Noticias Antivirus - zonavirus.com

firefox_logo_2015.jpg
Resulta muy importante que los proyectos sean viables, algo que están buscando desde la fundación Mozilla con su producto estrella: el navegador web Firefox. Para lograr esto, desde la fundación se han visto obligados a recurrir a la publicidad, algo que no gusta mucho a los usuarios pero que desde esta han aclarado que no resultará molesta.

Se trata de una idea que surgió a finales del pasado mes, afirmando en ese momento que el formato publicitario utilizado serían los bautizados como tiles. Para que todo el mundo entienda a qué estamos haciendo referencia, se tratan de recuadros que aparecen nada más iniciar el navegador y que generalmente poseen los sitios web más visitados por el usuario. Teniendo en cuenta esto, la publicidad convivirá con estos contenidos, o al menos de momento.

Desde la fundación piden calma entre los usuarios y sostienen que en ningún momento la publicidad será intrusiva, por lo que no será un problema para los usuarios. Sin embargo, estos no se fían y creen que se trata del primer paso para que esta se encuentre mucho más presente en la navegación del usuario.

También han añadido que en ningún momento los datos de los usuarios serán recopilados para ofrecer publicidad personalizada y que la información mostrada dependerá de los acuerdos publicitarios que se alcancen desde la fundación.

Teniendo en cuenta que los primeros acuerdos ya se han producido es probable que pronto Mozilla ponga en funcionamiento esta fuente de financiación que han definido como muy importante para el futuro del navegador web.

Las palabras de la fundación no convencen a los usuarios

Si estos no han quedado del todo convencidos con que la publicidad quede limitada a los tiles, algo similar ha sucedido con la negativa por parte de Mozilla a la recolección de datos. Los usuarios son conscientes de que si quieres atraer a las compañías debes ofrecer un servicio personalizado, tal y como ha sucedido con Facebook o Google Ads, por lo que esperan que al final se informe sobre una recopilación de datos pero de forma anónima, algo que sostienen incluso expertos del sector.

Un Firefox que sea rentable

Los usuarios temen que el navegador se convierta en un negocio. Hay que recordar que Google deposita una cantidad de dinero a modo de colaboración para que el navegador pueda evolucionar, algo que para la fundación parece insuficiente y quiere que el navegador genere aún más beneficios.

En definitiva, la polémica está servida y son muchos los que dudan de las intenciones de los responsables del navegador web, afirmando que buscan convertirlo en un negocio.

fuente

Cuando los usuarios buscan preservar su seguridad y privacidad cuando navegan por Internet una de las opciones que llevan a cabo es conectarse a través de la red distribuida Tor. Esta red cifra y reenvía el tráfico de los usuarios a través de varios proxies repartidos por todo el mundo siendo muy complicado rastrear el origen del mismo y, en caso de capturar los paquetes, acceder a su contenido.

Aunque en la teoría la red Tor es segura y privada, en la práctica no lo es al 100%. No es la primera vez que tanto piratas informáticos como organizaciones y departamentos de seguridad nacional e internacional consiguen romper la seguridad de esta red distribuida, comprometiendo la seguridad y la privacidad de los usuarios que navegan a través de ella llegando incluso a identificarlos y detenerlos. Un ejemplo de esto fue el golpe a SilkRoad, conocida web oculta para el mercado de drogas y armas, la cual fue comprometida por el FBI para identificar y detener a los responsables y participantes de dicha web.

Para evitar que estas cosas ocurran de nuevo y la red Tor sea tan anónima, privada y segura como promete, se deben estandarizar las normas de uso y configuración de esta red. Para ello, el departamento de The Engineering Task Force (IETF) junto con la Internet Assigned Numbers Authority, un departamento específico de la ICANN, han publicado una norma donde reconocen el uso de los dominios .onion para su uso único dentro de la red Tor, siendo imposible acceder a ellos desde una configuración no segura y filtrada por los proxies de Tor.

A partir de ahora, los dominios .onion sólo podrán utilizarse dentro de la red Tor, no como hasta ahora que eran accesibles desde la red convencional. Según la nueva norma, estos dominios sólo podrán ser accesibles desde aplicaciones y proxies conectados a esta red. Cualquier otra aplicación que intente acceder a un dominio .onion no enrutada devolverá un error, y el DNS no será capaz de resolver dicha dirección. Las nuevas normas también reducen la recopilación de datos por parte de los servidores DNS e impiden el uso de servidores caché no certificados para la red Tor.

Esquema-de-funcionamiento-de-Tor-655x360.jpg

También se pretende mejorar la seguridad de las conexiones aprovechando los certificados SSL y TLS. De esta manera todo el tráfico por la red Tor tendrá una capa de cifrado por encima de todas las demás, al igual que las conexiones seguras convencionales a los protocolos HTTPS. De esta manera los usuarios de la red Tor podrán saber que la web a la intentan acceder es, en realidad, la que están buscando y no una falsa.

fuente

iOS-9.png
Sin duda el principal punto fuerte de Apple fue la seguridad. En todos sus sistemas operativos no había vulnerabilidades, puertas traseras ni era necesario utilizar un antivirus al no existir estas amenazas. Los sistemas de Apple han ganado cuota de mercado, usuarios y han captado el interés de los piratas informáticos, por lo que todo esto ha cambiado. Ahora tanto Mac OS X como iOS son sistemas que, aunque pueden ser más seguro que otros como Android o Windows, también tiene sus fallos de seguridad que luego dan lugar a sucesos como The Fappening, la mayor filtración de fotos íntimas de famosas, robadas directamente desde iCloud.

Los dispositivos móviles cada vez manejan una mayor cantidad de información sensible, siendo capaces incluso almacenar las cuentas bancarias y las tarjetas de crédito para poder realizar pagos utilizando únicamente nuestro smartphone. Esto puede suponer un grave problema en caso de que caiga en manos de piratas informáticos, por lo que Apple, con su nuevo iOS 9, ha querido reforzar la seguridad de su sistema operativo móvil mejorando los sistemas de doble autenticación.

