28 septiembre, 2005

No, la bitácora no ha muerto

Lo que ha ocurrido es que toda la semana pasada y lo que llevamos de esta hemos sufrido el acoso de diversos virus que pretendían convertir en zombies nuestras máquinas.

Por el momento han sido hasta cuatro ejemplares distintos que han afectado a centenares de máquinas y sólo hace poco más de una hora se ha publicado la firma de identificación del último.

Ahora lo que queda es el trabajo de "desescombro".

16 septiembre, 2005

Un artículo sobre malware y beneficio económico

Cuando por las circunstancias que sea comento con usuarios, e incluso con compañeros, que detras de buena parte del malware que circula en la actualidad hay intereses económicos, hay ocasiones en las creo percibir en ellos cierto escepticismo.

Pues bien, he aquí un artículo, publicado este verano por el diario ecomómico Cinco Días, que abunda en mis mismos argumentos.

Gusano suplanta la página de Google

Se ha detectado la aparición del gusano P2load que presenta una curioda característica, suplanta la página del buscador Google (cuando se invoca desde Internet Explorer) sustituyéndola por otra creada por los autores del virus. Aparentemente el efecto es el de alterar los enlaces patrocionados, seguramente con la intención de incrementar las visitas a determinados sitios y posiblemente obtener con ello un beneficio económico.

La noticia en El Pais.
La descripción en el Centro de Alerta Temprana.

Actualización de Norman

Esta mañana se ha publicado una nueva actualización de Norman, incorporándose 216 nuevas firmas.

Troyano spameado a millones de direcciones

Según informa Sophos, un troyano ha sido spameado a millones de direcciones de correo electrónico, fundamentalmente del Reino Unido y los Estados Unidos.

Aunque afortunadamente, el código del troyano contiene errores que lo hacen fallar (Sophos dice literalmente "schoolboy errors") al parecer ha provocado problemas en los buzones de correo.

Phishing: A vueltas con el palabro

Corre por Internet la interpretación de que el término Phishing surge de Password Harvesting (cosecha de contraseñas) y fishing (pesca), sin embargo a mí no acaba de cuadrarme y me convence más la interpretación reseñada en Wikipedia en el sentido de que se trataría de un acrónimo retroactivo.

Bitácora del laboratorio de Hispasec

Como complemento a su lista una-al-dia, Hispasec ha puesto en marcha una bitácora en la que se reseñan noticias y contenidos centrados en su laboratorio. Uno de sus puntos interesantes es, por supuesto, la participación a través de los comentarios a las entradas.

15 septiembre, 2005

Sitios de Bots retirados de Internet

Esta es la noticia; algunos sitios desde los que se distribuían bots para la creación de redes de zombies ya están fuera de línea.

Con todo, quizá lo más sorprendente de la noticia sea la declaración del directivo de F-Secure en el sentido de que hay quien está empezando a cobrar por la descarga del código fuente de estos bots. Este dato afianza la evidencia de la cada vez más estrecha relación entre economía y malware.

Ataque de Phishing contra Ibercaja

Esta mañana hemos detectado un ataque de Phishing contra Ibercaja, dado que la relación de la Universidad con ellos es muy estrecha (y que yo mismo soy cliente!!) y me han comentado que desde hace unos días han sufrido varios ataques.

He publicado un aviso en la sección de actualidad de nuestra web http://sicuz.unizar.es

Actualizaciones de Adobe Acrobat

El pasado agosto se publicaron nuevas actualizaciones para Adobe Acrobat y Reader, tanto sobre Windows como sobre Mac OSX, alcanzándose las versiones 6.0.4 y 7.0.3. Pueden aplicarse desde los procedimientos de actualización de las aplicaciones o descargarse desde el sitio de Adobe.

Actualización de Norman

Hace apenas aproximadamente una hora se ha distribuida una actualización de Norman que incorpora 382 nuevas firmas.

