Quantcast
Channel: Noticias Antivirus - zonavirus.com
Viewing all 16418 articles
Browse latest View live

Conveniencia de instalar el parche 6 del virusscan en todos los sistemas windows (no solo windows 10) con virusscan enterprise 8.8 parche 2 o superior

September 19, 2015, 3:51 am
$
0
0
Si bien dicho parche 6 es imprescindible para el wINDOWS 10, McAfee recomienda instalarlo en todos los sistemas para solventar algunos problemas y aplicar las mejoras correspondientes.


En la Noticia sobre dicho parche, se ofrece informacion al respecto en PD26069 (en inglés):

https://kc.mcafee.com/corporate/index?p ... id=PD26069


cuyo resumen indica:




"776613 Potentially unwanted program detections now correctly trigger during rootkit scanning.

790445 Artemis heuristic detection now correctly triggers during rootkit scanning.

882253 On 64-bit systems, the Unable to connect to McAfee TaskManager service error no longer
occurs when opening the VirusScan Enterprise Console.

893339 On-demand scan tasks that are configured as Run Client Task Now now report the correct
task name as part of the event 1278.

985033 Heap corruption, resulting in scan32/64 process crash, no longer occurs when using
environmental variables other than default %DEFLOGDIR% for the on-demand scan log
path.

1010736 IPv6 addresses in events sent from VirusScan Enterprise now appear correctly in McAfee
ePO.

1012235 The Edit Auto Update Repository List menu item is now available for users in the Admin group
on systems where McAfee Agent is installed to a location other than the default drive.
The McAfee Agent installation path is now derived correctly for custom locations.

1024189 The on-demand scanner no longer loops indefinitely when scanning targets of symbolic
links for which the full paths lengths are greater then 128 characters.

1065653 The Access Protection rule Prevent all programs from running files from the Temp folder in the
Anti-spyware Maximum Protection category now honors exclusions correctly.

1083103 The MAPPREM.DLL (x86 and x64), MMALNOT.DLL (x86 only), and ODSPAUSE.DLL (x86
and x64) files are now installed to Windows 7 (as well as to Windows 8, Windows 8.1,
and Windows 10) systems. These files are required for Windows Store apps to work
correctly after in-place upgrades from Windows 7 to Windows 10.

1085672 The McAfee ePO Event Parser now correctly processes virus detection events from
VirusScan Enterprise."





Aparte de ello, tambien hay mejoras no documentadas, como alguna que hemos visto de mejor procesamiento de algunos pendrives que presentaban mensajes de Error sin dicha actualización, y seguro que otras implicitas al funcionamiento en general del actual VirusScan 8.8, no conocidas.


Lo cual comentamos para aclarar la conveniencia de instalar dicho parche, EN TODOS LOS SISTEMAS WINDOWS, pudiendolo instalar directamente en los equipos con minimo V8.8-Parche 2, y si no hubiera ni este, instalar primero el Parche 2 y luego este Parche 6


Ver información original al respecto en Fuente:
http://www.satinfo.es/noticies/2015/pub ... prise-8-8/

saludos


SATINFO, 18-9-2015
Search

Variante de downloader sounder que llega en fichero con mas de 70 mb de paja

September 19, 2015, 4:23 am
$
0
0
En fichero ZIP msrxjf3.zip de 72,087 MB nos ha llegado este fichero del que hemos extraido la parte activa con solo 116 KB, siendo el resto paja para dificultar su analisis en los analizadores del mercado (como virustotal, que solo admite un maximo de 20 MB)

Lo pasamos a controlar a partir del ElistarA 32.97 de hoy

Extraida dicha parte sensible, el preanalisis de virustotal ofrece el siguiente informe:


MD5 75fdf469e798c7ce55ff5ec007e5921c
SHA1 61eb17e33ea4975f0d429247617c5ff96479945e
File size 116.0 KB ( 118784 bytes )
SHA256: 6804b796b39c380b4043a56bd8339721dc717d9349b79509bcd2d75773594c4f
File name: CODIGO.VIR
Detection ratio: 1 / 56
Analysis date: 2015-09-18 07:49:27 UTC ( 3 hours, 24 minutes ago )

0 1


Antivirus Result Update
Symantec Suspicious.Cloud.5 20150917



Dicha versión del ElistarA 32.97 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy


saludos

ms, 18-9-2015

Nueva/s version/es de utilidad/es elistara 32.97

September 19, 2015, 5:52 am
$
0
0
Para nuevas variantes viricas segun muestras recibidas, hemos desarrollado las nuevas versiones de:





ElistarA


---v32.97-(18 de Septiembre del 2015) (Muestras de (2)AdWare.Wajam y DownLoader.Sounder "MS****.EXE")





Ya se han subido a esta web exclusivamente para pruebas de evaluacion en el foro de zonavirus


saludos

ms, 18-9-2015

La dark web aumenta su seguridad al ser reconocida como “dominio de uso especial”

September 19, 2015, 6:48 am
$
0
0
El dominio .onion, conocido como la Dark Web por ser utilizado para mantener el anonimato en Internet, ha sido añadido a la lista de nombres de dominio de uso especial por el Grupo de Trabajo de Ingeniería de Internet (IETF) y la Corporación de Internet para la Asignación de Nombres y Números (ICANN).