La doble autenticación, recordamos, consiste en necesitar dos elementos para iniciar sesión: uno que sabemos y otro que tenemos pero no sabemos. Por ello a la hora de iniciar sesión necesitamos nuestra contraseña (un elemento fácilmente recuperable por un pirata informático), pero antes de acceder a la información debemos introducir un segundo código, el cual no sabemos pero recibiremos automáticamente a través del correo electrónico o una aplicación como Authy. Este código no puede ser deducido por los piratas informáticos, por lo que nuestros datos quedan asegurados y lejos de su alcance.

De esta manera los dispositivos y los datos permanecerán seguros incluso después de un ataque informático que comprometa el dispositivo o la cuenta, ya que sin el correspondiente código privado y aleatorio no se podrá acceder a los datos.

iOS-9-codigo-de-6-digitos.png

Otro de los cambios que Apple ha introducido en iOS 9 es un nuevo desbloqueo por código de acceso que ahora puede ser de 6 dígitos en lugar de 4. Así las probabilidades de adivinar el código son prácticamente ínfimas. Igualmente, aprovechando el lanzamiento del iPad Pro y su finalidad como ordenador personal, se ha desarrollado un nuevo sistema de huella única para iOS 9 de manera que cuando se active sólo una única huella podrá desbloquear el dispositivo. Ni una contraseña, ni un código ni ningún otro método será capaz de brindar acceso a él.

Apple, durante la pasada Keynote, insistió en la importancia de mantener la privacidad de la información de sus clientes. Más allá de las nuevas medidas de seguridad de iOS 9, una muestra de ello se puede ver a raíz de las últimas peticiones gubernamentales de facilitar información sobre una comunicación realizada a través de iMessage relacionada con armas y drogas. Apple se negó a brindar información y colaborar en la investigación ya que, entre otras razones, las comunicaciones se cifran punto a punto y son imposibles de descifrar, ni por Apple ni por ninguna otra empresa externa. Por ello Apple afirma que los datos de los usuarios pertenecen únicamente a estos, y ninguna empresa ni gobierno podrá acceder a ellos por más que lo soliciten.

Apple está dando un buen enfoque a la seguridad y a la privacidad, aunque no todo el trabajo depende de ella. Los usuarios muchas veces instalan aplicaciones peligrosas e incluso hacen Jailbreak (que seguirá funcionando en iOS 9) a los dispositivos, abriendo un gran número de brechas de seguridad que, tarde o temprano, pueden ser atacadas por piratas informáticos. Apple ha hecho su trabajo, el resto depende de los usuarios y de un uso sensato de la tecnología.

fuente

A partir de la version 32.93 del ElistarA de hoy pasamos a controlar esta nueva variante de
Adware

El preanalisis de virustotal ofrece el siguiente informe:

MD5 7b21a0c4d629a0f3284da0d24f0b56d4
SHA1 a96a85a02d69a0dc98ee0543e1929e4f687618d0
File size 781.2 KB ( 799920 bytes )
SHA256: 96e0eec059757c7ebb2c7e967dc85a481887e344f4ea5b1b6218f2e334f73b60
File name: UM.EXE
Detection ratio: 32 / 56
Analysis date: 2015-09-14 11:26:08 UTC ( 4 minutes ago )

0 1

Antivirus Result Update
ALYac Gen:Variant.Adware.Strictor.94775 20150914
AVware Trojan.Win32.Generic!BT 20150914
Ad-Aware Gen:Variant.Adware.Strictor.94775 20150914
Agnitum PUA.Toolbar.Widgi! 20150913
Antiy-AVL Trojan/Win32.TSGeneric 20150914
Arcabit Trojan.Adware.Strictor.D17237 20150914
Avast Win32:Adware-gen 20150914
Avira ADWARE/Widgi.799920 20150914
Baidu-International PUA.Win32.Widgi.U 20150914
BitDefender Gen:Variant.Adware.Strictor.94775 20150914
CAT-QuickHeal AdWare.Agent.r5 20150914
Cyren W32/Application.QAGO-1186 20150914
DrWeb Adware.Spigot.83 20150914
ESET-NOD32 a variant of Win32/Toolbar.Widgi.U potentially unwanted 20150914
Emsisoft Gen:Variant.Adware.Strictor.94775 (B) 20150914
F-Secure Gen:Variant.Adware.Strictor 20150914
Fortinet Riskware/Widgi 20150914
GData Gen:Variant.Adware.Strictor.94775 20150914
K7AntiVirus Adware ( 004c57bf1 ) 20150914
K7GW Adware ( 004c57bf1 ) 20150914
McAfee Artemis!7B21A0C4D629 20150914
McAfee-GW-Edition Artemis!PUP 20150914
MicroWorld-eScan Gen:Variant.Adware.Strictor.94775 20150914
Panda PUP/Spigot 20150914
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150914
Symantec Trojan.Gen.2 20150913
Tencent Win32.Risk.Adware.Ahoj 20150914
TrendMicro PUA_Widgi 20150914
TrendMicro-HouseCall PUA_Widgi 20150914
VIPRE Trojan.Win32.Generic!BT 20150914
ViRobot Trojan.Win32.Agent.799920 20150914
Zillya Adware.Toolbar.Win32.1672 20150914

Dicha version del ElistarA 32.93 que lo detecta y elimina, estará disponoibe en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 14-9-2015

Otra variante del SOUNDER pasa a ser controlada a partir del ElistarA 32.93 de hoy

El preanalisis d eviristotal ofrece el siguiente informe:

MD5 7acb07c9820cb0c2054e7ff516922704
SHA1 f581ddda33cf329a8484310165cc23888e7f186e
File size 100.0 KB ( 102400 bytes )