14 septiembre, 2005

Zapchast.c resultó ser un falso positivo

Recapitulando:

En los últimos dias hemos tenido algunos problemas, desde el viernes Norman identificaba como infectado por el virus Zapchast.c los ejecutables de la versión 6.03 de mIRC, el cliente de chat que se utiliza para la comunicación entre los compañeros que tienen a cargo la gestión académica.

El problema se ha ido solventando a base de sustituir esa versión 6.03 por la más moderna 6.16, pero acabo de comprobar (intuición supongo) que Norman ya no detecta problema alguno en la vieja versión, por lo que cabe suponer que se ha tratado de un falso positivo.

O Quizás no, acabo de volver a pasar la vieja versión por el servicio de análisis Virustotal, y aunque Norman, logicamente ya no señala ninguna infección, otros antivirus reseñan una brecha de seguridad (lo que por otra parte ya hacían antes) de cuya existencia tengo pocas dudas.

Así las cosas, y a pesar de los inconvenientes ocasionados, creo que algo positivo se puede extraer de esta historia; si se han actualizado versiones vulnerables de un cliente de chat algo hemos ganado; estos canales son una vía muy frecuentemente utilizada por diverso malware.

Hispasec a favor de la LOPD

En este artículo detallan su opinión en el sentido de que las organizaciones (y en particulares sus gerentes y directivos) han de valorar positivamente el impacto de la Ley en sus políticas de seguridad. He de confesar que hasta ahora mi opinión, en general positiva, acerca de esta Ley se basaba en la sintonía ideológica con el principio de defensa de la privacidad, pero los argumentos que exponen no son en absoluto desdeñables.

Actualización de Norman

Hace aproximadamente una hora se ha distribuido una actualización de Norman que incorpora 769 nuevas firmas.

Jefe de seguridad de Microsoft afectado por un dialer

Pues sí, esa es la noticia que reseñaba Oxygen3, la lista de informaciones de seguridad de Panda.

Este enlace apunta a la noticia recogida por MundoPC.Net, por alguna razón (posiblemente una reorganización en curso) no consigo acceder al archivo de Panda.

La venta de segunda mano, objetivo de los estafadores

Ese es el título de la noticia que publica Delitosinformaticos.com, y es que al parecer, algunos estafadores se dedican a pujar en sitios de venta de segunda mano con el objetivo de sonsacar información bancaria a quienes ofertan artículos en ellos..

Sin parches Microsoft en septiembre

Si mal no recuerdo, es la segunda vez, desde que hace casi dos años Microsoft comenzara a distribuir mensualmente sus parches, en que un mes queda huérfano de ellos.

Lo que sí se ha distribuido es la versión correspondiente a este mes de la Herramienta de eliminación de malware, que por supuesto incorpora la erradicación de Zotob, responsable de las alertas del pasado mes de agosto. Más información sobre esta herramienta aquí (por cierto que esta es la nueva versión de la Base de datos de documentación técnica, a la que estamos haciendo un buen lavado de cara).

13 septiembre, 2005

Actualizaciones de Norman

Hace apenas una hora acaba de distribuirse una actualización de Norman, incorporándose 142 ficheros nuevas firmas.

Microsoft Antiphishing Filter: una estrategia dudosa

Microsoft ha anunciado la liberación de su herramienta de filtrado de sitios dedicados al Phishing. Hasta aquí la noticia la noticia cabría calificarla de positiva, el problema viene cuando se comprueba que pese a que en contra de lo que sospechaba no estará vinculada a Internet Explorer 7, la han asociado a la barra de búsquedas de MSN.

Pero la cosa no acaba ahí, el funcionamiento del filtro se basa en la consulta en línea con un servicio de catalogación de sitios potencialmente peligrosos, por lo que de hecho Microsoft conocerá los hábitos de navegación de los usuarios.

Ni que decir tiene que no pienso utilizar ese sistema.

