Crónicas del navegante: Panda

Mostrando entradas con la etiqueta Panda. Mostrar todas las entradas

viernes 11 de julio de 2008

Informe semanal de Panda Security sobre virus e intrusos

El último informe semanal de PandaLabs ofrece información sobre el adware WistaAntivirus y los gusanos Buzus.AL y Fractalove.A.

WistaAntivirus se hace pasar por un antivirus para engañar al usuario. Cuando el usuario lo ejecute, el código malicioso le mostrará una pantalla en la que se le dirá que su PC está infectado, lo cuál no será cierto (imagen aquí: http://www.flickr.com/photos/9696103@N03/2657324821/). Para desinfectar el sistema, se invita al usuario a descargar un software anti-spyware. Si lo hace, el sistema se conectará a una página web y simulará un análisis online del PC, mostrando, de nuevo, infecciones que no existen en el PC.

El objetivo de este adware es puramente económico, pues lo que se persigue es que el usuario crea que está infectado y adquiera el supuesto antivirus promocionado por el código malicioso.

Buzus.AL es un gusano con funcionalidades de "bot" diseñado para robar claves de todo tipo y enviarlas a su creador vía FTP. Además, intentará propagarse por diferentes medios (carpetas compartidas, unidades extraíbles, etc.) para infectar más ordenadores.

Fractalove.A es un gusano que se propaga a través de correo electrónico. Para engañar a los usuarios se hace pasar por un salvapantallas con nombre to_my_love.scr. Si el usuario se descarga y ejecuta ese archivo, se infectará con este gusano. Con el fin de que el usuario no sospeche, al tiempo que se instala en el ordenador, este código malicioso mostrará un salvapantallas con fractales en color rojo. Puede ver un ejemplo aquí: http://www.flickr.com/photos/9696103@N03/2657324879/

Este gusano tiene funcionalidades de keylogger por lo que una vez en el equipo, comenzará a robar información confidencial y a enviarla a su creador. Entre la información que sustrae se encuentran contraseñas de mensajería instantánea, de correo, y programas de pago seguro por Internet como webmoney, entre otros. Fractalove.A utiliza la información que obtiene de los programas de mensajería instantánea y correo para enviarse por esos canales e infectar así a nuevos usuarios.

Puede obtener más información sobre estas amenazas en el blog de PandaLabs: www.pandalabs.com

sábado 23 de febrero de 2008

El riesgo de los Proxy públicos

Oxigen. Dentro de la comunidad de usuarios de Internet hay una costumbre cada vez más extendida que consiste en conectarse a un proxy público u "open proxy" antes de realizar ciertas acciones como entrar en foros, realizar descargas, etc. La razón es que, de esta manera, la IP del usuario queda oculta, ya que se está conectando a la red con la IP proporcionada por ese servidor público al que se ha conectado.

Esta técnica es empleada, en principio, para garantizar la confidencialidad de las comunicaciones en la red, lo que es propio de una buena conducta de seguridad. Sin embargo, dicha conducta también puede poner en riesgo la seguridad de los usuarios, ya que los servidores usados como proxy público podrían tener sus DNS modificadas.

El DNS es una base de datos que relaciona una IP numérica (172.9.XX.XXX) con una URL (www.pandasecurity.com). La modificación consistiría en cambiar esa relación por otra fraudulenta, de modo que cuando el usuario teclee una determinada URL, en lugar de ser redirigido a la página correcta, lo sea a otra. Por ejemplo, si un usuario intenta conectarse a un banco, el servidor le puede redirigir a una página fraudulenta, que imita a la original, pero que está diseñada para robar las claves bancarias del usuario.

"El gran peligro de este tipo de ataques es que un usuario puede tener limpio de malware su ordenador, actualizado todos los programas, contar con un buen firewall, etc, y, aún así, ser víctima de este ataque", asegura Luis Corrons, Director Técnico de PandaLabs.

Aquellos usuarios que utilicen estos servicios, deben evitar hacerlo para acceder a páginas web en las que se den datos muy confidenciales como páginas de banca online, de plataformas de pago, etc.

Además, es necesario contar con sistemas que sean capaces de bloquear las páginas maliciosas, de modo que si el usuario es redirigido de manera oculta a una de estas páginas, se le impida el acceso, advirtiéndole de que se trata de una página maliciosa.