SHA256: bd3cea482fe111315574623bd0b3efc1eaa79b0426691c36586929b5716190cf
File name: mszby.exe
Detection ratio: 14 / 57
Analysis date: 2015-09-14 13:32:42 UTC ( 0 minutes ago )

0 1

Antivirus Result Update
AVG Worm/Generic3.TWK 20150914
Ad-Aware Trojan.Agent.BMLP 20150914
Agnitum Trojan.Agent!vOfuag5nrxo 20150913
Arcabit Trojan.Agent.BMLP 20150914
BitDefender Trojan.Agent.BMLP 20150914
DrWeb Trojan.DownLoader16.25247 20150914
Emsisoft Trojan.Agent.BMLP (B) 20150914
F-Secure Trojan.Agent.BMLP 20150914
GData Trojan.Agent.BMLP 20150914
MicroWorld-eScan Trojan.Agent.BMLP 20150914
Microsoft Worm:Win32/Gamarue.AR 20150914
NANO-Antivirus Trojan.Win32.MXJS9199.dwvdre 20150914
Symantec Downloader.Dromedan 20150913
nProtect Trojan.Agent.BMLP 20150914

Dicha version del ElistarA 32.93 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Como se ve aun no lo detectan ni McAfee ni Kaspersky, por lo que ya les hemos enviado muestra para que añadan su control y eliminacion en las proximas versiones de sus antivirus.

saludos

ms, 14-9-2015

Otra variante del UPATRE pasa a ser controlada a partir del ElistarA 32.93 de hoy

El preanalisis de virustotal ofrece el siguiente informe:

MD5 9deb4c2aa0d2bde6f01930eb8b3aabf4
SHA1 3a530601697af220512e2865abfd2055bf06f706
File size 592.0 KB ( 606208 bytes )
SHA256: f923373c3fa0ad80cadbc29872054ff6f439b2f6da823b22775f0f0cbf011eec
File name: gpucroup.exe
Detection ratio: 20 / 57
Analysis date: 2015-09-14 13:40:52 UTC ( 2 minutes ago )

0 1

Antivirus Result Update
AVG Ransomer.JWP 20150914
Ad-Aware Trojan.GenericKD.2719216 20150914
AhnLab-V3 Trojan/Win32.Agent 20150914
Arcabit Trojan.Generic.D297DF0 20150914
Avira TR/Battdil.606208 20150914
Baidu-International Trojan.Win32.Battdil.AR 20150914
BitDefender Trojan.GenericKD.2719216 20150914
DrWeb Trojan.Dyre.588 20150914
ESET-NOD32 Win32/Battdil.AR 20150914
Emsisoft Trojan.GenericKD.2719216 (B) 20150914
F-Secure Trojan.GenericKD.2719216 20150914
Fortinet W32/Monlin.A!tr 20150914
GData Trojan.GenericKD.2719216 20150914
K7GW Trojan ( 004cf1a41 ) 20150914
Kaspersky UDS:DangerousObject.Multi.Generic 20150914
Malwarebytes Trojan.Dyre 20150914
MicroWorld-eScan Trojan.GenericKD.2719216 20150914
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20150914
Tencent Win32.Trojan.Inject.Auto 20150914
nProtect Trojan.GenericKD.2719216 20150914

Dicha version del ElistarA 32.93 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Como se puede ver, McAfee aun no lo conoce, por lo que ya les hemos enviado muestra para que añadan su control y eliminacion en las proximas versiones de sus antivirus.

saludos

ms, 14-9-2015

Otra variante de este temible que dificulta su deteccion y eliminacion, pasa a ser controlado a partir del ElistarA 32.93 de hoy

El preanalisis de virustotal ofrece el siguiente informe:

MD5 cf27fb62bdcd351ede95654f14a73075
SHA1 70e8fcb59d851c34dd47fc1539c4e13839001268
File size 345.0 KB ( 353330 bytes )
SHA256: a062cf5eff3871531750df50869a3d6d24f4304b1ad8b21fad3d727f0654614a
File name: 816e9bca79.exe
Detection ratio: 3 / 56
Analysis date: 2015-09-14 14:00:10 UTC ( 0 minutes ago )

0 1

Antivirus Result Update
ALYac Gen:Variant.Symmi.55504 20150914
Kaspersky UDS:DangerousObject.Multi.Generic 20150914
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150914

Dicha version del ElistarA 32.93 que lo detecta estará disponible en nuestra web a partir de las 19 h CEST de hoy

Se recuerda lo que ya se indicó para las variantes de este malware:

Puede eliminarse manualmente tras detener los procesos activos "REGSVR32.EXE", desde linea de comandos con el TSKILL.EXE y tras eliminar las claves que lanzan en Script, reiniciar el sistema, ignorando los mensajes de Error por falta de los scripts y volver a lanzar el ElistarA, con lo cual puede lograr desinstalarlo

saludos

ms, 14-9-2015

A partir del ElistarA 32.93 pasamos a detectar esta nueva variante de BOAXE BE, si bien como en las anteriores recientes variantes, requiere modificar nivel de acceso de determinada clave de HKCU para poder eliminarla, y de no tener permisos al respecto, no se logra dejando el virus vivo aunque con el ElistarA se avisa de ello en el infosat correspondiente

A la Clave "HKEY_CURRENT_USER\Software\Classes\CLSID"
le pone permisos expeciales. Manualmente se le han de dar permisos
de acceso total para eliminarla.

Si bien el ElistarA 32.93 los detectará, en el infosat aparecerá, tras cada reinicio la indicación de no haber podido eliminar la clave indicada, hasta que se le den manualmente permisos de acceso total.