A pesar de que la Dark Net tiene la mala fama de ser un nido de cibercriminales y delincuentes que tratan de aprovechar el anonimato que ofrece para esconder sus acciones maliciosas, en realidad gran parte de sus usuarios son periodistas, activistas o simples ciudadanos de países con gobiernos autoritarios que tienen duras restricciones en el uso de Internet, o que simplemente quieren asegurarse de que sus comunicaciones no sean interceptadas por organizaciones como la NSA.

Es por eso que, al reconocer la legitimidad del dominio .onion, se lo saca del lugar oscuro en el que se encontraba y se lo lleva a un ámbito donde será más fácil tanto regular que su contenido no sea ilegal como mantener la seguridad de sus usuarios.

La característica de uso especial implica que el dominio .onion solo puede usarse en Tor, ya no en la red común, como cuando su estado era de psdeuo-TLD. Esto también abre la posibilidad de generar cifrados y certificados de seguridad específicos para .onion, aumentando así la seguridad y privacidad de sus usuarios. Esto habilita al ecosistema Tor .onion a beneficiarse del mismo nivel de seguridad que puedes obtener en el resto de la web. Agrega una capa de seguridad adicional, explicó Richard Barnes, jefe de seguridad de Firefox.

Las aplicaciones (incluyendo proxies) que implementan el protocolo Tor DEBEN reconocer los nombres .onion como especiales ingresando a ellos de forma directa o mediante un proxy (por ejemplo, SOCKS ). Las aplicaciones que no implementan el protocolo Tor DEBEN generar un error en el uso de .onion y NO DEBEN realizar una búsqueda de DNS, indica parte del documento del IETF que explica su decisión.

fuente

Microsoft ha desarrollado su propia distribución linux

September 19, 2015, 7:00 am
$
0
0
Aunque al leer el título la primera impresión que pueda causar en muchos de vosotros es que existe un error, la realidad es que esto es así y que los de Redmond han estado trabajando en los últimos meses en la creación de una distribución Linux. La distro de Microsoft se habría bautizado como ACS y estaría dedicada a ejecutarse en equipos de red.

Azure Cloud Switch aún se encuentra en fase de desarrollo pero algunas personas involucradas de forma directa en el proyecto son claras respecto a la finalidad de este. Afirman que en un principio se trata de una distribución que está orientada a equipos de red, diseñada en un principio para ser instalada en switches de red. Sin embargo, desde el proyecto no descartan en un futuro que esta llegue a routers u otros equipos de red.

Desde Microsoft creen que a día de hoy existe una gran competencia en lo referido a nivel de hardware en los equipos de red y que estos necesitan una mayor variedad de software. De esta forma los usuarios se beneficiarán de la competencia sana y los equipos rendirán a un mayor nivel.

Sin embargo, los estadounidenses quieren ir un paso más allá.

Microsoft quieren controlar los dispositivos de red gracias a un sistema cloud y ACS

Indican que hoy en día el mantenimiento de los equipos de red resulta una tarea muy tediosa y complicada para el administrador debido al alto volumen de equipos. Sin embargo, los de Redmond quieren simplificar esto y permitir que todos los equipos que posean ACS instalado de controlen desde una plataforma cloud que sea capaz de aglutinar la información de todos y permitir al administrador controlar y hacer modificaciones en cualquier equipos de una forma rápida y sencilla.

En definitiva, lo que pretenden es unificar los gestores de todos los equipos de red que sean posibles y que estos se comuniquen con una plataforma común, que en este caso será cloud.

Separar el software del hardware

Para terminar, desde la compañía han añadido que la finalidad final es que el software no dependa directamente del hardware y que exista cierta libertad para instalar en los equipos de red un software que no tenga porqué ser el del propio fabricante.

Tal y como lo han descrito desde Microsoft podríamos estar ante un caso de Internet de las cosas, interconectando diferentes equipos de red bajo un mismo sistema en la nube.

fuente

Odlanor, el rival de poker online al que no te gustaría enfrentarte

September 19, 2015, 7:07 am
$
0
0
Poker.png
Las apuestas a través de Internet son cada vez más habituales. Desde juegos de azar y deportes hasta la alta competición de cartas, todo cada vez más sencillo y accesible, de manera que cualquiera puede disponer de un completo casino desde su ordenador personal. Los piratas informáticos son conscientes de ello, por lo que muchas de las nuevas amenazas de seguridad están relacionadas directamente con este tipo de plataformas online.

El Poker Online mueve miles de euros al día, por lo que no pasa desapercibido por los piratas informáticos. Al igual que en otras ocasiones, estos piratas desarrollan diferentes técnicas para poder atacar a sus víctimas y poder conseguir una remuneración económica según el tipo de ataque y la finalidad. Obviamente, en el caso de los ataques a través de las plataformas de Poker Online, la remuneración es el dinero de las partidas.

Hace ya tiempo que apareció una de las amenazas más peligrosas para estos jugadores: PokerAgent. Este malware utilizaba las redes sociales para distribuirse entre los usuarios que, una vez infectaba y comprometía un sistema buscaba en él datos de login de las principales plataformas de Poker Online para robar los credenciales de esta cuenta, acceder a ellas de forma remota y robar todo el dinero acumulado en ella. Las versiones finales de este troyano también robaban los datos bancarios asociados a la cuenta.

En esta ocasión, desde la empresa de seguridad ESET advierten de una nueva amenaza para los jugadores de Poker Online: Odlanor. Este nuevo troyano, que ha sido nombrado por la compañía Win32/Spy.Odlanor, permite a los piratas informáticos hacer trampas en las partidas de poker pudiendo saber en todo momento qué cartas tienen sus rivales para así poder elegir la mejor jugada posible.

