root #: Virus y Bugs

Vulnerabilidad en Excel

swaze — 2006-06-21T16:16:00+00:00

Hacia tiempo que no escribía en esta sección pero es que no había ningun código o fallo de seguridad que me pareciera interesante, pero ayer recibi el informe semanal de Panda Labs que a continuación os pongo.

"PandaLabs ha descubierto un código maligno que aprovecha una vulnerabilidad de Excel. Esta vulnerabilidas provoca un error desconocido y permite la descarga y ejecución de código.

Para aprovecharla, el atacante envía al usuario un fichero de Excel que ejecuta el exploit y descarga un troyano, detectado como Trj/Downloader.JFN que a su vez intenta descargar otro fichero. En el futuro esta misma vulnerabilidad puede utilizarse para descargar cualquier otro tipo de archivo ejecutable. Dado que no existe documentación precisa ni parche para corregir la vulnerabilidad, es posible que en las próximas horas puedan aparecer nuevos códigos que se aprovechen de la vulnerabilidad."

Los moviles también en peligro

swaze — 2006-03-06T22:42:00+00:00

Nuevo troyano relacionado con teléfonos moviles os pongo el informe de Pandalabs que aparece muy bien explicado.

Madrid, 3 de marzo de 2006 - En el informe semanal correspondiente a esta semana nos vamos a ocupar de un curioso troyano: RedBrowser.A. Este troyano aúna dos tendencias que parecen confirmarse en el año 2006: los códigos maliciosos para teléfonos móviles y el modelo de negocio establecido por los creadores de código malicioso.

Tal y como anunciaba PandaLabs en su informe sobre las tendencias víricas (disponible en www.pandasoftware.es/informepandalabs), estamos presenciando una nueva tendencia en los códigos maliciosos. En lugar de las clásicas acciones como el borrado de ficheros, los hackers intentan obtener beneficios económicos de sus creaciones.

Para conseguir ingresos, el creador de RedBrowser.A ha diseñado una aplicación que simula el acceso a páginas WAP a través de mensajes SMS gratuitos. Lo que en realidad está haciendo es enviar un mensaje a través del servicio Short Message Service (SMS) al número 1615. El envío de mensaje a ese número tiene una tarifa especial en Rusia, lo que proporciona suculentos ingresos al prestador del servicio.

Sin embargo, antes de enviar el mensaje, se solicita confirmación del envío al usuario, lo que reduce en gran medida la peligrosidad de RedBowser.A. Además, los usuarios pueden reconocer fácilmente la llegada del troyano, ya que llega al teléfono móvil en un archivo habitualmente denominado REDBROWSER.JAR, que muestra una imagen en pantalla.

Otro claro ejemplo del modelo de negocio montado alrededor del malware son los troyanos Nabload.BR y Banker.CDV. Nabload.BR es un troyano que, evitando el cortafuegos incluido en Windows XP, logra acceder a Internet sin restricciones para, entre otras acciones, descargar Banker.CDV. Este troyano es de tipo ladrón de contraseñas, que monitoriza si el usuario accede a páginas web pertenecientes a varios servicios online, como entidades bancarias y servicios de correo ingleses y alemanes. De esta manera, obtiene contraseñas, datos de seguridad y sobre el usuario, y otra información sensible. Después, envía la información recogida a una determinada página web.

WMFMaker y la vulnerabilidad de WMF

swaze — 2006-01-05T16:33:00+00:00

El informe de Pandalabs explica muy bien esta vulnerabilidad, asi que copio y pego directamente.

"WMFMaker es un programa que permite crear imágenes en formato WMF (Windows MetaFile), que aprovechan una vulnerabilidad crítica en Graphics Rendering Engine. Ésta radica en el tratamiento de Windows 2003/XP/2000/Me/98 de los archivos WMF (Windows Meta File), por lo que se encuentran afectadas todas aquellas aplicaciones -como Internet Explorer y Outlook- que puedan procesar este tipo de ficheros. En la práctica, con WMFMaker pueden crearse imágenes que ejecuten cualquier tipo de código malicioso -como troyanos, gusanos o cualquier otro tipo de malware- en el ordenador afectado por el mencionado problema de seguridad.