MD5 0e6e16e37d40b14fab0112f058d16163
SHA1 4bdd2948b0a82a2504feb5f568617d3174ad6ddf
File size 126.3 KB ( 129336 bytes )
SHA256: 44ecae2ac1f8c69179fb558083edbc74c5d6a28054d985fce54b4b4c4d9d30a0
File name: bdb.exe
Detection ratio: 25 / 56
Analysis date: 2015-09-14 14:16:04 UTC ( 4 minutes ago )

0 1

Antivirus Result Update
AVG Atros2.UAY 20150914
Ad-Aware Trojan.GenericKD.2724181 20150914
AhnLab-V3 Trojan/Win32.MDA 20150914
Arcabit Trojan.Generic.D299155 20150914
Baidu-International Trojan.Win32.Boaxxe.BR 20150914
BitDefender Trojan.GenericKD.2724181 20150914
DrWeb Trojan.Siggen6.38594 20150914
ESET-NOD32 Win32/Boaxxe.BR 20150914
Emsisoft Trojan.Win32.Boaxxe (A) 20150914
F-Secure Trojan.GenericKD.2724181 20150914
GData Trojan.GenericKD.2724181 20150914
Ikarus Trojan.Win32.Boaxxe 20150914
K7AntiVirus Trojan ( 004b9ab91 ) 20150914
K7GW Trojan ( 004b9ab91 ) 20150914
Kaspersky UDS:DangerousObject.Multi.Generic 20150914
Malwarebytes Trojan.Crypt.VB 20150914
McAfee Artemis!0E6E16E37D40 20150914
McAfee-GW-Edition Artemis 20150914
MicroWorld-eScan Trojan.GenericKD.2724181 20150914
NANO-Antivirus Trojan.Win32.Siggen6.dwwkoz 20150914
Qihoo-360 Trojan.Generic 20150914
Sophos Mal/Generic-S 20150914
TrendMicro TROJ_MIUREF.KB 20150914
TrendMicro-HouseCall TROJ_MIUREF.KB 20150914
ViRobot Trojan.Win32.Agent.129336 20150914

Dicha version del ElistarA 32.93 que lo detecta, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 14-9-2015

Para nuevas variantes viricas segun muestras recibidas, hemos desarrollado las nuevas versiones de:

ElistarA

---v32.93-(14 de Septiembre del 2015) (Muestras de (2)AdWare.Wajam, (2)AdWare.Eorezo "upospd_**.EXE y ospd_**.EXE", Malware.Upatre(dldr), (2)Boaxxe.BE "******.EXE", (6)Trojan.Kovter "*****.exe", DownLoader.Sounder "MS****.EXE", Malware.WPMService "WdsManPro.exe", Trojan.Vawtrak.B "******.***" y Malware.Widgi "UM.EXE")

EliPups

---v2.42--(14 de Septiembre del 2015)(Añadidos nuevos PUPs "OneSoftPerDay ***.***")

Ya se han subido a esta web exclusivamente para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 14-9-2015

Obama asegura que Estados Unidos ganaría una ciberguerra contra China
Barack Obama considera inaceptable el hacking de intereses estadounidenses por parte de hackers chinos, y garantiza que su país ganaría una eventual confrontación en el ciberespacio.

http://diarioti.com/obama-asegura-que-e ... hina/90206

Imagen: Barack Obama por © Drop of Light vía Shutterstock

Durante un discurso pronunciado el 11 de septiembre en conmemoración de los atentados de 2001, Obama se refirió al sensible tema de los ataques en el ciberespacio contra intereses estadounidenses: hemos manifestado claramente ante los chinos que algunas de las prácticas a las que se dedican, y que nos consta provienen de ese país, son inaceptables, señaló Obama, según la BBC.

Llegará un momento en que clasificaremos el tema como atinente a nuestra seguridad nacional, por lo que nuestra respuesta será acorde, dijo Obama, a cuyo juicio China no debería convertir los ciber-ataques en una confrontación, ya que en ese caso garantizo que ganaremos, si nos vemos en esa situación.

Anteriormente, Estados Unidos ha anunciado sanciones contra las empresas chinas que participen en actividades de sabotaje cibernético contra intereses estadounidenses.

En marzo de este año, China admitió oficialmente, por primera vez, tener un ciber-ejército, que estaría clasificado en tres categorías: la primera consiste de efectivos especializados y operativos, capacitados para realizar ataques basados en la red, como asimismo actividades de defensa. La segunda categoría consiste de especialistas civiles, autorizados por las fuerzas armadas para realizar ataques en el ciberespacio. La tercera categoría consiste de un grupo externo, que puede ser convocado en caso de ser necesario, con el fin de apoyar a los dos

Ver informacion original al respecto en Fuente:
http://diarioti.com/obama-asegura-que-e ... hina/90206

Cuando los usuarios buscan preservar su seguridad y privacidad cuando navegan por Internet una de las opciones que llevan a cabo es conectarse a través de la red distribuida Tor. Esta red cifra y reenvía el tráfico de los usuarios a través de varios proxies repartidos por todo el mundo siendo muy complicado rastrear el origen del mismo y, en caso de capturar los paquetes, acceder a su contenido.

Aunque en la teoría la red Tor es segura y privada, en la práctica no lo es al 100%. No es la primera vez que tanto piratas informáticos como organizaciones y departamentos de seguridad nacional e internacional consiguen romper la seguridad de esta red distribuida, comprometiendo la seguridad y la privacidad de los usuarios que navegan a través de ella llegando incluso a identificarlos y detenerlos. Un ejemplo de esto fue el golpe a SilkRoad, conocida web oculta para el mercado de drogas y armas, la cual fue comprometida por el FBI para identificar y detener a los responsables y participantes de dicha web.

Para evitar que estas cosas ocurran de nuevo y la red Tor sea tan anónima, privada y segura como promete, se deben estandarizar las normas de uso y configuración de esta red. Para ello, el departamento de The Engineering Task Force (IETF) junto con la Internet Assigned Numbers Authority, un departamento específico de la ICANN, han publicado una norma donde reconocen el uso de los dominios .onion para su uso único dentro de la red Tor, siendo imposible acceder a ellos desde una configuración no segura y filtrada por los proxies de Tor.