El modus operandi de este troyano es muy sencillo a la vez que complejo. Cuando el atacante infecta a la víctima, este intenta unirse a la mesa en la que está jugando su víctima, sin que él sepa que su rival puede ver su mano de cartas como si estuvieran descubiertas. Durante la partida, el troyano realiza capturas de pantalla de la mano de su víctima desde la ventana del cliente de poker que envía a su dueño, el pirata informático, cada pocos segundos. De esta manera el atacante puede saber en cada jugada qué mano tiene su rival, pudiendo elegir si jugar, subir la apuesta o retirarse.

odlanor-el-tramposo-del-poker-655x176.png
Por el momento no se sabe si el pirata informático juega de verdad o quien realiza las jugadas es algún tipo de programa automatizado. En las versiones más recientes de este malware el pirata informático hace uso de varias herramientas de NirSoft para robar otro tipo de datos del usuario como credenciales guardados en el navegador.

Las plataformas atacadas por este malware con las dos más grandes de la red: PokerStars y Full Tilt Poker.

Para protegerse de esta amenaza es recomendable mantener nuestro antivirus actualizado y evitar la descarga de archivos desde fuentes no fiables, ya que esta es la principal fuente de distribución del malware.

fuente

Avg comenzará a vender el historial de navegación y búsqueda de los usuarios de su antivirus gratuito

September 19, 2015, 11:55 pm
$
0
0
AVG comenzará a vender el historial de navegación y búsqueda de los usuarios de su antivirus gratuito

La versión gratuita de AVG Antivirus, uno de los productos de seguridad más utilizados del mundo, incurre en una práctica calificada de "spyware" por empresa de seguridad.

Diario TI 18/09/15 10:40:27
La versión gratuita de la herramienta antivirus AVG es uno de los programas para Windows más descargados del mundo. Para muchos usuarios, es el único producto de seguridad informática que tienen instalado en sus computadoras.

El 17 de septiembre, AVG anunció cambios a su política de protección de la privacidad y los datos de sus usuarios, con efecto a partir del 15 de octubre. De las nuevas reglas se desprende que la empresa recolectará indistintamente datos que identifican al usuario, como asimismo datos anónimos, mediante su herramienta antivirus.

Parte de la información está relacionada con la detección de malware, y sobre el uso del producto AVG. Estos datos son utilizados por la empresa para mejorar sus propios productos. Hasta este punto, se trata de procedimientos estándares en el sector.

Sin embargo, con la versión gratuita de AVG la empresa también recolecta una serie de datos adicionales, que son vendidos a terceros. Esta información incluye:

- ID para anuncios, que identifica al dispositivo.
- Historial de navegación y búsquedas, incluyendo meta datos.
- Proveedor de acceso a Internet, o red de telefonía móvil utilizada por el usuario.
- Información sobre otras aplicaciones instaladas en el dispositivo, y la forma en que son utilizadas.

AVG recalca que su intención no es vender información que evidentemente puede identificar al usuario, pero admite que datos como, por ejemplo, el historial de navegación, puede incluir información que identifique al usuario. La empresa asegura que ocultará tales datos, en caso de detectarlos.

El sitio Wired.co.uk consultó al experto en privacidad Alexander Hanff, de la empresa Think Privacy, quien declaró que la venta del historial de navegación y búsquedas por parte de AVG es una actividad clasificable como spyware. Los programas antivirus son ejecutados en nuestros dispositivos con mayores privilegios, precisamente para que puedan hacer su trabajo y detectar y bloquear malware, spyware y otras amenazas, declaró Hanff, a cuyo juicio la venta de tales datos por parte de AVG es poco ética, y un abuso total de la confianza que los usuarios depositan en el software de seguridad.

Por lo anterior, el experto recomienda a los usuarios desinstalar inmediatamente el producto y encontrar una alternativa. En tal sentido, dijo que entre los productos de la competencia también hay versiones gratuitas. Hanff reflexionó además en que el objetivo primordial de toda empresa es ganar dinero, por lo que recomienda informarse sobre el modelo de negocios de la empresa antes de instalar sus productos.

En un foro de PC World donde se discute el tema, un usuario comentó: Si algo es gratuito, tú eres el producto.

Ver informacion original al respecto en Fuente:
Http://diarioti.com

Hackers atacan usuarios particulares con documentos de word

September 20, 2015, 12:37 am
$
0
0
Los ataques cibernéticos entre países se encuentran a la orden del día y en más de una ocasión hemos hablado de hackeos a empresas o órganos de gobierno con la intención de obtener información. Sin embargo, el último ataque de hackers chinos contra Rusia podría decirse que se les ha ido de las manos y está afectando a usuario europeos.


En un principio, el ataque tendría que estar dirigido única y exclusivamente contra las autoridades de dicho país. Sin embargo, desde un primer momento el virus se envió también a usuarios de dicho país y tras una semana de actividad la amenaza se está distribuyendo en varios países de Europa entre los que se encuentra España.

Expertos en seguridad añaden que tras analizar el malware sin lugar a dudas estaba dirigido contra objetivos militares e industrias.

La amenaza se está distribuyendo vía correos electrónicos spam, encontrándose en el cuerpo del mensaje un texto en inglés en el que se detallan varios problemas, como por ejemplo un archivo compartido o un mensaje de un servicio de mensajería que no se ha recibido de forma correcta y para lo cual es necesario realizar la descarga del contenido a través de un enlace indicado en el cuerpo del mismo.