WMFMaker está preparado para ser utilizado desde la línea de comandos, incluyendo la ruta completa de la herramienta y la del ejecutable que se desea incluir dentro del fichero WMF, y que será ejecutado en caso de aprovechar la citada vulnerabilidad. De este modo, se generará un fichero con extensión .wmf y cuyo nombre varía entre "evil.wmf", o el propio nombre del ejecutable incluido en él.

Las imágenes WMF maliciosas creadas por WMFMaker pueden ser distribuidas mediante diversos métodos como, por ejemplo, alojándola en una página web y convenciendo a usuarios de que la visiten. Si la víctima utiliza Internet Explorer, al visitar la web maliciosa puede provocarse la ejecución automática de código arbitrario. Sin embargo, si se utiliza otro navegador diferente, el usuario puede ser advertido de la descarga del archivo.

Hasta que Microsoft publique el parche que resuelve la mencionada vulnerabilidad, y además de contar con soluciones antimalware capaces de bloquear los códigos que se aprovechen de ella, es recomendable adoptar otras medidas de seguridad, entre las que destacan las siguientes:

- Leer los mensajes de correo electrónico en texto plano.

- No pulsar enlaces que se hayan recibido a través de correo electrónico o programas de mensajería instantánea, enviados por remitentes desconocidos.

- Si el equipo tiene instalado Windows XP, activar DEP (Data Execution Prevention -Prevención de Ejecución de Datos-).

Si quereis mas informacion al respecto os recomiendo visitar "Solo informatica y otras yerbas..."

La navidad en forma de troyano

swaze — 2005-12-23T13:58:00+00:00

Esta visto que ni en estas fechas podemos librarnos de virus y troyanos porque se adaptan para seguir pareciendo lo que no son. A continuación os hablare un poco de uno de estos últimos troyanos aparecidos, el MerryX.A.

Según el informe semanal de Panda, MerryX.A es un troyano con aires navideños, pero con unas características muy concretas.

En primer lugar el Asunto del mensaje es "MERRY CHRISTMAS!", tras abrirlo veremos el mensaje siguiente en el cuerpo del e-mail "Merry Christmas and a Happy New Year !". El peligro no esta ahí sino en los archivos que acompañan al e-mail (e-mail que recomendamos encarecidamente no abrir).

A_LIGHTSMC10.GIF es el nombre de uno de los archivos adjuntos que incluye el mensaje y corresponde a una imagen animada donde podremos leer "Merry Christmas", adornada con luces de colores. El otro archivo que encontraremos adjunto al mensaje es MERRY CHRISTMAS!.RAR, un fichero comprimido autoextraible dentro del cual van incluidos SQLServer.exe, que es una copia del mismo troyano y MERRY CHRISTMAS!.SWF, una animación en flash donde se ve a Papa Noel colocando regalos en un árbol de navidad.

Este troyano, una vez autoinstalado en el equipo, realiza dos acciones.

Por un lado registra las pulsaciones de teclado, lo que puede ser utilizado para recoger contraseñas u otra información confidencial. Después se conecta a un servidor remoto, al que envía la información que ha recopilado.

Y por ultimo intenta descargar, desde diferentes páginas Web, archivos que pueden ser de cualquier naturaleza, incluyendo malware.

Vulnerabilidad XSS en Google

swaze — 2005-12-21T18:19:00+00:00

Interesante descubrimiento de posibles ataques mediante XSS en google reseñado en el blog "Solo informática y otras yerbas..." que permite a un atacante suplantar la identidad de los miembros de Google o incluso montar un ataque Phishing.

Para los que no sean muy seguidores de este tipo de vulnerabilidades una pequeña explicación.