Troyano árabe contra la pornografía

Según informa Sophos, el troyano Yusufali, intenta impedir la visualización de determinadas web de contenido pornográfico y presenta un mensaje extraido del Corán.

Vulnerabilidad en Firefox

Detectada por Secunia y reseñada en los foros de Firefox, esta vulnerabilidad, todavía no parcheada, puede ser explotada para provocar un ataque DDoS (Denegación Distribuida de Servicios) o incluso comprometer es sistema atacado.

Desde la propia noticia puede accerderse a la descarga de un fix que permite sortear (Workaround) el problema.

Actualizaciones de Norman

En la tarde de ayer lunes, y con apenas dos horas de intervalo, se produjeron dos actualizaciones de Norman con 202 y 48 nuevas firmas. Admás hace apenas una hora se ha distribuido una nueva con tan sólo 8 firmas. La razón puede estar en la aparición de nuevas variantes de Bagle.

09 septiembre, 2005

Registro de e-mails y spam

Leo en El Pais, las útimas noticias acerca de la polémica suscitada por los planes de la Comisión Europea y los Gobiernos de la Unión de exigir a los proveedores de servicios el registro y mantenimiento por un año de datos referidos a la comunicaciones electrónicas (aunque no a sus contenidos).

El caso es que me pregunto si estas autoridades serán conscientes de que buena parte de los datos así registrados se referirán a envíos de spam y virus. No, no creo que ni ahora ni en el futuro se lleguen a utilizar estos procedimientos para evitar el spam; las autoridades (con la posible excepción del Parlamento Europea) no se han mostrado especialmente diligentes al respecto...

Y sí, desconfío de la iniciativa; cuando se dispone de información sensible la tentación de utilizarla puede llegar a ser irresistible.

Actualización de Norman

Acaba de distribuirse la actualización semanal de Norman, incorporándose 797 nuevas firmas de virus.

Zotob: El gusano de este verano

Aunque la "maldición del año impar" no se cumplió esta vez, el verano no podía pasar sin que algún gusano no llamara la atención. En esta ocasión el protagonista ha sido Zotob quien ha presentado varias caracterísiticas peculiares.

En primer lugar el tiempo transcurrido entre la publicación del parche de Microsoft que corregía la vulnerabilidad aprovechada por Zotob y la irrupción del propio gusano ha sido extremadamente breve; el boletín MS05-039 referido a plug and play de Windows se distribuía el martes 9 y el gusano se detectó el domingo día 14.

En segundo lugar, y como suele ser habitua,l no fue la primera variante detectada la que disparó las alarmas sino un de las posteriores, que por ejemplo Norman reseña como Zotob.B.

En tercer lugar, al no propagarse por correo electrónico sino directamente a través del puerto 445, el impacto fue escaso entre los usuarios domésticos y sólo cuando consiguió colarse en las redes internas de algunas organizaciones, particularmente medios de comunicación estadounidenses como la CNN, ABC o El New York Times, Zotob se convirtió en noticia, que, por ejemplo, El Pais recogió así.

Por último, y como epílogo de su fugaz paso, el lunes 26 Hispasec reseñaba la detención de un turco y un marroquí, supuestos autores de Zotob.

08 septiembre, 2005

El Spam llega a las bitácoras

Aunque yo apenas he recibido media docena, se está detectando un importante incremento de comentarios no deseados en las bitácoras que, como la mía los permiten.

Para resolver esto Blogger ha dispuesto una opción de verificación por palabra que consiste en que para hacer un comentario es necesario teclear antes una palabra que el sistema presenta en modo gráfico y, obviamente, deformado para evitar los OCR. Con esto se conseguiría obligar a que los comentarios fueran siempre creados por una persona y no por un robot spammer.