A partir de ahora, los dominios .onion sólo podrán utilizarse dentro de la red Tor, no como hasta ahora que eran accesibles desde la red convencional. Según la nueva norma, estos dominios sólo podrán ser accesibles desde aplicaciones y proxies conectados a esta red. Cualquier otra aplicación que intente acceder a un dominio .onion no enrutada devolverá un error, y el DNS no será capaz de resolver dicha dirección. Las nuevas normas también reducen la recopilación de datos por parte de los servidores DNS e impiden el uso de servidores caché no certificados para la red Tor.

Cómo funciona la red Tor

También se pretende mejorar la seguridad de las conexiones aprovechando los certificados SSL y TLS. De esta manera todo el tráfico por la red Tor tendrá una capa de cifrado por encima de todas las demás, al igual que las conexiones seguras convencionales a los protocolos HTTPS. De esta manera los usuarios de la red Tor podrán saber que la web a la intentan acceder es, en realidad, la que están buscando y no una falsa.

- Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2015/09/14/la- ... e6yfB.dpuf

Un nuevo mail masivo anexando el malware UPATRE llega con el siguiente texto:

MAIL MALICIOSO
______________

Asunto: Attached purchase order
De: "Jaunita Braun" <p.perocchio@stolt.com>
Fecha: 14/09/2015 07:51
Para: <destinatario>

Dear customer,

Please find your sales order #653534 attached.

Jaunita Braun

anexo: "invoice Darrin Mission.zip"

_______________________

FIN DEL MAIL MALICIOSO

El fichero ZIP anexado contiene el fichero "invoice Murray Plaza.exe" con icono de PDF, para engañar al usuario y conseguir que lo ejecute.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 b6b556e910158cf4065573e703833d07
SHA1 a59d7cd1a464dfeb79820d1a4d55cab1098f5dce
File size 31.5 KB ( 32256 bytes )
SHA256: eeed58335e17e728801b53fadb43972937461b47ed4914833dd046f9a51e1542
File name: invoice Murray Plaza.exe
Detection ratio: 20 / 56
Analysis date: 2015-09-15 07:11:36 UTC ( 4 minutes ago )

0 1

Antivirus Result Update
AVG Generic_s.FJE 20150915
Ad-Aware Gen:Variant.Symmi.56548 20150915
Arcabit Trojan.Symmi.DDCE4 20150915
Baidu-International Trojan.Win32.Upatre.etux 20150914
BitDefender Gen:Variant.Symmi.56548 20150915
ESET-NOD32 a variant of Win32/Kryptik.DWWV 20150915
Emsisoft Gen:Variant.Symmi.56548 (B) 20150915
F-Secure Gen:Variant.Symmi.56548 20150915
Fortinet PossibleThreat.P0 20150915
GData Gen:Variant.Symmi.56548 20150915
Ikarus Win32.Outbreak 20150915
K7AntiVirus Trojan ( 004cf72a1 ) 20150915
K7GW Trojan ( 004cf72a1 ) 20150915
Kaspersky Trojan-Downloader.Win32.Upatre.etux 20150915
Malwarebytes Trojan.Upatre 20150915
MicroWorld-eScan Gen:Variant.Symmi.56548 20150915
Microsoft TrojanDownloader:Win32/Upatre 20150915
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150915
Sophos Troj/Upatre-TP 20150915
Tencent Win32.Trojan.Inject.Auto 20150915

Dado que McAfee aun no lo controla, ya le hemos enviado muestra del mismo para que añadan su control y eliminación en la proxima actualización del VirusScan

Dicha versión del ElistarA 32.94 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

SE RECUERDA UNA VEZ MAS QUE NO DEBEN EJECUTARSE FICHEROS ANEXADOS A MAILS NO SOLICITADOS !!!

saludos

ms, 15-9-2015

http://cdn1.ticbeat.com/wp-content/uploads/2014/10/twitter_8bits.jpg

Algo salió mal, técnicamente. Gracias por darte cuenta, vamos a arreglarlo y todo volverá a la normalidad pronto. Con este mensaje, el mismo que se muestra cuando la web está en mantenimiento, recibía Twitter a sus millones de usuarios en todo el mundo ayer, lunes 14 de septiembre.

Y es que, durante más de una hora, el servicio web de esta red social estuvo caído y todo aquel que intentaba acceder a él se daba de bruces con este mensaje. Para desconcierto de propios y ajenos, el servicio de Twitter que da información sobre el estado de la red y que informa de posibles incidencias no emitió ninguna notificación hasta que el problema ya estuvo resuelto.

Desde las 20h A LAS 21h en España, millones de usuarios han experimentado problemas al acceder a www.twitter.com. aunque Otros servicios móviles no se han visto afectados, informó Twitter a posteriori.

El problema ya está resuelto. Nos disculpamos por cualquier inconveniente causado.

Durante todo el tiempo en que la web de Twitter estuvo caída ayer, las apps móviles de la red social para Android e iOS sí que funcionaron con total normalidad, así como las apps externas que utilizan muchas empresas y profesionales para gestionar sus perfiles sociales, como Tweetdeck o Hootsuite.

Por el momento se desconoce las causas exactas de la incidencia, ya que desde la compañía no han emitido más información que la que aparece en su sistema de alertas.

Ver informacin original al respecto en Fuente:
http://www.ticbeat.com/socialmedia/twit ... -una-hora/

Se realizarán correcciones a VxWorks de Wind River, el cual ejecuta un gran número de aplicaciones desde la Tierra para el rover Curiosity.

https://regmedia.co.uk/2014/12/16/curiosity_selfie.jpg

El investigador de seguridad canadiense Yannick Formaggio ha detallado una falla significativa en VxWorks, el sistema operativo en tiempo real (RTOS) realizado por Wind River, la cual es filial de Intel.