Pero ya se sabe que acceder al contenido ofrecido por medio de un enlace siempre tiene un riesgo adicional.

Los hackers chinos distribuyen el malware utilizando un documento de Word
En esta ocasión se ayudan de un archivo de la suite ofimática de los de Redmond para descargar el ejecutable que instalará el virus. Tal y como suele ser habitual en este tipo de técnicas, los ciberdelincuentes se ayudan de una macro que contiene el script que realizará la descarga.

Sin embargo, estas por defecto están desactivadas y en el documento se puede ver como se indica que debido a que estas se encuentran bloqueadas el contenido no se visualizará de forma correcta, adjuntándose unas instrucciones para que el usuario pueda activarlas con éxito.

Enviar información al servidor de control
Una vez instalado, el malware envía de forma periódica información a un servidor ubicado en china, recopilando sobre todo contraseñas y cualquier tipo de información introducida utilizando el teclado, demostrando que lo que quieren obtener es información almacenada en servicios de correo o de mensajería, no importándoles por ejemplo las imágenes almacenadas en el equipo.

- Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2015/09/18/hac ... gfeFR.dpuf
Search

Criminales detrás del ransomware coinvault fueron capturados por kaspersky lab y la policía holandesa

September 21, 2015, 12:03 am
$
0
0
Los criminales detrás del ransomware CoinVault fueron capturados por Kaspersky Lab y la policía holandesa

El lunes 14 de septiembre, la policía holandesa arrestó a dos jóvenes de 18 y 22 años de edad, provenientes de la ciudad de Amersfoort, Países Bajos. Se les culpa de atacar a usuarios de PCs con el ransomware de CoinVault. Este malware tenía como objetivo a personas de más de 20 países desde el mes de mayo de 2014, a los que bloqueaba sus dispositivos y demandaba un rescate para devolverles sus archivos. La mayoría de víctimas fueron registradas en los Países Bajos, Alemania, Estados Unidos, Francia y Reino Unido.



Desde el año 2014, Kaspersky Lab ha seguido la evolución del malware CoinVault y ha colaborado con la National High Tech Crime Unit (NHTCU, en español, Unidad Nacional de Delitos de Alta Tecnología), de la policía holandesa. El caso es que las muestras del malware tenían frases impecables en holandés a través del binario. Dado que el holandés es una lengua difícil de escribir sin cometer ningún error, nuestros especialistas sospecharon que había una conexión holandesa desde el principio. ¡Y estaban en lo correcto!

En noviembre de 2014, Kaspersky Lab y la policía holandesa, lanzaron el sitio web de noransom.kaspersky.com una herramienta que podía ser utilizada para recuperar archivos cifrados por el ransomware CoinVault. Era la alternativa para las víctimas que habían pagado el rescate a los criminales o que habían perdido sus archivos para siempre.


Después, Kaspersky Lab fue contactado por Panda Security, que había encontrado información sobre muestras de malware adicionales que resultaron ser parientes de Coinvault. Se entregaron análisis completos de las nuevas muestras de ransomware a la policía holandesa. Nuestra colaboración terminó con una detención criminal real.

Estamos contentos de que este tipo de enfoque coordinado se esté construyendo poco a poco dentro de la industria. Muchos expertos en seguridad y compañías de antivirus hacen sus propias investigaciones, pero solo algunas tienen iniciativas de colaboración.

La policía holandesa también ha reconocido que gracias al hecho de trabajar en conjunto con agentes del mercado, es posible detener a más criminales. Actualmente, la epidemia del ransomware es una tortura, básicamente porque solo algunos usuarios consideran este tipo de malware como algo realmente peligroso. Pero nadie se puede esconder para siempre, y tarde o temprano muchos más criminales serán capturados.


Cabe recordar que es mucho más sencillo proteger un ordenador contra malware, que intentar descifrar archivos robados o pagar una recompensa. Mantén tu antivirus siempre actualizado y crea copias de seguridad regularmente en un dispositivo sin conexión a Internet, y podrás dormir tranquilo. Y por favor recuerda: cuando pagas una recompensa, estás alentando a los criminales a que lo sigan haciendo. Además, no te garantiza que tus datos te sean devueltos.

ver informacion original al respecto en Fuente:

Internet de las cosas: intel y mcafee revelan como accederan los hackers a los sistemas de los automoviles

September 21, 2015, 12:22 am

Los administradores que no amaban a sus routers cisco

September 21, 2015, 12:51 am
$
0
0
Los administradores que no amaban a sus routers Cisco

¿Qué es un router? Una cajita con el tamaño suficiente para estorbar en cualquier lugar donde la pongas, (rack del CPD, detrás de un mueble, encima del armario…), llena de cables para que tropieces y que permite que tu red interna se conecte a otras redes internas, entre otros esquemas, para intercambiar información ¿Ingenioso, verdad? Desde pequeñas oficinas (SOHOs) hasta routers frontera de una organización considerable tienen un elemento en común: los instalas, configuras, compruebas que hay conexión y te olvidas de ellos. "Fire and forget" como se diría en la jerga militar.

Ese "y te olvidas de ellos" (voz haciendo eco en tu cabeza) tiene una importante contraprestación: que alguien, en la oceánica inmensidad de la red, saque partido de ese olvido.


Tal vez la cifra parezca ridícula. FireEye detectó 14 routers Cisco con una versión modificada de su firmware original que permite el acceso a la red interna a través de una puerta trasera. 14 routers no son muchos routers, prácticamente nada, una mota de polvo en una tormenta de arena. A lo largo de los días la cifra subió a 79 más, pero como se apunta desde Arstechnica es posible que algunos positivos sean honeypots desplegados por otros investigadores. No es una opción descartable.