Los problemas de Cisco llegan a los medios

Y así lo reseña hoy El Pais, que aunque no haga especial hincapié en la preocupación generada durante las últimas semanas en ámbitos técnicos, se hace eco de las vulnerabilidades descubiertas en dispositivos de Cisco, que han provocado inquietud tanto por tratarse del mayor proveedor de equipos de comunicaciones, como porque hasta ahora se tenían por invulnerables.

Actualización de Norman

Acaba de producirse y no sólo incorpora 159 nuevas firmas, también se actualizan el motor de escaneo y el escáner de línea de comandos.

07 septiembre, 2005

Gusano y troyanos se aprovechan del Katrina

Según informa EnciclopediaVirus.com ya son varios los intentos de diverso malware de aprovechar la catástrofe causada por el huracán Katrina, desde noticias o videos que contienen o descargan espías o troyanos, hasta intentos de estafa que simulan ser colectas para ayuda a los damnificados.

Repugnante.

Noticias de Panda en agosto

Entre todas las que resñan destaco estas:

Según IBM crecen los ataques aunque disminuye el spam. Enlace
Navegación segura: protección frente al malware alojado en páginas web. Enlace
Reproductores de MP3 con "sorpresa", un gusano para Windows. Enlace
SpamNet punta de lanza de un complejo ataque que ha conseguido recopilar más de tres millones de direcciones de correo para envío de spam. Enlace

Envenenamiento de caché DNS

Según reseña EnciclopediaVirus.com , casi un 10 % de los servidores DNS son vulnerables a ataques de envenenamiento de caché.

Noticias reseñadas por Sophos en agosto

Son muchas, aquí hay una selección (aunque dejo lo relativo a Zotob para una entrada "especial")

El virus Lebreat se burla del autor de Sasser y descarga su foto. Enlace
El virus de mensajería instantánea Hagbard se aprovecha de las redes de intercambio de videojuegos. Enlace
Phishers animan a remitir datos privados ¡por fax!. Enlace
Supuestas noticias sobre los planes nucleares de Irán ocultan un troyano. Enlace
Phisers utilizan a una supuesta anciana en silla de ruedas como reclamo para estafar a clientes de eBay. Enlace
Gusano espía roba identificadores y contraseñas de jugadores de rol en red. Enlace

Actualización de Norman

Este mediodia se ha distribuiido una nueva actualización de Norman que incorpora 269 nuevas firmas.

06 septiembre, 2005

Actualizaciones de Norman

Tras la habitual de los viernes, que el pasado dia 2 incoporó 2234 nuevas firmas, ayer lunes se distribuyó una más con otras 962 y hace unos minutos una tercera con 218 más.

Como es habitual en los últimos tiempos proliferan las variantes de bots, phishig y troyanos.

Parches Microsoft de agosto

En esta ocasión han sido seis, tres criticos, uno importante y dos moderados:

MS05-038 Actualización para Internet Explorer, MS05-039, que corrige vulnerabilidades en Plug and Play de Windows y MS05-043 que afecta al sevicio de cola de impresión también en Windows son los críticos.

MS05-040, calificado como importante, corrige vulnerabilidades en el sistema de telefonía de Windows y por último MS05-041 y MS05-042 son los importantes y afectan respectivamente a RDP (el procolo de escritorio remoto de Windows) y a Kerberos.

Como curiosidades señalar que MS05-039 fue inmediatamente aprovechado por el malware Zotob (tengo pendiente reseñarlo) y que mucho me temo que la MS05-041 no resuelva el problema de RDP que reseñé el 31 de mayo (aquel era revelación de clave privada y ahora se evita una posible denegación de servicio).

Actualizaciones de Norman en agosto

A pesar de que la "maldición del verano impar" de la que hablé en su día se quedó apenas en la alerta de Zotob, durante el mes de agosto se han producido 20 actualizaciones de ficheros de firmas de Norman.

Retornando

Acabadas las vacaciones hay que volver a la rutina... aunque actualizar esta bitácora todavía me costará unos días; aunque el verano ha sido tranquilo se han acumulado muchas entradas.