Todas las soluciones de consumo de Panda Security, cuenta con este sistema. Puede probarlas gratuitamente desde http://www.pandasecurity.com/spain/homeusers/downloads/

viernes 25 de enero de 2008

Informe semanal de Panda Security sobre virus e intrusos

Según los datos recogidos durante la última semana en la web Infected or Not (http://www.infectedornot.com) un 22,86% de los ordenadores están infectados, pese a estar protegidos por una solución de seguridad.

"La gran cantidad de malware nuevo que aparece cada día, provoca que estas soluciones por sí solas ya no sean eficaces para proteger a los usuarios. Por eso, su labor debe ser complementada con otras soluciones online, como NanoScan o TotalScan, tal como propone el nuevo modelo de seguridad de Panda. Estas herramientas, al ser online, tienen acceso a una base de conocimiento mayor y por ello son capaces de detectar más malware", explica Luis Corrons, Directo Técnico de PandaLabs.

En lo que se refiere a los ejemplares que más daño han causado esta semana, la lista está encabezada por el programa espía Virtumonde. Éste está diseñado para registrar lo que el usuario teclea durante la navegación y mostrar mensajes publicitarios cada cierto tiempo.

Los siguientes ejemplares más activos han sido de tipo adware. Estos códigos maliciosos (NaviPromo, VideoAddon, etc.) están diseñados para mostrar publicidad a los usuarios mediante banners, pop-ups, etc.

Top 10 TotalScan:

1 Spyware/Virtumonde
2 Adware/NaviPromo
3 Adware/VideoAddon
4 Adware/SaveNow
5 Adware/Lop
6 Adware/Comet
7 W32/Bagle.HX.worm
8 Adware/Gator
9 Adware/OneStep
10 Adware/AdRotator

"Muchas empresas de moralidad dudosa pagan a los creadores de estos ejemplares para ser publicitadas mediante este sistema. Así, los ciber-delincuentes obtienen un beneficio económico de sus infecciones", afirma Luis Corrons.

Además, el informe de PandaLabs de esta semana recoge información sobre dos nuevos troyanos: Asprox.A y Romeo.C.

Asprox.A está diseñado para abrir un puerto del equipo infectado y convertir a éste en un servidor Proxy. Esto podría permitir al ciber-delincuente realizar acciones maliciosas (transferencias bancarias con dinero procedente de estafas, envío de spam, etc.) desde el ordenador del usuario infectado y empleando la IP de éste.

"Esto implica que, en caso de que esas acciones ilegales sean detectadas y se comience a buscar al culpable, las pruebas señalarán al usuario infectado, mientras que será muy difícil dar con el verdadero ciber-delincuente", comenta Corrons,

Romeo.C llega al equipo con la apariencia de una carpeta de Windows. Está diseñado para crear o modificar varias entradas del Registro de Windows, lo que le permite llevar a cabo acciones maliciosas como deshabilitar la restauración del sistema, ocultar la opción de "Ejecutar" del menú "Inicio" u ocultar las extensiones de los ficheros.

Además, cada vez que el usuario encienda el equipo, este troyano le mostrará un mensaje con el texto: "Su PC esta infestada por un virus de ultima generación".

sábado 19 de enero de 2008

El 80% del correo mundial durante el 2007 fue spam

Según un informe desarrollado por Commtouch en colaboración con Panda Security, un 80% del tráfico de correo electrónico enviado a nivel mundial en 2007 fue spam. Las cifras más altas se alcanzaron durante el último trimestre del año, cuando se lograron cuotas del 96%.

Las grandes culpables de estas altas cifras son las redes de bots. Los bots son programas residentes en el equipo que escuchan órdenes de su creador y permiten a éste controlar el ordenador afectado. Cuando tienen controlados cientos de estos ordenadores, los ciber-delincuentes suelen unirlos, creando lo que se conoce como una red de bots. Estas redes fueron responsables del 85% del spam enviado en 2007

"Las redes de bots estuvieron detrás de la mayoría de la actividad de spam de 2007, pero esto podría no ser nada comparado con lo que puede ocurrir en 2008, cuando se teme que estas redes comiencen a mostrar todo su potencial", advierte Luis Corrons, Director Técnico de PandaLabs.