De cualquier modo las cifras no deben apantallar la carga explosiva de los hechos. Que una infección no alcance cotas significativas no se traduce en que tengas inmunidad frente a ella.

Hagamos un inciso antes de poner nuestros ojos en el microscopio para ver de cerca al bicho. Seguramente algunos lectores que administren routers Cisco estén en un momento de tensión innecesaria. No se trata de una vulnerabilidad específica de Cisco, no hay ningún gusano suelto (de otro modo las cotas sería exponencialmente superiores). Se sospecha que los autores se están aprovechando de aquellos routers que poseen credenciales de fábrica o contraseñas comunes para acceder al dispositivo. El porqué de Cisco y no otros es posiblemente debido a que este opus diabólico está diseñado exclusivamente para IOS, el sistema operativo de Cisco. Así que si administras Cisco y cambiaste las contraseñas por unas robustas, tranquilo, de lo contrario, si no las cambiaste o pusiste unas débiles…tal vez deberías hacer algunas comprobaciones.


SYNFul Knock


Routers infectados por país. Fuente: zmap.io
El "implante" o SYNFul Knock, como lo llaman en el informe de FireEye, consiste en una imagen de Cisco IOS modificada para permitir el acceso al dispositivo a través de una puerta trasera y capacidad modular para que el atacante pueda cargar funcionalidad acorde al tipo de acción que pretenda realizar.

Lo realmente curioso son los esquemas de comunicación que se han montado los atacantes para interaccionar con el dispositivo. Más que un canal encubierto básicamente se trata de "ofuscar" el modo en el que se accede a las puertas traseras mediante la manipulación de paquetes TCP estándar. Hablamos de ofuscar porque una simple captura de tráfico entre atacante-dispositivo hace saltar las alarmas si te fijas en los detalles. Naturalmente, lo osado es dar con los motivos para hacer tal captura de tráfico.

Llamativo que las puertas traseras solo puedan ser activadas a través de puertos estándar pero sin cifrado, léase: HTTP (a secas), telnet y consola. Se descartan los servicios HTTPS y SSH. El HTTP solo es usado por los atacantes para activar ciertos módulos. Crean un paquete TCP especial, lo envían hacia el puerto 80 y el firmware infectado se encarga de activar el módulo malicioso seleccionado. Si lo que desean es acceder directamente a un terminal de comandos IOS, el sistema de puerta trasera observa si las credenciales son válidas y corresponden a las de un atacante, activando entonces las funciones de puerta trasera (una shell). De lo contrario, las pasa al verdadero sistema de autenticación para que el usuario legítimo no observe nada un comportamiento extraño.

Uno de los factores que tuvieron cuidado de diseñar los autores fue el tamaño característico de la imagen binaria de Cisco IOS. ¿Cómo meter nueva funcionalidad sin engordar el tamaño del firmware? ¿Dieta milagro? No. Básicamente borrando funciones que no eran usadas por el dispositivo objetivo y sustituyéndolas por la funcionalidad maliciosa. Incluso se llegan a borrar algunas cadenas de caracteres de información de IOS por cadenas usadas para el servidor malicioso en HTTP. Algo que, absurdamente, identifica un router como infectado debido a que responde como un servidor Apache sobre un sistema GNU/Linux, pero que hace que el puerto 80 no destaque en escaneos arbitrarios al pasar por un servidor. Es decir, si sospechas de tus routers y escaneas el puerto 80 en busca de cabeceras te das cuenta, pero durante un escaneo rutinario puede pasar por debajo del radar.


Apretones de manos con guantes blancos

La comunicación entre el centro de control y sus tropas desplegadas es digna de detalle.

El router afectado mantiene a la escucha los puertos asociados a su administración. El preámbulo se efectúa con un paquete TCP SYN dirigido al puerto 80 con una constante entre el número de secuencia y el número reconocimiento ("acknowledgment"): 0xC123D.

El SYN-ACK del router responderá con un número diferencial secuencial del anterior: 0xC123E. Los siguientes bytes en las opciones TCP del paquete: "02 04 05 b4 01 01 04 02 01 03 03 05", el puntero URGENT a 0x0001, pero no su bandera correspondiente. También reutilizará el número de reconocimiento del paquete SYN como número de secuencia de su SYN-ACK, número que generalmente es pseudoaleatorio en implementaciones comunes de pila TCP.

Tras el ACK, el centro de control enviará un paquete con las banderas PUSH y ACK activadas, a partir del offset 0x62 la cadena "text" y a 0x67 el comando enviado al router, cifrado trivialmente con XOR.

Este jaleo de intercambios heréticos se inspira en la técnica del port-knocking, secuencias de paquetes modificados para abrir un puerto en un cortafuegos, grosso modo.


Fin de la fiesta

Todas estas características crean una firma perfecta para alimentar los IPS/IDS y determinar si ciertos routers se hayan afectados. El propio equipo de FireEye ya nos provee de herramientas para su detección (interesante también para auditorías, ejem, ejem)

Cisco Router 1841

De entre el grupo de dispositivos afectados sobresalen los siguientes modelos de Cisco:

Cisco Router 1841, 2811 y 3825.

No existe correlación entre la distribución geográfica o una organización determinada, aunque de momento Estados Unidos, Líbano o Rusia son los países que más positivos detectados acumulan, el número es pequeño para sacar conclusiones. Ver el estudio de los autores del escáner ZMap para más información.