Un ataque XSS (también conocido como Cross Site Scripting) básicamente consiste en inyectar código ejecutable en el servidor, o en su defecto en la maquina cliente. Esto se hace usando las capacidades del servidor (habitualmente una Web) para procesar códigos no controlados con el fin de obtener diversos fines, entre ellos privilegios.

En definitiva y abreviando digamos que es una vulnerabilidad surgida como consecuencia de errores de filtrado.

EL artículo de vulnerabilidades XSS en Google que he reseñado es muy interesante y pone de manifiesto que aunque se sea la empresa mas importante, conocida y usada a nivel de búsquedas en Internet no por ello se esta a salvo de tener fallos.

Si deseáis mas información sobre este y otros tipos de vulnerabilidad os recomiendo que visitéis elhacker.net la mejor página española de seguridad orientada al hacker y otros fenómenos; en sus foros encontrareis gran cantidad de artículos, avisos y manuales.

Nuevos parches para Windows

swaze — 2005-12-15T19:21:00+00:00

Visitando "Solo Informática y otras yerbas.." encuentro esta noticia en la cual nos cuentan que Microsoft ha sacado dos nuevos boletines de seguridad, mediante los cuales tapa (porque decir que arregla seria mentir) cuatro vulnerabilidades del navegador mas usado (por desgracia) de todo el planeta, estamos hablando como no del Internet Explorer. Dos de dichas vulnerabilidades son criticas. También parchea un fallo en Windows 2000.

Lo curioso es que estos boletines de seguridad, uno de los parches que instalan, se encarga de remendar el fallo cometido en un parche anterior, exactamente en el desinstalador de Sony; ya que este dejaba el sistema expuesto a que cualquiera pudiera instalar software de forma remota y sin nuestro consentimiento.

Lo que a mi realmente me alarma, es el numero de "boletines de seguridad", yo personalmente los hubiera llamado "lo siento hemos metido la pata...otra vez.", que salen al cabo del año, después de tantos años aun hay errores en Windows 2000 y respecto al XP prefiero no hacer mención alguna.

Salen fallos cada día y eso no es normal en un Sistema Operativo, es alarmante, mas teniendo en cuenta que dicho SO es el mas usado del mundo. Debería preocuparnos el tema, y sorprendentemente, lo vemos normal, "ah es Windows son cosas suyas...", si nuestro coche se calara sin motivo alguno cada dos por tres nos procuraríamos, pero como es Windows no.

Tiemblo solo de pensar como sera el Windows Vista, ese que deberíamos haber "visto" hace ya unos cuantos años y que todavía se esconde en las entrañas de Microsoft. Por un lado deseo que llegue, pero por otro, por otro lo temo, porque desde el MS-DOS esto ha ido cuesta abajo....

"Sober" El gusano Fenix

swaze — 2005-11-22T12:48:00+00:00

Curioso titulo para un artículo ¿verdad? Pero es que Sober vuelve a renacer y esta vez con nueva forma y mucho mas peligrosa.

Según Pandalabs se ha detectado la aparición de Sober.AH, una nueva variante de este gusano que se propaga por medio del correo electrónico y que ha comenzado a provocar numerosas incidencias en equipos de usuarios de todo el mundo.

La gran novedad, y también lo que le ha propiciado el éxito a esta nueva variante, es la utilización de Ingeniería Social (el otro día hablábamos de ella) para llevar a cabo sus propósitos. Puede llegar al ordenador como un email simulando proceder del FBI advirtiendo que se ha cometido un delito al acceder a ciertas webs ilegales.

El gusano, por otro lado, es capaz de reenviarse en mensajes escritos en ingles y alemán según la dirección de destino. En caso de que el usuario ejecute un archivo conteniendo a Sober.AH se mostrará una ventana con un falso mensaje de error. Sin embargo, lo que el gusano estará haciendo en ese momento es enviarse a todas las direcciones de correo electrónico que puedan encontrarse en un gran número de archivos del sistema. A este fin, comprueba los dominios de las direcciones recogidas conectándose a distintos servidores de DNS públicos, así como la hora y la fecha, conectándose a varios servidores NTP.