Nuevas tendencias

La utilización de nuevos formatos para transmitir los mensajes publicitarios del correo basura fue una de las nuevas tendencias observadas en 2007. Así, aparecieron los primeros casos de spam en MP3, Excel, o que adjuntaban un link que enlazaba con un vídeo publicitario colgado en YouTube.

El empleo de imágenes para evitar la detección de los correos basura por parte de los filtros anti-spam ha sido otra de las tendencias en alza durante 2007. En muchos casos, las imágenes incluyen una URL sobre la que no se puede pinchar, pero que sirve a los ciber-delincuentes para lograr una mayor efectividad en sus ataques en el sentido de que todos aquellos que la tecleen en su navegador será porque en cierto modo está interesado en el tema. De esta manera, consiguen llevar hasta la web de turno tan sólo aquellos usuarios que, potencialmente, aceptarán el producto o idea que en ellas se venda.

Muchos de estos correos basura que emplearon imágenes eran del tipo "Pump-and-Dump", es decir, creado para subir el precio de una serie de acciones de bolsa. "El truco es fácil. Compran acciones muy baratas de una empresa determinada. Luego, envían un mail según el cual las acciones de esa empresa van a sufrir un fuerte crecimiento. Cuando observan que la gente que ha recibido el correo comienza a comprar y que, por tanto, el valor de las acciones suben, ellos se deshacen de ellas, obteniendo así un suculento beneficio económico", dice Luis Corrons.

Respecto a la temática del correo distribuido durante 2007, el 70% del spam tenía como tema la salud sexual. Las réplicas de relojes supusieron el 10% de los correos basura, mientras que el software pirata (6%), los juegos (4%) y el stock de productos (3%) fueron las otras temáticas que supusieron un porcentaje representativo.

Fuente: Panda Security

Informe semanal de Panda Security sobre virus e intrusos

Según los datos recogidos en la web Infected or Not (http://www.infectedornot.com), el gusano Bagle.HX ha sido el ejemplar que más ordenadores ha infectado durante la última semana. Dos ejemplares de adware, Comet y Starware, ocupan las siguientes dos posiciones en la lista del malware más activo.

Top 10 TotalScan:

1 W32/Bagle.HX.worm
2 Adware/Comet
3 Adware/Starware
4 Adware/VideoAddon
5 W32/Bagle.QV.worm
6 Spyware/Virtumonde
7 Trj/Downloader.RZC
8 Adware/Lop
9 Trj/Rebooter.J
10 Adware/NaviPromo

Además, según datos de esta misma web, un 27,15% de los ordenadores protegidos (con una solución de seguridad instalada y actualizada) que se analizaron esta semana estaban infectados con algún tipo de código malicioso.

"La razón es que se crea tanto malware actualmente que las soluciones de seguridad tradicionales ya no dan abasto. Por ello, su labor debe ser complementada con herramientas online capaces de detectar más malware, como NanoScan o TotalScan", explica Luis Corrons, Director Técnico de PandaLabs.

En relación con los nuevos ejemplares de malware aparecidos, el informe semanal de PandaLabs destaca los gusanos MSNworm.BU y P2PShared.C.

MSNworm.BU se propaga a través del sistema de mensajería instantánea MSN Messenger. Para ello, envía un mensaje a todos los contactos del usuario con un fichero adjunto comprimido. Si uno de ellos descomprime el archivo y lo ejecuta, quedará infectado. Los mensajes que envía son del tipo: "I cant remember anything from this picture:D",
"is this you?:S", etc.

Este gusano se conecta a una web desde la que descarga otro fichero malicioso. Además, crea una entrada en el registro de Windows para ejecutarse con cada reinicio de sesión.

P2PShared.C llega al equipo con el icono de dos herramientas. Una vez ejecutado, muestra un mensaje de error. Para propagarse, se copia en las carpetas de programas P2P con nombres atractivos como "Windows Vista x86 MultiLang AutoPatcher.rar" o "MSN Messenger 8 Fully Patched for XP Sp2 and ViSTA.rar".

Panda dispone de herramientas gratuitas de análisis en la dirección http://www.infectedornot.com

viernes 14 de septiembre de 2007

Informe semanal de Panda Software sobre virus e intrusos

Los troyanos LunchLoad.A y FakeGoogleBar.M son los dos ejemplares de malware de nueva aparición destacados por PandaLabs en su informe semanal. Éste también recoge información sobre los cuatro nuevos parches de seguridad publicados por Microsoft.

