Crónicas del navegante: troyano

Mostrando entradas con la etiqueta troyano. Mostrar todas las entradas

sábado 12 de julio de 2008

Los troyanos supusieron más del 60% del nuevo malware que se creó durante el segundo trimestre de 2008

El 63,12% de los nuevos códigos maliciosos que aparecieron durante el segundo trimestre de 2008 eran de tipo troyano, según señala el último informe trimestral de PandaLabs. El adware, con un 22,40% del total, ha sido el segundo tipo de malware con más nuevos ejemplares creados.

"Hoy por hoy es difícil que un solo troyano infecte un gran número de ordenadores, porque esto llamaría la atención y pondría en peligro la actividad de los ciberdelincuentes. Por eso, estos prefieren crear un gran número de troyanos distintos, que afecten a usuarios muy concretos de un servicio, utilidad, etc., en lugar de difundir masivamente un sólo ejemplar", explica Luis Corrons, director técnico de PandaLabs, que añade: "por eso, los troyanos son trimestre tras trimestre el tipo de malware con mayor número de nuevos ejemplares"

En lo que se refiere a ejemplares concretos, el gusano Bagle.RP fue el que más ordenadores infectó, seguido por los también gusanos Puce.E y Bagle.SP.

Por tipo de malware, los troyanos fueron los que más infecciones causaron en el segundo trimestre con un 28,70% del total, después de haber cedido su puesto al adware durante los tres primeros meses del año. Éste estuvo presente en el 22,03% de las máquinas infectadas, y los gusanos, tercer tipo que más infecciones causó, en el 13,52%.

"Aunque los troyanos son el tipo de malware que más máquinas infectan, lo hacen con miles de variantes distintas. Los gusanos, sin embargo, funcionan de manera distinta y un solo ejemplar puede infectar miles de máquinas. De ahí que la mayoría de las veces, el ejemplar más presente en los ordenadores de los usuarios sea un gusano", afirma Luis Corrons.

viernes 11 de julio de 2008

Informe semanal de Panda Security sobre virus e intrusos

El último informe semanal de PandaLabs ofrece información sobre el adware WistaAntivirus y los gusanos Buzus.AL y Fractalove.A.

WistaAntivirus se hace pasar por un antivirus para engañar al usuario. Cuando el usuario lo ejecute, el código malicioso le mostrará una pantalla en la que se le dirá que su PC está infectado, lo cuál no será cierto (imagen aquí: http://www.flickr.com/photos/9696103@N03/2657324821/). Para desinfectar el sistema, se invita al usuario a descargar un software anti-spyware. Si lo hace, el sistema se conectará a una página web y simulará un análisis online del PC, mostrando, de nuevo, infecciones que no existen en el PC.

El objetivo de este adware es puramente económico, pues lo que se persigue es que el usuario crea que está infectado y adquiera el supuesto antivirus promocionado por el código malicioso.

Buzus.AL es un gusano con funcionalidades de "bot" diseñado para robar claves de todo tipo y enviarlas a su creador vía FTP. Además, intentará propagarse por diferentes medios (carpetas compartidas, unidades extraíbles, etc.) para infectar más ordenadores.

Fractalove.A es un gusano que se propaga a través de correo electrónico. Para engañar a los usuarios se hace pasar por un salvapantallas con nombre to_my_love.scr. Si el usuario se descarga y ejecuta ese archivo, se infectará con este gusano. Con el fin de que el usuario no sospeche, al tiempo que se instala en el ordenador, este código malicioso mostrará un salvapantallas con fractales en color rojo. Puede ver un ejemplo aquí: http://www.flickr.com/photos/9696103@N03/2657324879/

Este gusano tiene funcionalidades de keylogger por lo que una vez en el equipo, comenzará a robar información confidencial y a enviarla a su creador. Entre la información que sustrae se encuentran contraseñas de mensajería instantánea, de correo, y programas de pago seguro por Internet como webmoney, entre otros. Fractalove.A utiliza la información que obtiene de los programas de mensajería instantánea y correo para enviarse por esos canales e infectar así a nuevos usuarios.

Puede obtener más información sobre estas amenazas en el blog de PandaLabs: www.pandalabs.com

sábado 8 de marzo de 2008

Un nuevo troyano se propaga por la red social Orkut

PandaLabs ha detectado un troyano, llamado .AT, que utiliza la red social Orkut para propagarse. El procedimiento seguido es el siguiente:

En primer lugar aparece un perfil en el "scrapbook" (libro de notas) del usuario que contiene una imagen de un vídeo de YouTube al que parece estar vinculada. La imagen muestra a Giselle, una participante del reality show Gran Hermano en Brasil.

