza al acceder el usuario a una cuenta web en MySpace o similares. Se especula sobre si llega por un correo y requiere cliquear en el enlace malicioso o no, pero casi todos los expertos apuntan a que explota alguna vulnerabilidad en Windows, apostando alguno de ellos por la vulnerabilidad ANI y otros por el QuickTime de Apple.

CIPAV (a todas luces un avanzado sucesor de Magic Lantern) plantea muchas incertidumbres, una de las cuales consiste en si los fabricantes de antivirus lo han colocado en su lista blanca, de forma que no sea detectado por estos programas.

Más información:
http://www.politechbot.com/docs/fbi.cipav.sanders.affidavit.071607.pdf
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9028298&pageNumber=1
http://digitaldaily.allthingsd.com/20070719/cipav/
http://news.com.com/Security+firms+on+police+spyware%2C+in+their+own+words/2100-7348_3-6196990.html
http://news.com.com/8301-10784_3-9746451-7.html
http://www.heise-security.co.uk/news/92950
http://blog.wired.com/27bstroke6/2007/07/fbi-spyware-how.html
http://www.wired.com/politics/law/news/2007/07/fbi_spyware
http://freesecurityadvice.com/index.php/feds-use-hacking-technique-to-track-bombers/

Fuente: http://www.kriptopolis.org/cipav

El FBI instala ‘spyware’ para rastrear amenazas de bomba

julio 19, 2007 § Deja un comentario

En Slashdot hablan de la confirmación del viejo rumor de que el FBI instala spyware, en concreto uno llamado CIPAV (Computer and Internet Protocol Address Verifier).
El mes pasado un tribunal ordenó al FBI hacerlo para, obviamente, luchar contra el terrorismo. Incluya el lector los términos típicos según el interés del gobierno de turno… La fuente de la noticia.

Fuente: http://barrapunto.com/articles/07/07/19/0915213.shtml

¿Dónde estoy?

Actualmente estás explorando la categoría spyware en Seguridad Informática.