LunchLoad.A llega al sistema con el nombre backup2_36. Una vez ejecutado, suelta varios ficheros en el sistema que contienen la información necesaria para que el malware pueda identificarse ante su creador cuando establezca conexión con él. Para poder llevar a cabo esa conexión, este troyano se conecta a un servidor desde el que recibirá las órdenes pertinentes como qué malware descargar, cuando ejecutarlo, etc. En él dejará constancia, además, la dirección MAC de cada uno de los ordenadores que hayan sido infectados.

FakeGoogleBar.M está diseñado para modificar la barra de herramientas de navegación original de Google. Si el usuario no tiene ésta instalada, el archivo creará varios ficheros para poder llevar a cabo sus acciones igualmente. Esas acciones maliciosas comenzarán por la modificación de varias entradas del registro de Windows para poder inyectar una librería .dll en el navegador, de modo que cada vez que el usuario lo abra, el troyano se ejecute.

Además, este troyano abrirá un puerto del ordenador e intentará establecer una conexión HTTP a través de la cual poder enviar información confidencial del usuario a su creador. Para poder hacerse con esos datos, FakeGoogleBar.M registra las palabras introducidas por el usuario en varios buscadores de Internet como Google o Yahoo. También copia todas las direcciones URL que contengan palabras clave como bank o .gov. Toda esa información robada es posteriormente enviada a al autor del malware mediante la conexión a una web específicamente diseñada.

Esta semana Microsoft ha publicado cuatro parches que resuelven otras tantas vulnerabilidades de sus productos. Una de ellas ha sido clasificada como crítica y afecta a Microsoft Agent. Dicha vulnerabilidad podría permitir a un atacante remoto la ejecución de código arbitrario en los ordenadores afectados.

El resto de las vulnerabilidades han sido clasificadas como importantes. La primera de ellas afecta a Visual Studio, la segunda a Windows Services para UNIX y la última a MSN Messenger y en Windows Live Messenger.

Puede obtener más información y descargar los correspondientes parches de seguridad en la siguiente dirección http://www.microsoft.com/spain/athome/security/update/bulletins/200709.mspx

viernes 15 de junio de 2007

500 millones de ordenadores infectados a finales de 2008

Según un informe de la empresa Forrester, a finales del año 2008 habrá en el mundo mil millones de ordenadores en uso. Este estudio afirma también que en el año 2015 la cifra de ordenadores se habrá duplicado, llegando a los dos mil millones de ordenadores.

Estos datos de utilización de ordenadores, si se unen a las estadísticas de infecciones que ofrece Panda Software en su página web www.infectedornot.com, ofrecen un panorama preocupante: a finales de 2008 habrá más de 500.000.000 millones de ordenadores en el mundo con algún tipo de malware. Según Panda Software, la cifra de ordenadores infectados por algún tipo de malware es cercana al 60%, contando equipos que tienen instalado algún sistema de protección antivirus.

Estos datos se consiguen gracias a las herramientas TotalScan y NanoScan, accesibles desde la mencionada página Infectornot.com. Con ellas es posible llevar a cabo un análisis del ordenador en busca de malware en muy poco tiempo y de manera gratuita.

sábado 9 de junio de 2007

Resumen semanal sobre virus y otras amenazas

Los troyanos y el adware han sido los causantes del 49,8% de las infecciones detectadas por Panda ActiveScan durante el mes de mayo. Concretamente, los troyanos protagonizaron el 26,14% de los ataques, mientras que el adware (un malware que tiene como misión mostrar publicidad) alcanzó el 23,7%.

Confirmando lo anterior, en mayo se ha observado una ligera subida (3,37%) de las infecciones provocadas por bots -otra de las armas de los delincuentes de la red para obtener beneficios- y por spyware o software espía (3,03%). Por su parte, los backdoors han originado el 5,36% de las infecciones.

“La busqueda de beneficio económico se ha convertido en la tónica dominante entre las amenazas de Internet. Los autores de códigos maliciosos centran sus esfuerzos en la propagación de aquellos tipos de malware que pueden proporcionar dinero, como bots, spyware, adware, backdoors o troyanos, en detrimento de otros empleados tradicionalmente para provocar epidemias, como virus o gusanos”, afirma Luis Corrons, director técnico de PandaLabs.