"Este es el gancho", asegura Luis Corrons, director técnico de PandaLabs, que añade: "los ciberdelincuentes aprovechan el interés por personajes famosos para incitar a los usuarios a abrir archivos o seguir vínculos maliciosos".

En este caso, cuando el usuario pincha sobre el link se le muestra un mensaje diciendo que no puede ver el vídeo porque no tiene el códec correspondiente y se le ofrece la posibilidad de descargarlo. Si lo hace, realmente estará introduciendo en su equipo una copia del troyano Orkut.AT. Para que no sospeche nada, al mismo tiempo que el troyano llega al equipo, el usuario es redirigido a una página en la que se le muestra el vídeo en cuestión.

Una vez en el equipo, el troyano posteará su mensaje malicioso en los "scrapbook" de todos los contactos de Orkut de su nueva víctima.

"Las redes sociales como Orkut reúnen a millones de personas. Por eso, los ciberdelincuentes están buscando propagar sus creaciones por este medio, ya que es una forma muy sencilla de llegar a un gran número de gente en muy poco tiempo", explica Luis Corrons.

Para evitar ser víctima de uno de estos códigos maliciosos, pandaLabs recomienda tener instalada y actualizada una solución de seguridad que sea capaz de detectar tanto ejemplares conocidos como desconocidos de malware.

jueves 21 de febrero de 2008

Desmantelada una red de jóvenes 'hackers' en Canadá que operaba en 100 países

El País. La Policía de la provincia canadiense de Québec ha desmantelado una red de hackers que se habían introducido en más de un millón de ordenadores de todo el mundo para robar datos personales, a través de los cuales han podido obtener un beneficio de 45 millones de dólares (31 millones de euros).

Según la nota hecha pública hoy por Seguridad de Québec (The Sûreté du Québec) han sido arrestados 17 piratas informáticos de entre 17 y 26 años, de los que tres son menores de edad. Los presuntos delincuentes informáticos tenían acceso a ordenadores de más de 100 países de todos los continentes, aunque los más afectados son Brasil, Polonia, México, Argentina, Italia, Alemania, Estados Unidos y la provincia canadiense de Minetoba.

Los procesados utilizaban sofisticados programas informáticos para introducir virus -especialmente troyanos y gusanos- en miles de ordenadores y convertirlos en zombies o bots, es decir, equipos controlados remotamente sin que sus dueños tengan constancia. Una vez que se adueñaban de los ordenadores los utilizaban para realizar ataques a webs, con el objetivo de robar datos personales, interceptar comunicaciones o remitir masivamente correos electrónicos (spam).

El fin último de los hackers era la de conseguir dinero mediante el phishing, una práctica por la que los estafadores consiguen las claves para entrar en las cuentas bancarias de los clientes, ayudándose generalmente de engaños mediante el envío masivo de e mail y la suplantación de páginas webs de entidades financieras.

Los piratas, todos residentes en Quebec y que actuaban coordinadamente, buscaban equipos que tuvieran defectos en sus sistema de seguridad, en especial, en sus programas antivirus y cortafuegos (firewall). Se estima que han podido obtener un botín de 45 millones de dólares, aunque la Policía no ha dado detalles sobre la estafa, y se ha limitado a hablar de “daños en la infraestructura informática”.

Las investigaciones se iniciaron en el verano de 2006 a raiz de las quejas de varias empresas, instituciones gubernamentales y usuarios individuales. De hecho, la policía canadiense confirmó que varios ordenadores gubernamentales estaban infectados, aunque no detalló de que países.

Los 17 arrestados han sido acusados de cargos como obtención ilegal de datos, hacking y posesión de contraseñas para cometer estafas. Las penas máximas a las que se enfrentan son de 10 años.

martes 19 de febrero de 2008

MSNCleaner 1.5.6

Cada día somos testigos del aumento considerable de amenazas (virus, troyanos, etc) que se difunden a través de la mensajería instantánea, debido a que es uno de los medios de comunicación más usados en la Internet actual, y sobre todo, una forma bastante fácil de engañar a los usuarios con pocos conocimientos haciéndose pasar por sus contactos de forma que bajen la guardia y se infecten fácilmente.