Cisco ya venía sospechando de este tipo de esquema de ataque. No en vano el 11 de agosto pasado publicó una entrada en su blog bastante reveladora sobre instalación de firmwares maliciosos.


El maldito abracadabra

"…El castillo se desgranaba ante nuestros ojos. A pedazos. Piedra a piedra. De nada sirvieron sus robustos muros, su abismal foso ni las orgullosas torres que rozaban el mismo cielo. Una sola palabra bastó para que el eco de las montañas devolviera el grito desnudo de un viejo gruñón en una fuerza imperturbable, demoledora. Lo que siglos enteros llevó construir a los hombres iba a ser reducido al polvo, apartado a una amarillenta página de una historia que nadie recordará mañana…en cuestión de minutos..."

Resumiendo sin tanta prosa: Cambia las contraseñas por defecto y olvídate del perro cuando elijas una.

Ver información al respecto en Fuente:
http://unaaldia.hispasec.com/2015/09/lo ... n-sus.html

Vulnerabilidades en la web de starbucks permitiría el robo de credenciales y tarjetas de crédito

September 21, 2015, 10:05 am
$
0
0
Vulnerabilidades en la web de Starbucks permitiría el robo de credenciales y tarjetas de crédito

Mohamed M. Fouad es un investigador independiente de Egipto conocido por descubrir vulnerabilidades en productos de BitDefender, Microsoft, Oracle, Yahoo, eBay, Sony, WordPress y también ESET entre otros. Ahora ha descubierto dos vulnerabilidades en el sitio de Starbucks que permitiría a un atacante el robo de credenciales, información personal y también datos de las tarjetas de crédito de millones de usuarios.


Según Mohamed, la explotación de estos fallos de seguridad permitiría a un atacante remoto forzar a las víctimas el cambio de sus contraseñas, añadir cuentas de correo electrónico alternativas, cambiar determinados ajustes de su perfil e incluso robarles las tarjetas de crédito asociadas a las cuentas de Starbucks.

Primera vulnerabilidad encontrada: Vulnerabilidad de Inclusión Remota de Archivos (RFI)
La primera vulnerabilidad que este investigador descubrió fue una de Remote File Inclusion, este fallo de seguridad permite inyectar un archivo desde cualquier ubicación en la página web de Starbucks y incluirlo como código fuente. De esta forma, se puede ejecutar fácilmente código en el servidor del sitio de Starbucks, de hecho también se puede ejecutar código JavaScript en el lado del cliente lo que puede permitir otros ataques de tipo Cross-Site Scripting (XSS) para robar información a través de phishing.

Gracias a este fallo de seguridad, era posible robar información de las cuentas de los usuarios registrados, incluyendo el historial de pagos y las tarjetas de crédito asociadas al servicio.

Segunda vulnerabilidad: Cross Site Request Forgery
Una vulnerabilidad CSRF consiste en una falsificación de petición en los sitios web, este ataque fuerza al navegador web de la víctima a enviar una petición a una aplicación web vulnerable.

Esta vulnerabilidad encontrada permitiría a un atacante enviar un enlace malicioso para forzar a la víctima a cambiar información de la cuenta en Starbucks, incluyendo su contraseña. De esta forma podría tomar el control del perfil y acceder a los datos bancarios asociados a ella.

En este enlace de Dropbox podréis ver el vídeo de la prueba de concepto de estos graves fallos de seguridad detectados.

Desde Starbucks en agradecimiento a Mohamed por reportar estos fallos de seguridad, le ha incluido en el programa de recompensas. En el blog de Mohamed tenéis todos los detalles sobre estos fallos de seguridad en la web de Starbucks.

Os recomendamos acceder a nuestra página dedicada a la seguridad informática donde encontraréis manuales de cómo proteger nuestros equipos lo máximo posible. Asimismo también os recomendamos acceder a nuestra sección de redes donde tenéis tutoriales para sacar el máximo partido a tu red doméstica.

- Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2015/09/20/vul ... BgIpG.dpuf

Nuevas versiones de bind 9

September 21, 2015, 9:58 pm
$
0
0
Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9.9.8 y 9.10.3, destinadas a solucionar cuatro vulnerabilidades que podrían causar denegaciones de servicio a través de consultas especialmente manipuladas.


El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El primer fallo, con CVE-2015-5722, reside en el tratamiento incorrecto de llaves DNSSEC mal construidas que puede provocar una caída de debido a un fallo en "buffer.c". Un atacante remoto podría provocar esta condición mediante consultas especialmente manipuladas que requieran una respuesta desde una zona remota que deliberadamente contenga una llave maliciosa.

Por otra parte, con CVE-2015-5986, el tratamiento inadecuado de respuestas específicamente manipuladas puede provocar un fallo de comprobación de límites en "openpgpkey_61.c" que causará la caída de named.

También se soluciona una vulnerabilidad, con CVE-2015-5477, en el tratamiento incorrecto de consultas que podría provocar un fallo en message.c. Por último, en servidores configurados para realizar validación DNSSEC, se podría provocar un fallo en respuestas desde un servidor específicamente configurado (CVE-2015-4620).

Estas versiones también incluyen nuevas características, cambios en funcionalidades y múltiples correcciones de fallos no relacionados directamente con la seguridad.

Se recomienda actualizar a las versiones más recientes BIND 9.9.8 y BIND 9.10.3 disponibles en
http://www.isc.org/downloads.
Hay que señalar que la rama 9.9 de BIND ya se encuentra bajo soporte extendido que finalizará en junio del año que viene.