Además, el gusano finaliza procesos que puedan estar ejecutándose en el sistema y que correspondan a determinadas aplicaciones, entre las que se encuentran algunas soluciones de seguridad. El objetivo de ello es dejar al ordenador desprotegido frente a otros posibles ataques. Un dato importante es que, cuando finaliza un proceso, se muestra una pantalla indicando que "no se han encontrado virus, troyanos o spyware en el sistema".

Tener cuidado y vigilar bien en que mensajes confiáis antes de leerlos.

Mitglieder ataca de nuevo

swaze — 2005-11-02T13:41:00+00:00

Leo en un informe especial de Panda que una nueva variante del conocido troyano Mitglieder a visto la luz estos días provocando miles de infecciones en ordenadores de todo el mundo.

Esta nueva variante, que ha sido distribuida de forma manual mediante un email sin asunto, que contiene, en muchos casos, palabras como "info" o "texte" y que siempre lleva un fichero adjunto a sido bautizado como Mitglieder.FK.

El nombre del fichero adjunto varía, pero algunos de los posibles nombres que toma son los siguientes:

Health_and_knowledge.zip
Sms_txt.zip
Max.zip
Business.zip
The_new_price.zip
Info_prices.zip
Business_dealing.zip

Todos estos archivos comprimidos llevan dentro una copia del troyano con extensión ".EXE", las cuales al ser abiertas infectaran el sistema.

Al ser infectado el equipo estomáticamente intentara conectarse a un gran numero de URL desde las que descargara un fichero que copiará en el directorio de Windows con el nombre exefld\ y un número aleatorio. Posteriormente el troyano modificara dos claves del registro para asegurar su ejecución al iniciar el sistema.

La Gripe Aviar amenaza los PCs

swaze — 2005-10-28T12:15:00+00:00

A continucación os pongo un extracto del informe de virus de Panda en el que se menciona un nuevo troyano que tiene que ver con la gripe aviar.

"[...] Naiva.A que, como todos los troyanos, no posee propios medios de propagación, por lo que depende de la distribución manual de terceros (por correo, descargas de Internet, transferencia de ficheros a través del FTP, u otros medios). En la práctica, llega al ordenador como un documento de Word, que informa sobre la epidemia de la gripe aviar.

Naiva.A utiliza dos macros de Word. Por medio de la primera llama a cinco funciones del kernel, que le permiten modificar, crear y borrar ficheros. Con la segunda macro instala en el equipo a Ranky.FY, troyano que permitiría a un potencial atacante controlar de forma remota el ordenador afectado.

Para evitar ser víctima de Naiva.A es recomendable que el PC tenga fijado un nivel medio de protección frente a macros -para que así aparezca un mensaje informando de que el documento que contiene a este troyano posee macros-, o un nivel alto o muy alto, para impedir que se ejecuten las macros. [...]"

Las recomendaciones de ayer

swaze — 2005-10-22T20:49:00+00:00

En primer lugar quisiera disculparme por no haber publicado ayer los enlaces de todos los viernes pero por motivos ajenos a mi persona me fue totalmente imposible así que los publico hoy.

PodCastellano es una web realmente fantástica, no solo encontrareis un magnifico directorio de Podcast en español sino que además tenéis a vuestra disposicion un sinfín de manuales y herramientas para crear los vuestros propios. Y si algo no os queda claro podéis preguntarlo en sus magnificos foros.

ñblog: utilidades y herramientas para blogs es un blog muy especial y muy trabajado. En el podréis encontrar herramientas y recursos en su mayoría desconocidos ( y por lo menos los que yo he visto) gratuitos para blogs y bitácoras. De visita recomendada.