Aunque muchos de las soluciones antivirus existentes hoy por hoy en el mercado eliminan sin esfuerzo este tipo de malware, algunas veces, por cualquier causa, no resultan tan efectivos como esperábamos y no consiguen eliminar la amenaza. Para esas ocasiones es bastante conveniente disponer de una herramienta como MSNCleaner, que no es más que un programa que detecta y elimina este tipo de programas maliciosos, aunque nunca sustituirá a una solución antivirus completa, es decir, este programa sirve para complementar nuestro programa antivirus, pero no por ello debemos pensar que estamos a salvo y podemos eliminarlo sin problemas.

MSNCleaner es compatible con las últimas versiones de Windows XP y Windows Vista, y para que funcione correctamente necesitamos las librerías de .NET Framework 2.0

¿Qué malware puede eliminar MSNCleaner?

Algunos de los virus que elimina MSNCleaner son:

Win32/VB.NKS, IM-Worm.Win32.VB.au, Trojan.Adclicker, Win32.IMWorm.Bufla.A, Win32/Delf.NCS BehavesLike:Win32.ExplorerHijack, Email-Worm.Win32.Agent.c, I-Worm/Generic.BRC, W32/Smallworm.UN, Win32/Pegan.E, TR/Hijack.Explor.3073, Worm.Agent.C.4, Pegan, Bush.exe, Desnuda.exe, Fotos.zip Fotos roberto.exe, Foto_Celular.scr, Foto_Celular.zip , Foto_Posse.zip, MSN Content Plus , portaldeayuda - portaldeayudita, MSN Messenger Guiños, Worm.W32/MSNHideOptions.A, W32.Mubla, W32/IRCBot-WV, W32/IRCBot-WB, Backdoor.Rbot.msnmsgr, Backdoor.Win32.IRCBot.aaq, Backdoor.Win32.IRCBot.acd, etc.

Fuente: Messenger adictos

sábado 9 de febrero de 2008

Informe semanal de Panda Security sobre virus e intrusos

El informe de PandaLabs de esta semana destaca el troyano Percoban.A y los gusanos Manclick.A y Dung.A.

Percoban.A llega al equipo con la apariencia de un archivo de Word. Una vez ejecutado, realiza una copia de sí mismo con nombres como Rahasiamu.exe o Jangan Dibuka.exe. Además, crea una entrada en el Registro de Windows para ejecutarse con cada inicio de sesión. Adicionalmente, deshabilita el editor de registro y el administrador de tareas y oculta la opción de búsqueda del menú Inicio.

Manclick.A es un gusano que llega al equipo con la apariencia de un a carpeta de Windows. Una vez ejecutado, este gusano se hace pasar por la página del buscador Google. Para ello, muestra una página similar a la original, cuyos resultados, en caso de que el usuario realice una búsqueda, podrían conducirlo a sitios maliciosos desde los que se descargaría malware o se realizarían otras acciones maliciosas.

Este gusano realiza varias copias de sí mismo en el sistema. Además, modifica 2 entradas de registro para ejecutarse con cada reinicio. También borra varias entradas del Registro de Windows para impedir que el equipo se pueda arrancar en algunos de los modos seguros existentes.

Dung.A es un gusano que, al igual que el anterior, llega al equipo con un icono que parece una carpeta de Windows. Este código malicioso abre un puerto aleatorio del equipo y queda a la espera de órdenes, realizando peticiones a una determinada página web.

Este gusano realiza varias copias de sí mismo en el sistema y modifica dos entradas del Registro de Windows para ejecutarse con cada inicio de sesión.

Fuente: Pandasecurity

Blogalaxia Tags: troyano
Percoban.A
gusano
Manclick.A
Dung.A
Rahasiamu.exe
Jangan+Dibuka.exe

sábado 19 de enero de 2008

Informe semanal de Panda Security sobre virus e intrusos

Según los datos recogidos en la web Infected or Not (http://www.infectedornot.com), el gusano Bagle.HX ha sido el ejemplar que más ordenadores ha infectado durante la última semana. Dos ejemplares de adware, Comet y Starware, ocupan las siguientes dos posiciones en la lista del malware más activo.

Top 10 TotalScan:

1 W32/Bagle.HX.worm
2 Adware/Comet
3 Adware/Starware
4 Adware/VideoAddon
5 W32/Bagle.QV.worm
6 Spyware/Virtumonde
7 Trj/Downloader.RZC
8 Adware/Lop
9 Trj/Rebooter.J
10 Adware/NaviPromo

Además, según datos de esta misma web, un 27,15% de los ordenadores protegidos (con una solución de seguridad instalada y actualizada) que se analizaron esta semana estaban infectados con algún tipo de código malicioso.