En su intervención en el famoso evento de la semana pasada 44CON, Formaggio detalla cómo un problema en el desbordamiento de enteros permite la ejecución remota de código en el sistema operativo. Formaggio descubrió la falla después de realizar fuzzing al sistema operativo para poder explicar mejor a un cliente su funcionamiento. Ese esfuerzo llevó al investigador a declarar que Wind River por lo general hace un buen trabajo de seguridad, pero que no habían pensado en lo que podría suceder cuando una credencial se establece en un valor negativo.

Una vez que Formaggio estuvo trabajando con este truco, descubrió que podía vencer y realizar bypass (evación) en todas las protecciones de memoria y configurar una cuenta como backdoor. Esto es justo lo que no debería ser posible en el tipo de dispositivos que requieren un RTOS, ya que la mayoría espera que sean extraordinariamente fiables y seguros para que puedan seguir adelante con trabajos como el funcionamiento de equipos industriales, los aviones y en este caso, el rover Curiosity que Wind River presenta orgullosamente como un cliente.

Formaggio también encontró en el sistema operativo que "el servidor FTP es susceptible al desbordamiento de búfer del anillo cuando se accede a una gran velocidad" y se bloquea cuando envían un "nombre de usuario y su respectiva contraseña especialmente diseñadas".

Las versiones 5.5 hasta 6.9.4.1 tienen el problema, lo que significa que muchos millones de dispositivos necesitan parches. Wind River ha reconocido el error y está en el proceso de suministro de reparaciones. Formaggio insta a los usuarios del sistema operativo a comprobar la biblioteca de conocimiento de Wind River para obtener su código de solución al momento.

El investigador también dijo que hablará y detallará su implementación fuzzing en esta página en las próximas semanas, pero no revelará el código de explotación "salvo autorización explícita previa"

Ver informacion original al rspecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2485

La familia de troyanos extorsionadores que cifran ficheros y les agregan las extensiones .xtbl y .ytbl apareció entre finales de 2014 y principios de 2015 y muy pronto ocupó una posición estable entre los tres cifradores más propagados en Rusia (junto con Trojan-Ransom.Win32.Cryakl y Trojan-Ransom.BAT.Scatter). Según la clasificación de Kaspersky Lab, esta amenaza recibió el veredicto Trojan-Ransom.Win32.Shade. No sabemos qué nombre le dio el autor a este cifrador. Otras compañías antivirus lo detectan bajo los nombres de Trojan.Encoder.858, Ransom:Win32/Troldesh.

El troyano casi no muestra señales de estar evolucionando. Cambian sólo el formato del nombre del fichero cifrado, las direcciones de los servidores de administración y el juego de llaves RSA.

Existen dos formas de enviar este malware al equipo de la víctima: envíos masivos de spam y exploits kits (en particular, Nuclear EK).

En el primer caso la víctima recibe un mensaje que tiene como adjunto un fichero ejecutable malicioso. La infección del sistema ocurre al abrirse el adjunto. Durante la propagación de Trojan-Ransom.Win32.Shade se usan los siguientes nombres de ficheros:

doc_dlea podpisi.com (doc_para firmar.com)
doc_dlea podpisi.rar (doc_para firmar.rar)
documenti_589965465_documenti.com (documentos_589965465_documentos.com)
documenti_589965465_documenti.rar (documentos_589965465_documentos.rar)
documenti_589965465_doc.scr (documentos_589965465_doc.scr)
doc_dlea podpisi.rar (doc_para firmar.rar)
?? ??????????? 308853.scr (no confirmado 308853.scr)
documenti dlea podpisi 05.08.2015.scr.exe (documentos para firmar 05.08.2015.scr.exe)
akt sverki za 17082015.scr (acta de comprobación del 17082015.scr)
Cabe destacar que el nombre del fichero cambia en cada envío y las posibles variantes no se limitan a la lista de arriba.

El segundo modo de propagación (los exploits kits) es más peligroso, en vista de que la infección ocurre sin que el usuario se dé cuenta, cuando visita un sitio web infectado. Puede tratarse del sitio web de los delincuentes o de un recurso completamente legal, pero capturado por los hackers. Lo más frecuente es que el usuario no sepa que el sitio representa peligro. Un código malicioso en el sitio explota una vulnerabilidad en el navegador o sus plugins, y de forma disimulada instala el troyano en el sistema. En este caso, a diferencia del mensaje spam, no es necesario que la víctima lance el fichero ejecutable.

Después de que Trojan-Ransom.Win32.Shade ingresa en el sistema, se conecta a su servidor de administración que se encuentra en la red Tor, informa que ha infectado un sistema y solicita una llave RSA-3072 abierta, que después usará para cifrar los ficheros (más adelante veremos cómo lo hace). Si por alguna razón no logra conectarse, el malware escoge una de las 100 llaves que contiene en su cuerpo, y que fueron puestas precisamente para usarlas en estos casos.

Y empieza a cifrar los ficheros. Cuando está buscando objetos para cifrar, usa la lista estática de extensiones

Una vez terminado el cifrado, pone en el escritorio la siguiente imagen intimidatoria:

http://www.viruslist.com/sp/images/vlpub/crypto_shade_sp_2sp.png

El malware exige por escrito su recompensa en los ficheros README1.txt,, README10.txt. Su contenido siempre luce igual:

http://www.viruslist.com/sp/images/vlpub/crypto_shade_sp_3.png

Los casos de infección provocados por este troyano están más difundidos en Rusia, Ucrania y Alemania. Según los datos de KSN, la geografía de la distribución de Trojan-Ransom.Win32.Shade es la siguiente:

http://www.viruslist.com/sp/images/vlpub/crypto_shade_sp_7.png

Ver información original al respecto en Fuente:
http://www.viruslist.com/sp/analysis?pubid=207271293

NOTA: Variantes del mismo las conocemos como CRYPTODEFENSE y CRYPTOWALL, los cuales tras codificar los ficheros de datos, desaparecen del ordenador. De todas formas recomendamos lanzar el ElistarA en modo seguro Y ELIMINAR los temporales cuando lo pregunta.