ADSLzone: web dedicada al ADSL es una definición demasiada escueta y sencilla que no le hace justicia a esta web. En este portal podrás encontrar ayuda sobre tu ADSl, desde como abrir puertos en tu router (hay manuales de cada router) hasta ayuda mas concreta en sus foros.

Quisiera terminar este articulo con dos referencias totalmente alejadas de las anteriores. Ambas son blogs y además escritos por dos compañeros de facultad y de clase, muy buena gente ella.

The Neitherworld es un blog que yo calificaría como muy frikie y geek, pero no solo eso sino que muy entretenido. En el encontraras artículos realmente curiosos que yo no dejaría de leer.

.blog//Treiral: Este ya lo conocéis, pero no puedo pasar sin citarlo, puesto que es otro de mis blogs frecuentemente visitados. Único en su especie tiene grandes artículos como son "los profesores de mi universidad" o "pereza como forma de vida".

Por hoy ya son suficientes enlaces, el próximo viernes (prometo no retrasarme) mas.

los virus llegan a la PSP

swaze — 2005-10-07T15:46:00+00:00

En el informe semanal de PandaLabs hablan de un nuevo virus que me ha resultado muy curioso y quizas sea el primero de cientos que llegaran a nuestras vidas. Se trata de Format.A, un troyano que se hace pasar por una herramienta desarrollada con una unica finalidad: ejecutar codigo no firmado en las Play Station Portable (PSP), una vez ejecutado lo que hace es borrar archivos imprescindibles para su correcto funcionamiento, consiguiendo que nuestra consola quede inutilizada.

Su forma de propagacion varia pero siemrpe se anuncia como una aplicacion que se encarga, mediante el uso de un exploit, de modificar la version de la BIOS de nuestra PSP a una version mas antigua que permite la ejecucion de juegos no originales o piratas.

Puede que no sea un virus muy complicado de extenderse pero, este troyano habre una nueva generacion, donde las consolas se encuentran al alcance de codigos maliciosos.

Un gusano de mensajería instantánea se difunde simulando ser una postal

swaze — 2005-09-20T18:54:00+00:00

Gusano importante, A continuacion y como caso escepcional os copio el informe de Panda:

"- Un gusano de mensajería instantánea se difunde simulando ser una postal -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

MADRID, 20 de septiembre de 2005 - PandaLabs ha registrado en las últimas 24 horas un considerable número de incidencias provocadas por un nuevo gusano de mensajería, Mepe.A, en la zona de Latinoamérica, que se propaga utilizando programas de mensajería instantánea. Puede seguirse la evolución de este gusano en la Enciclopedia de Virus de Panda Software, en http://empresas.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=est&idvirus=90325

Este gusano, de origen hispano, y que simula ser un fichero de Shockwave Flash compilado -algo completamente falso-, al ejecutarse muestra un mensaje simulando que su ejecución ha fallado, pese a que ésta continúa, con la creación de una serie de copias de sí mismo en el directorio del sistema, así como la inscripción de una serie de claves en el registro para la ejecución automática en cada reinicio. Además, en el directorio raíz crea un fichero que contiene la frase "Dios sólo nos dio un 1 y un 0, y con eso, hemos construido un universo".

Para propagarse, este gusano utiliza aplicaciones de mensajería instantánea, de modo que cuando el usuario se conecte a la mencionada aplicación, el gusano busca ventanas activas de título "Conversación", a las que envía un mensaje en castellano invitando a descargar una postal de un conocido sitio web: "te mandaron un recado conmigo, ya te has de imaginar quien y si no sabes me dijo que no te dijera quien, me dijo que te lo escribio en una postal y que de aqui la abras www.[omitido].com ,bueno yo ya cumpli e?". El link que se envía al usuario remite al usuario a un sitio web que contiene una copia del gusano, de modo que éste se descarga en el ordenador del usuario, infectándolo.