Ver informacion original al respoecto en Fuente:
http://unaaldia.hispasec.com/2015/09/nu ... ind-9.html

Un error en google chrome permite bloquearlo y que deje de funcionar utilizando 16 caracteres o menos

September 22, 2015, 12:34 am
$
0
0
Los fallos en los navegadores web comienzan a ser algo demasiado frecuente que muchas veces expone los datos de los usuarios ante los ciberdelincuntes. Google Chrome es uno de los navegadores más populares en la actualidad y si a esto añadimos la aparición de Windows 10 el resultado es la aparición de una gran cantidad de errores de funcionamiento.


Aunque no está del todo confirmado, parece que el último error y que además resulta bastante curiosos afecta solo a aquellos usuarios que ejecutan el navegador haciendo uso del último sistema operativo de los Redmond, sin embargo, como decimos se trata de un aspecto que no está verificado.

Muchas veces los usuarios nos encontramos con que una página web deja de funcionar y se bloquea y aparece el pantallazo de error del navegador web. El último error detectado por un grupo de expertos produce un resultado similar al detallado con anterioridad.

La introducción de 16 o menos caracteres en la barra de direcciones provoca que dicha pestaña del navegador se bloquee, comportamiento que también ha aparecido en el caso de que un hipervínculo posea este conjunto de caracteres y el usuario pase el puntero por encima de este.

http://a/%%30%30

Por el momento desde el Gigante de Internet no han vertido ningún tipo de comentario al respecto.

Este fallo de Google Chrome no pone en peligro la información del usuario
Expertos en seguridad se han apresurado en analizar el fallo encontrado y han concretado que aunque puede ser molesto, no supone ningún problema de seguridad para los datos del usuario. Por lo tanto, no existe ningún problema si continuamos utilizando el navegador a la espera de que el Gigante de Internet publique una actualización que ponga punto y final al problema.

Pero aunque pueda parecer un caso aislado, en las últimas semanas los usuarios de Google Chrome y Windows 10 han sufrido otros problemas

Imposibilidad para ejecutar el navegador
Hace pocos días algunos usuarios también reportaron problemas para ejecutar el navegador en el nuevo sistema operativo de Microsoft, cerrándose al comenzar a cargar la página de inicio. Desde Google no se ha realizado ningún comentario al respecto, y por parte de Microsoft tampoco se ha vertido ningún tipo de información, por lo que no se sabe si el problema estaba asociado al software o bien se subsanó instalando una actualización del sistema operativo.

- Ver información original al respecto en Fuente:
Google Chrome-permite-bloquearlo-y-que-deje-de-funcionar-utilizando-16-caracteres-o-menos/#sthash.DMV5rDbE.dpuf">http://www.redeszone.net/2015/09/20/un- ... 5rDbE.dpuf

Symantec pillada emitiendo certificados ilegítimos de google.com [eng]

September 22, 2015, 12:51 am
$
0
0
Symantec pillada emitiendo certificados ilegítimos de Google.com


http://media.boingboing.net/wp-content/uploads/2015/09/why-symantec-ssl-certificates-are-1-1-638.jpg

Symantec ha sido pillada emitiendo certificados ilegítimos de Google. La compañía es una de las más importantes en el mundo de la seguridad, y una de las autoridades de certificación más importantes del mundo. La emisión de un certificado ilegítimo para una de las compañías más grandes de Internet - una empresa que se encarga de una cantidad inimaginable de datos sensibles - es una "terrible" noticia.



Ver informacion en ingles original al respecto en Fuente:
http://boingboing.net/2015/09/19/symant ... rogue.html
Search

China pide a las empresas tecnológicas estadounidenses firmar un pacto similar a prism [eng]

September 22, 2015, 1:10 am
$
0
0
http://www.v3.co.uk/IMG/202/169202/chinese-flag-640-540x334.jpg?1438956471

Un compromiso de conformidad expedido por el gobierno chino a las principales empresas de tecnología que operan en el país ha dado lugar a temores de que los datos de los usuarios y la propiedad intelectual peligren. China pide a las empresas de tecnología que garanticen que los productos son "seguros y controlables".

Esto ha provocado temores de que las empresas de tecnología que la firman se vean obligadas a instalar puertas traseras en sus productos a cambio del derecho a comerciar en el tan ansiado mercado chino.

Ver informacion en inglés original al respecto en Fuente:
http://www.v3.co.uk/v3-uk/news/2426708/ ... compliance

Nueva variante de trojan downloader badfile

September 22, 2015, 1:48 am
$
0
0
A partir de la versión 32.98 del ElistarA de hoy, pasamos a controlar esta nueva variante de malware

El preanalisis de virustotal ofrece el siguiente informe:

MD5 7684333b31d04f74a8ed3f4b3a8413c2
SHA1 74df593f908c494cdc599f633362e02614239efb
File size 854.0 KB ( 874496 bytes )
SHA256: 214627c51b74c67461ec5630b720fcd784586cf5cbaa39da873d07dd2ec86292
File name: Hacker Facebook.exe
Detection ratio: 15 / 56
Analysis date: 2015-09-21 08:28:49 UTC ( 12 minutes ago )

