McAfee indemniza a las empresas afectadas por el error del antivirus en el Perú

A inicios de este mes en nuestro país varios de los usuarios de McAfee tuvieron problemas con una actualización del antivirus que detectaba un componente del Windows XP como un falso virus. Después del procedimiento de escaneo del antivirus, el host nos presentaba pantalla azul “blue screen of death”, luego de una o dos horas McAfee alertaba e informaba el procedimiento de recuperación del sistema debido a este problema, sin embargo, en varias organizaciones esto significo pérdida de horas de trabajo. La industria bancaria fue una de las más afectados por este evento.  Aunque no nos detallaron la compensación nos dicen que esta ya ha sido efectiva.

Se propaga malware por Twitter

Se ha propagado otro malware por Twitter. Una gran cantidad de cuentas falsa han enviado mensajes con tags populares y con este texto “haha this is the funnies video ive ever seen” acompañados por un link.

Continuar leyendo

Nuevo servicio en linea para la detección de Malware en Web Sites

Miles de web sites son infectados con malware día a día, infectando a los visitantes de estos sites. La cantidad de infectados por esta modalidad aumenta exponencialmente. Qualys ha lanzado un servicio gratuito que hace escaneos proactivos en los sites sin importar el tamaño de estas, buscando software malicioso. El nombre de este servicio es QualysGuard Malware Detection.

En este video, el CTO de Qualys Wolfgang Kandek habla acerca de este servicio gratuito el cual brinda al negocio de alertas automáticas y reportes de lo acontecido para una rápida solución al momento de encontrar el malware.

Para mayor información: http://www.qualys.com/

¿Un código de virus puede dañar el hardware?

BitDefender identificó una nueva amenaza que combina el comportamiento destructivo de un virus con el mecanismo de difusión de un gusano. Hay dos nuevas variantes de este virus, el cual ingresa a la computadora como una inofensiva prueba de IQ.

Una vez ejecutada el gusano crea entre siete y nueve copias de si mismo dependiendo de la variante en areas críticas del sistema Windows.

Win32.Worm.Zimuse.A es un peligroso código malicioso. A diferencia del gusano, Win32.Worm.Zimuse. A puede llevar a perder data porque sobreescribe los primeros  50 KB del Master Boot Record que es una zona importante del disco duro.

Para ejecutarse en cada inicio de Windows, el gusano establece el siguiente registro:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun]“Dump”=”%programfiles%DumpDump.exe

Esto también crea dos archivos, nombrados:

%system%driversMstart.sys and %system%driversMseu.sys

Desde las versiones de 64-bits de Windows Vista y Windows 7 se requiere drivers firmados digitalmente,e l gusano no podría instalarse.

Desafortunadamente, en estos escenarios, el gusano hará casi imposible que los usuarios sepan que fueron víctimas de esta amenaza. Si un cierto número de días pasan desde la infección (40 idas para la variable A y 20 dias para la variente B), la computadora recibe un mensaje de error en el cual se menciona que un problema  ha ocurrido debido a un contenido malicioso de un paquete desde una IP. Luego se pide al usuario recuperar el sistema presionando OK. Después de este mensaje, el siguiente reinicio causa que el disco duro de la computadora  se dañe comprometiendo el sector de booteo.

A continuación les dejamos un video que describe el ataque de este malware:

Nuevo 0day de Adobe

Adobe ha informado mediante uno de sus boletines que está realizando investigaciones acerca de una vulnerabilidad perteneciente a los paquetes Adobe Reader y Acrobat.

Fuentes como security focus (http://www.securityfocus.com/bid/37331/info) afirman que existe un exploit que toma ventaja de esta vulnerabilidad y permite ejecutar codigo arbitrario. Mas preocupante aun, es que ya diversas fuentes indican que este exploit esta siendo usado en forma activa.

Como bien sabemos este tipo de exploits es utilizado por grupos de hackers maliciosos y por mafias para su propio beneficio economico, ya que pueden tomar control de las maquinas y sustraer informacion sensible.

El ataque sucede de la siguiente manera:

- Atacante inyecta codigo malicioso en un pdf de interes general

- Atacante distribuye el archivo PDF por varios medios (spam, paginas, redes p2p)

- Victima recibe PDF por alguno de los medios

- Victima abre PDF, lee el contenido (mientras tanto en 2do plano y en forma oculta se ejecuta codigo malicioso)

- Atacante obtiene acceso a la maquina de la victima, tomando informacion sensible y util para sus fines

A continuación algunas recomendaciones para poder prevenir ser victimas de este tipo de ataques:

- Tener cuidado al recibir archivos pdf de personas desconocidas o fuentes sospechosas
- Si trabaja continuamente con este tipo de archivos, podría intentar deshabilitar Javascript en su programa de Adobe Acrobat Reader. Para realizar este cambio vaya al menu EDIT, luego a PREFERENCIAS y en la parte de JAVASCRIPT, quite el check de “Habilitar Acrobat Javascript”

Esperamos haber sido de ayuda.