Además, Mepe.A también vigila las tareas en ejecución, con el objetivo de cerrar las ventanas cuyo nombre coincida con "Administrador de tareas de Windows", "Panel de Control", "Editor del Registro", "Utilidad de configuración del sistema", y "Restaurar Sistema", de modo que el usuario no pueda finalizar el proceso relacionado con el gusano.

Desde PandaLabs ya se ha contactado con la compañía cuyos servidores alojan el gusano, para proceder a la desactivación de la URL y de este modo detener las infecciones."

Tener cuidado y ya sabeis lo que anda por ahi suelto.

Phishing mediante troyano

swaze — 2005-09-02T18:04:00+00:00

El "phising" esta en auge, es la tecnica delictiva y mas peligrosa de nuestros dias, pero aun asi se que hay mucha gente poco familiarizada con ella asi que pondre aqui un extracto de la definicion que dan en ella en la wikipedia.

"Phishing es la capacidad de duplicar una pagina web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos para que se acceda a esta página a actualizar los datos de acceso al banco."

Yo no estoy totalmente de acuerdo con esta definicion, porque creo que tambien puede hacerse via e-mail.

Lo importante es que ha salido un troyano que esta especialmente orientado para el phising, he mirado distintas paginas, y he obtenido una copia de le para estudiarlo y esta muy bien diseñado, es un codigo bastante limpio, aunque hay trozos en lso que se puede observar que el programador no es profesional por lo que he podido apreciar.

Os pongo la descripcion que hacen de el en el informe de panda, que hasta el momento es la mejor que he encontrado, y mas adelante, cuando yo tenga terminado mi estudio del troyano, os informare ( solo llevo un 3% del codigo)

"En el equipo al que afecta, el troyano Banker.AMQ lleva a cabo varias acciones, entre las que destacan las siguientes:

- Comprueba si hay una conexión a Internet disponible y, si es así, envía un correo electrónico a una cuenta del dominio oi.com.br, notificando a su autor que se ha instalado en el ordenador.

- Monitoriza si el usuario visita páginas web pertenecientes a varias entidades bancarias brasileñas. En caso afirmativo, utiliza Internet Explorer para mostrar una página web maliciosa que, imitando a alguna de las legítimas visitadas por el usuario, solicita diferentes datos confidenciales -como el nombre de usuario y la contraseña-, dependiendo del sitio web de la entidad bancaria por la que se hace pasar. Tras recoger la información, y con el objetivo de confundir al usuario y no levantar sospechas, muestra un falso mensaje de error en portugués. Posteriormente envía los datos que ha obtenido a una dirección de correo electrónico.

- Busca archivos pertenecientes a la Libreta de Direcciones de Windows y a certificados digitales, y los transfiere a un servidor a través de FTP."

Dos nuevos gusanos: Zotob.D, e IRCBot.KB

swaze — 2005-08-18T02:04:00+00:00

Quisiera hacerme eco de un desagradable suceso ocurrido hace poco tiempo, estoy hablando de la aparicion de dos nuevos gusanos, llamados Zotob.D, e IRCBot.KB y que no solo ha afectado al usuario normal sino a grandes medios de comunicacion como son: CNN, ABC, y The New York Times.

Estos dos gusanos aprovechan una vulnerabilidad de ejecucion remota de codigo Plug And Play, y mediante el cual permite al atacante controlar todo el sistema afectado.

Estos gusanos solo afectan a maquinas con los siguientes sistemas operativos:

Windows 2000
Windows XP
Windows Server 2003.

Por lo que Microsoft ya ha publicado datos de estos gusanos en su boletín MS05-039, donde podemos encontrar un parche para eliminar esa vulnerabilidad

A continuacion os pongo el link de descarga del parche de microsoft, que, os recomiendo instalar inmediatamente: http://www.microsoft.com/spain/technet/seguridad/boletines/ms05-039-it.mspx

Saludos

swaze