"La razón es que se crea tanto malware actualmente que las soluciones de seguridad tradicionales ya no dan abasto. Por ello, su labor debe ser complementada con herramientas online capaces de detectar más malware, como NanoScan o TotalScan", explica Luis Corrons, Director Técnico de PandaLabs.

En relación con los nuevos ejemplares de malware aparecidos, el informe semanal de PandaLabs destaca los gusanos MSNworm.BU y P2PShared.C.

MSNworm.BU se propaga a través del sistema de mensajería instantánea MSN Messenger. Para ello, envía un mensaje a todos los contactos del usuario con un fichero adjunto comprimido. Si uno de ellos descomprime el archivo y lo ejecuta, quedará infectado. Los mensajes que envía son del tipo: "I cant remember anything from this picture:D",
"is this you?:S", etc.

Este gusano se conecta a una web desde la que descarga otro fichero malicioso. Además, crea una entrada en el registro de Windows para ejecutarse con cada reinicio de sesión.

P2PShared.C llega al equipo con el icono de dos herramientas. Una vez ejecutado, muestra un mensaje de error. Para propagarse, se copia en las carpetas de programas P2P con nombres atractivos como "Windows Vista x86 MultiLang AutoPatcher.rar" o "MSN Messenger 8 Fully Patched for XP Sp2 and ViSTA.rar".

Panda dispone de herramientas gratuitas de análisis en la dirección http://www.infectedornot.com

viernes 14 de septiembre de 2007

Informe semanal de Panda Software sobre virus e intrusos

Los troyanos LunchLoad.A y FakeGoogleBar.M son los dos ejemplares de malware de nueva aparición destacados por PandaLabs en su informe semanal. Éste también recoge información sobre los cuatro nuevos parches de seguridad publicados por Microsoft.

LunchLoad.A llega al sistema con el nombre backup2_36. Una vez ejecutado, suelta varios ficheros en el sistema que contienen la información necesaria para que el malware pueda identificarse ante su creador cuando establezca conexión con él. Para poder llevar a cabo esa conexión, este troyano se conecta a un servidor desde el que recibirá las órdenes pertinentes como qué malware descargar, cuando ejecutarlo, etc. En él dejará constancia, además, la dirección MAC de cada uno de los ordenadores que hayan sido infectados.

FakeGoogleBar.M está diseñado para modificar la barra de herramientas de navegación original de Google. Si el usuario no tiene ésta instalada, el archivo creará varios ficheros para poder llevar a cabo sus acciones igualmente. Esas acciones maliciosas comenzarán por la modificación de varias entradas del registro de Windows para poder inyectar una librería .dll en el navegador, de modo que cada vez que el usuario lo abra, el troyano se ejecute.

Además, este troyano abrirá un puerto del ordenador e intentará establecer una conexión HTTP a través de la cual poder enviar información confidencial del usuario a su creador. Para poder hacerse con esos datos, FakeGoogleBar.M registra las palabras introducidas por el usuario en varios buscadores de Internet como Google o Yahoo. También copia todas las direcciones URL que contengan palabras clave como bank o .gov. Toda esa información robada es posteriormente enviada a al autor del malware mediante la conexión a una web específicamente diseñada.

Esta semana Microsoft ha publicado cuatro parches que resuelven otras tantas vulnerabilidades de sus productos. Una de ellas ha sido clasificada como crítica y afecta a Microsoft Agent. Dicha vulnerabilidad podría permitir a un atacante remoto la ejecución de código arbitrario en los ordenadores afectados.

El resto de las vulnerabilidades han sido clasificadas como importantes. La primera de ellas afecta a Visual Studio, la segunda a Windows Services para UNIX y la última a MSN Messenger y en Windows Live Messenger.

Puede obtener más información y descargar los correspondientes parches de seguridad en la siguiente dirección http://www.microsoft.com/spain/athome/security/update/bulletins/200709.mspx

sábado 30 de junio de 2007

Informe semanal de Panda Software sobre virus e intrusos

El informe sobre malware de PandaLabs de esta semana se ocupa de tres nuevos códigos maliciosos destinados a poner en peligro la seguridad de su ordenador: dos gusanos y un troyano.

El primer caso de este informe, Gronev.A, es un gusano de curiosas aficiones musicales. Así, cuando infecta un ordenador, abre el reproductor Windows Media Player y hace sonar una canción titulada “Lagu”. Además, cuando se ejecuta la consola CMD, abre una ventana de MS-dos en la que muestra un logo con la palabra “Vergon”.