Saludos

ENHACKE

Audio # 2 – Las botnets

En este audio hablaremos sobre las redes de ordenadores zombies o botnets. Estas redes estan conformadas de máquinas infectadas que obedecen a un bot master. Este tipo de ataques es muy utilizado en el cibercrimen para el robo y secuestro de información, para el famoso SPAM, o publicidad de algun producto, entre otros.

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y  contramedidas. Esperamos sea de su agrado.

Play

¿Antivirus en la nube? ¿Y mi confidencialidad?

Nos acaba de llegar conclusiones muy interesantes de la conferencia Virus Bulletin 2009 y se refiere a las teorías que surgen cuando se habla de la nube o Cloud Computing.

La detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

• El tamaño de la base de datos de firmas de malware detectado crece cuando se actualiza, estos archivos se encuentran almacenados en el cliente, lo cual representa un problema de performance y de consumo de recursos para varios motores antivirus.
• Miles de nuevos malware deben ser analizados día a día, labor que no puede ser realizada por analistas humanos y se necesitan procesos automátizados que los realicen. Continuar leyendo

¿Me puedo infectar por Twitter?

Segun F-Secure, estamos viendo cada vez más cuentas falsas en Twitter que se autogeneran por los hackers maliciosos.

Los perfiles se ven verídicos. Tienen cuentas con usuarios diferentes en varias ubicaciones de Estados Unidos. Estas cuentas inclusive suben diferentes Wallpapers para sus perfiles.

Todos los tweets enviados por estas cuentas son auto-generadas, recogiendo palabras claves de las tendencias de Twitter o repitiendo tweets reales enviados por humanos. Continuar leyendo

Hackean pagina de la AFA (Asociacion de Futbol Argentina)!!!!

Una noticia rapida y muy reciente. Parece que los ultimos resultados de los partidos de futbol en los que participo Argentina por las eliminatorias no dejaron nada contento a este hacker malicioso.

En el transcurso del dia, un hacker malicioso, identificado como KKR ha logrado comprometer el servidor web de la Asociacion de Futbol Argentino y ha cambiado el contenido.

El nuevo contenido contiene el mensaje HACKED BY KKR, una imagen de Maradona vistiendo la camiseta de brasil (proviene de una campaña publicitaria del 2006 – al final de este post) y el mensaje “Una imagen vale mas que mil palabras”.

El equipo de seguridad informatica de la AFA reacciono en las horas siguientes y cambio la pagina por una temporal donde solo se muestra el logo.

A continuacion una imagen de la pagina cuando fue hackeada por KKR.

Esto nos sirve para recordar que cualquier empresa, corporacion o institucion puede ser victima de un ataque informatico. Dicho ataque puede tener consecuencias como perdida de informacion, productividad o imagen de la corporacion.

Para estar a salvo de estos ataques mantengan sus politicas de seguridad actualizadas, su perimetro asegurado y realicen pruebas de auditoria de seguridad informatica frecuentemente.

Saludos.

enHacke

Bootkits nuevas amenazas indetectables

Un bootkit es un virus capaz de penetrar un Sistema Windows con sus parches respectivos y ser cargado en el kernel, llega a tener acceso ilimitado en el computador. También es capaz de penetrar un disco encriptado ya que el Master Boot Record no es encriptado. De esta manera el driver infectado se carga al inicio del Sistema Operativo. Esto es un punto debil del MBR que el virus usara para controlar el sistema. Por esta vulnerabilidad nadie esta seguro

Este tipo de amenaza puede vulnerar:

• Windows XP, Windows Server 2003, Windows Vista, Windows 7 con un solo MBR.
• la encriptacion de disco por TrueCrypt.

Propagación

En este momento, el bootkit se propaga mediante sitios craqueados, de pornografía y sitios de software pirata. Casi todos los servidores que participan en el proceso de infectar al usuario, tienen indicios de usar la lengua rusa: funcionan en el marco de los así llamados programas de partners, que son esquemas de interacción entre los propietarios de los sitios y los autores de los programas nocivos. Estas estructuras de partners son muy populares en el espacio cibernético ruso y ucraniano. Continuar leyendo

Página siguiente »