0 1


Antivirus Result Update
Bkav W32.HfsAtPSINF.C22E 20150919
Cyren W32/GenBl.7684333B!Olympus 20150921
DrWeb Trojan.DownLoader13.1447 20150921
ESET-NOD32 Win32/Autoit.NXB 20150921
Fortinet W32/Autoit.ETZ!tr 20150921
Ikarus Trojan.Win32.Autoit 20150921
Kaspersky Trojan.Win32.Autoit.etz 20150921
McAfee Artemis!7684333B31D0 20150921
McAfee-GW-Edition BehavesLike.Win32.BadFile.ch 20150921
NANO-Antivirus Trojan.Win32.Autoit.dxdypq 20150921
Panda Generic Suspicious 20150920
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150921
Rising PE:Backdoor.Win32.Gbod.b!1616603 20150920
Sophos Mal/Generic-S 20150921
VIPRE Trojan.Win32.Generic!BT 20150921

Dicha version del ElistarA 32.98 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy


saludos

ms, 21-9-2015

Nueva variante de adware coupon marwel instalado por un downware

September 22, 2015, 3:51 am
$
0
0
Otra variante de este adware pasa a ser controlada a partir del ElistarA 32.98 de hoy


El preanalisis de virustotal ofrece el siguiente informe:



MD5 cadb65aada5f28ff40222152b006e06f
SHA1 c5551d175c76cec3857cb1f338f125b59afbdaf7
File size 468.5 KB ( 479744 bytes )
SHA256: 619f5cd42f43c35dd323765669b40c50203447f0e8af13e5db7d9031b9b1a850
File name: NSISHelper(1).dll
Detection ratio: 2 / 57
Analysis date: 2015-09-21 10:46:36 UTC ( 0 minutes ago )

0 1


Antivirus Result Update
AhnLab-V3 PUP/Win32.Helper 20150921
ESET-NOD32 a variant of Win32/Adware.CouponMarvel.Q 20150921



Dicha versión del ElistarA 32.98 que lo detecta y elimina, estará dispooinible en nuestra web a partir de las 19 h CEST de hoy


saludos

ms, 21-9-2015

El ejército ruso atacado, posiblemente por un grupo de hackers chino

September 22, 2015, 3:54 am
$
0
0
La campaña también ha afectado a compañías rusas de telecomunicaciones y, como daños colaterales, a analistas financieros que cubren en ruso el sector de telecomunicaciones para empresas financieras globales, según la empresa Proofpoint Inc.

Miembros del ejército ruso han estado recibiendo correos de phising perfectamente desarrollados desde mediados de verano. Los atacantes usan herramientas en idioma chino e instalaciones de mando y control chinas, según un informe presentado ayer..

El ataque comienza con un correo perfectamente escrito en ruso que parece proceder de alguien de la misma entidad militar o de un analista del mismo grupo militar. Viene con un documento, un archivo de Microsoft Word, con un artículo publicado sobre la historia de pruebas militares en Rusia. Es un documento señuelo, ha afirmado Kevin Epstein, vicepresidente de Proofpoint Inc . Lo abres, lo lees y piensas que es interesante. Luego lo cierras y te olvidas. Pero cuando lo cierras se activa una macro, y la macro ejecuta un segundo fichero para bajar un tercer fichero que es el material dañino.

Entonces es cuando el malware toma el control del ordenador, y todo a lo que tenga acceso el usuario, los atacantes tienen acceso. Ningún programa antivirus detectaría un virus en el documento porque no hay virus en el documento, ha afirmado. Y la ejecución cuando se cierra el documento es una técnica común anti-detección, pues la mayoría de los sistemas de sandboxing hacen el chequeo cuando el documento está abierto, no cuando está cerrado.

Según Epstein, empleados de su empresa de habla rusa afirman que el correo es muy convincente, y que no hay nada en él que sea sospechoso a primera vista, por lo que cualquiera podría abrirlo.

En el pasado, se ha relacionado al mismo grupo de ciberdelincuentes con ataques a instalaciones militares en Asia Central.

La atribución de los ataques es siempre compleja, pero hay una utilización significativa de herramientas en idioma chino, y el mando y control va siempre a sitios situados en áreas de influencia china, ha afirmado Kevin Epstein, vicepresidente de Proofpoint Inc. Esto significaría que los autores son probablemente chinos, pero siempre existe la posibilidad de que algún otro grupo este intentando de forma deliberada de culpar a los chinos.

Ver informacion original al respecto en Fuente:
http://www.ciospain.es/finanzas/el-ejer ... tor=EREC-1

Nueva variante de adware ssfk (pup) instalado por un downware

September 22, 2015, 4:01 am
$
0
0
Otra variante de este adware pasa a ser controlada a partir del ElistarA 32.98 de hoy


El preanalisis de virustotal ofrece el siguiente informe:


MD5 4423fca13431be9390f145114a1d7ed8
SHA1 f8cef6519d8a289082099a94d86edae3d2c94f28
File size 415.5 KB ( 425472 bytes )
SHA256: 80a4ef8322209542b031d2014b8f4d740f7e94a82e46965f52833c3526ba37d2
File name: SFKEX64.dll
Detection ratio: 2 / 57
Analysis date: 2015-09-21 10:55:23 UTC ( 2 minutes ago )

0 1

Antivirus Result Update
ESET-NOD32 a variant of Win64/ELEX.C potentially unwanted 20150921
GData Win32.Application.Elex.P 20150921

Dicha versión del ElistarA 32.98 que lo detecta y elimina, estará dispooinible en nuestra web a partir de las 19 h CEST de hoy


saludos

ms, 21-9-2015
Viewing all 16418 articles
Browse latest View live
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>