Mientras muestra esta ventana, Gronev.A está creando una nueva cuenta de usuario en el sistema, a la que el usuario legal no podrá acceder.

Además, crea varias carpetas en el sistema con los nombres Backup, Doc, Secret y tools y se copia en ellas. Para propagarse, crea copias de si mismo en todas las unidades del sistema.

Este gusano realiza otras acciones maliciosas como cerrar Internet Explorer o modificar el registro de Windows para ejecutarse con cada reinicio.

El segundo gusano del informe de esta semana se llama Antihost.A. Este código malicioso se propaga copiándose en todas las unidades físicas que estén conectadas al ordenador. Si consigue copiarse en un dispositivo de memoria USB, cuando éste sea conectado a un ordenador, el gusano se ejecutará e infectará esa máquina.

En el caso de que al producirse la infección no haya un DVD o un CD en la unidad de disco óptico, Windows muestra un mensaje en el que insta al usuario a introducir uno. De esa manera, se revela la presencia del gusano ya que no parará de aparecer el mensaje hasta que no se introduzca el disco en la unidad.

Antihost.A crea varios archivos ocultos en la máquina infectada. Además, modifica el registro de Windows para ejecutarse con cada reinicio del sistema.

Para terminar, el informe aporta datos sobre el troyano BotVoice.A. Se trata de un código malicioso que, aprovechando el lector de textos integrado en el propio Windows, provoca que se escuche reiteradamente la siguiente frase: “You has been infected I repeat You has been infected and your system files has been deletes. Sorry. Have a Nice Day and bye bye” (Has sido infectado, repito, has sido infectado y los archivos de tu sistema están siendo eliminados. Lo siento. Pasa un buen día y adiós.)

Mientras informa al usuario de esta manera tan curiosa de que ha sido infectado, BotVoice.A se dedica a borrar todos los accesos directos del escritorio y de la carpeta “Mis Documentos”, así como todos los archivos de la unidad C hasta que encuentra alguno imposible de borrar, tras lo cual detiene el borrado de archivos pero no el sonido.

Además, realiza ciertas modificaciones en el registro que impiden la ejecución de cualquier tipo de programa, por lo que el usuario no podrá utilizar el ordenador.

BotVoice.A se propaga de la manera habitual de los troyanos, esto es, descargado por otro malware o desde una página web maliciosa, a través de unidades de almacenamiento como memorias USB, CD-ROMs o disquetes, mediante correo electrónico, a través de redes punto a punto, etc.

viernes 29 de junio de 2007

La amenaza de los ordenadores parlantes

Si su ordenador comienza a hablar, diciéndole que está infectado y que archivos han sido borrados es posible que no se trate de ninguna broma, sino que esté infectado con el troyano BotVoice.A.

Este nuevo código malicioso detectado por PandaLabs cuando se instala en un ordenador, utiliza el lector de textos de Windows para reproducir una grabación que dice:

“You has been infected I repeat You has been infected and your system files has been deletes. Sorry. Have a Nice Day and bye bye” (Has sido infectado, repito, has sido infectado y los archivos de tu sistema están siendo eliminados. Lo siento. Pasa un buen día y adiós.)

Esta frase se repite una y otra vez mientras intenta borrar todo el contenido del disco duro del ordenador. En ocasiones, puede que no sea capaz de eliminar todos los archivos del sistema, pero esto no impide que deje inutilizado el PC, ya que realiza ciertas modificaciones en el registro que impiden la ejecución de todo tipo de programa, así como el administrador de tareas. Además, deshabilita el editor del registro de Windows para salvaguardar sus acciones maliciosas.

“Nos encontramos con un troyano peculiar. No sólo borra los archivos del ordenador, sino que también se burla del usuario. Además, realiza todas las acciones necesarias para impedir que sus efectos puedan ser neutralizados una vez que se ha puesto en marcha. En estos casos lo importante es prevenir la infección, por lo que las técnicas de protección proactiva, capaces de detectar amenazas desconocidas, se hacen imprescindibles”, comenta Luis Corrons, Director Técnico de PandaLabs.

El troyano utiliza como métodos de propagación los canales habituales, como redes punto a punto, unidades físicas de almacenamiento como memorias USB, disquetes o CD-ROMs, descargas por parte de otro tipo de malware o desde una página web maliciosa, etc.