saludos

ms, 15-9-2015

Otra variante de este virus infector ha sido encontrada por el ElistarA al detectar un REGEDIT fuera de la carpeta habitual, estando dicho fichero casualmente infectado por dicho virus (como se supone que lo estan muchos mas ficheros del equipo infectado)

El preanalisis de viristotal ofrece el siguiente informe:

MD5 c93193082f52e71ee404dfb018334915
SHA1 7a455e9e061ac4db17a6691b4d4b9373d4971587
File size 626.0 KB ( 641024 bytes )
SHA256: 6b8d1219b953cb185af63f99757492ac4bebb43ce3a84fe6aa55bbb45955447d
File name: REGEDIT.EXE.Muestra EliStartPage v32.90
Detection ratio: 23 / 56
Analysis date: 2015-09-15 09:11:09 UTC ( 3 minutes ago )

0 1

Antivirus Result Update
AVG Win32/Heur 20150915
AVware Virus.Win32.Expiro.dp (v) 20150915
Ad-Aware Win32.Expiro.Gen.4 20150915
Arcabit Win32.Expiro.Gen.4 20150915
Avast Win32:MalOb-FE 20150915
Avira TR/Patched.Gen 20150915
Baidu-International Virus.Win32.Expiro.ns 20150915
BitDefender Win32.Expiro.Gen.4 20150915
ESET-NOD32 a variant of Win32/Expiro.CG 20150915
Emsisoft Win32.Expiro.Gen.4 (B) 20150915
F-Secure Win32.Expiro.Gen.4 20150915
Fortinet W32/Expiro.CG 20150915
GData Win32.Expiro.Gen.4 20150915
Ikarus Virus.Win32.Expiro 20150915
Kaspersky Virus.Win32.Expiro.ns 20150915
MicroWorld-eScan Win32.Expiro.Gen.4 20150915
Microsoft Trojan:Win32/Dorv.A!rfn 20150915
NANO-Antivirus Virus.Win32.Gen-Crypt.ccnc 20150915
Qihoo-360 Win32/Trojan.7d0 20150915
Sophos W32/Expiro-AC 20150915
VBA32 Heur.Trojan.Hlux 20150914
VIPRE Virus.Win32.Expiro.dp (v) 20150915
nProtect Win32.Expiro.Gen.4 20150914

Como puede verse, McAfee aun no lo conoce, por lo que ya les hemos enviado muestra para que añadan su control y desinfección en las proximas versiones del VirusScan

saludos

ms, 15-9-2015

Tras la infeccion de un BOAXXE, hemos tenido serios problemas con el windows casi bloqueado. existiendo dos procesos activos de EXPLORER.EXE y la causa ha sido una DLL que no se dejaba ni tocar, para lo cual hemos tenido que detener todos los procesos y, sin escritorio de windows, acceder con CMD al MSDOS y eliminar manualmente dicha DLL, tras lo cual ya se ha podido volver a reiniciar y lanzar el ElistarA para realizar las operaciones que han terminado de solucionar el problema.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 1cd2383159341ee45516357e1c9d9296
SHA1 ef35be084e325af4557e56ba3d3c770cbc95fb67
File size 272.0 KB ( 278528 bytes )
SHA256: 9d5d3466f79ee10f73a7d6fe3bcff6c190ba85cc51f769f76fb9903b71ac45e1
File name: Getuname dll
Detection ratio: 4 / 57
Analysis date: 2015-09-15 10:45:56 UTC ( 3 minutes ago )

0 1

Antivirus Result Update
Baidu-International Adware.Win32.iBryte.DWYM 20150915
ESET-NOD32 a variant of Win32/Kryptik.DWYM 20150915
Kaspersky HEUR:Trojan.Win32.Generic 20150915
Qihoo-360 HEUR/QVM40.1.Malware.Gen 20150915

Aunque con los problemas consecuentes si no se ha procedido al proceso manual arriba indicado,
Kaspersky es de los pocos que lo detecta, y enviamos muestra a McAfee para que lo añadan a su proxima version del VirusScan

Dicha version del ElistarA 32.94 que lo detecta y elimina, bien tras hacer lo indicado o bien arrancando en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y lanzandolo desde MSDOS, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 15-9-2015

Cuando nos infectamos de un malware, por lo general, este no hace nada más que esperar órdenes de la mano del pirata informáticos. Lo más habitual es que el troyano se conecte de forma remota a un servidor C&C oculto en la red Tor desde el que el pirata informático controlará el software malicioso. Sin embargo los tiempos y las tecnologías cambian, y actualmente cada vez es más común ver cómo los piratas informáticos están empezando a aprovechar el éxito de las redes sociales para llevar a cabo sus ataques y controlar sus herramientas maliciosas a través de ellas, sin levantar sospechas.

La disponibilidad de las APIs oficiales o el desarrollo de APIs piratas permiten que los desarrolladores puedan implementar el uso de las redes sociales dentro de diferentes aplicaciones y juegos. Aunque en la mayoría de los casos el uso de estas APIs es totalmente legítimo, en otras ocasiones los piratas informáticos pueden hacer uso ilegítimo de ellas, por ejemplo, para robar datos y tokens de acceso de los usuarios e incluso para utilizar los servicios de las redes sociales para controlar de forma remota el malware que distribuyen entre los usuarios.

Por ejemplo, piratas informáticos pueden aprovecharse de la mensajería instantánea de estas redes sociales para comunicarse de forma remota con una cuenta, controlada por ellos, y que a su vez está siendo controlada por un virus, troyano o gusano a la espera de los comandos necesarios para activarse y empezar a trabajar.

Twitter - Funcionamiento de la API

Twittor, un backdoor libre que utiliza Twitter como servidor de control

Tal como podemos leer en HackPlayers, Twittor es un troyano backdoor que hace uso de lo anteriormente explicado. Este troyano implementa en él los tokens de acceso de una cuenta de Twitter, con los que inicia sesión para leer la bandeja de mensajes privados a la espera de los comandos necesarios para empezar a trabajar.

Como hemos dicho, este backdoor es libre, y se encuentra disponible en GitHub listo para introducir los credenciales correspondientes y empezar su compilación. Otro troyano similar a Twittor es Gcat, con la diferencia de que este utiliza Gmail como servidor de control en lugar de Twitter.

Otro ejemplo de este tipo de control remoto de malware es mediante el uso de Google Cloud Messaging, un servicio que ofrece Google a los desarrolladores de Android para poder enviar información de forma remota a sus aplicaciones que, en malas manos, permite a piratas informáticos controlar malware desarrollado para este sistema operativo móvil.

Por lo general es muy complicado que los responsables de las redes sociales y servicios utilizados con este fin puedan identificar y bloquear el uso malicioso ya que en la mayoría de las ocasiones las comunicaciones se realizan de forma cifrada y aunque se monitorice la actividad sólo se verán mensajes y códigos aleatorios que, aparentemente, no tienen sentido.

Ver informacion original al respecto en Fuente: http://www.redeszone.net/2015/09/15/aum ... qvPXF.dpuf

Se han publicado nuevas versiones de Bugzilla para solucionar una nueva vulnerabilidad que podría permitir a atacantes remotos conseguir crear cuentas de usuario sin autorización.

http://2.bp.blogspot.com/-5btFXyoorXc/U1Vx8-wq_uI/AAAAAAAAA4g/xqsU5cC24mA/s1600/bugzilla.png

Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.

El problema (CVE-2015-4499) reside en que los nombres de usuario (habitualmente una dirección de correo) de más de 127 caracteres pueden corromperse al grabarse. Esto podría permitir a un atacante crear una cuenta con una cuenta de correo diferente a la solicitada originalmente. De esta forma, la cuenta de usuario puede añadirse de forma automática a grupos para los que el usuario no esté autorizado, basándose en la configuración de expresiones regulares del grupo.

La corrección para este problema se encuentra incluidas en las versiones 4.2.15, 4.4.10, 5.0.1, disponibles desde:
http://www.bugzilla.org/download/

Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2015/09/co ... zilla.html

A partir del ElistarA 32.94 de hoy pasamos a controlar esta nueva variante de malware descargado por un Downloader Upatre

El preanalisis de virustotal ofrece el siguiente informe:

MD5 64eeef505438ed31740034556fc5245d
SHA1 14e206a7718be9c66b66483e22231f1299b79d4d
File size 498.5 KB ( 510464 bytes )
SHA256: ad10967734e179ef6d8fd8e3d6a66d802d2349ccf7b7a20187dc947c54b04092
File name: mownezo.exe.1884.dr
Detection ratio: 25 / 57
Analysis date: 2015-09-15 13:50:15 UTC ( 1 minute ago )

0 1

Antivirus Result Update
AVG Crypt4.CIHH 20150915
Ad-Aware Trojan.GenericKD.2725871 20150915
AhnLab-V3 Trojan/Win32.Agent 20150915
Arcabit Trojan.Generic.D2997EF 20150915
Avast Win32:Malware-gen 20150915
Avira TR/Crypt.Xpack.277728 20150915
BitDefender Trojan.GenericKD.2725871 20150915
Bkav HW32.Packed.C408 20150915
ByteHero Trojan.Malware.Obscu.Gen.002 20150915
ESET-NOD32 a variant of Win32/Kryptik.DWWO 20150915
Emsisoft Trojan.GenericKD.2725871 (B) 20150915
F-Secure Trojan.GenericKD.2725871 20150915
GData Trojan.GenericKD.2725871 20150915
Ikarus Trojan.Win32.Crypt 20150915
K7AntiVirus Trojan ( 004cf7481 ) 20150915
K7GW Trojan ( 004cf7481 ) 20150915
Kaspersky Trojan-Banker.Win32.Dyre.ui 20150915
Malwarebytes Spyware.Dyre 20150915
McAfee Artemis!64EEEF505438 20150915
McAfee-GW-Edition BehavesLike.Win32.BadFile.gc 20150915
MicroWorld-eScan Trojan.GenericKD.2725871 20150915
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150915
Sophos Mal/Upatre-AA 20150915
TrendMicro TSPY_DYRE.XXA 20150915
TrendMicro-HouseCall TSPY_DYRE.XXA 20150915

Dicha versión del ElistarA 32.94 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 15-9-2015

Los anuncios llegan a firefox: la fundación encuentra los primeros patrocinadores

La red tor gana seguridad gracias a los nuevos dominios .onion

Ios 9 mejora la seguridad de sus dispositivos con una doble autenticación mejorada

Nueva variante de adware widgi que pasamos a controlar con elistara

Nueva variante de malware sounder descargado por el downloader que lleva su nombre

Nueva variante de malware upatre descargado por el downloader que lleva su nombre

Nueva variante de javascript kovter, que se controla con elistara pero requiere remate manual

Nueva variante de boaxe be e indicaciones para remate final manual

Nueva/s version/es de utilidad/es elistara 32.93 + elipups 2.42

China, el monstruo cibernetico dormido

La red tor gana sdeguridad gracias a los nuevos dominios onion

Mas mails masivos maliciosos anexando downloader upatre

Twitter se cae en todo el mundo durante casi una hora

Hallan backdoor en sistema operativo del rover curiosity

Mas sobre ransomwares: el malware cifrador shade: una amenaza doble (cryptodefense ... cryptowall)

Variante de virus infector expiro aun no controlada por mcafee (se les ha enviado muestra)

Nueva variante de malware de pronostico reservado que bautizamos como el fichero que crea (en este caso getuname,dll)

Aumenta el uso de las redes sociales para controlar troyanos de forma remota

Corregida vulnerabilidad en bugzilla

Nueva variante de malware descargado por downloader upatre