Nueva historia con keylogger virata, crea carpeta "imborrable" donde guarda sus malwares y los datos capturados

January 5, 2017, 7:11 am

≫ Next: Variante de vbs.miner que nos ha llegado incompleto

≪ Previous: La policía lanza el ciberexpert para evitar delitos informáticos

$

0

0

Un nuevo engendro diferente de todos los conocidos hasta la fecha, realiza operaciones singulares, quedando residente e instalando varias claves de registro que lanzan al malware en RUN, RUNONCE, al que copia con el nombre de SVCHOST.EXE y DWN.EXE en la misma carpeta "imborrable" que crea en:

%Datos de Programa%\ lpt6.{17cd9488-1228-4b2f-88ce-4298e93e0966}\


Y donde guarda tambien el fichero Keys.c, con los datos de las acciones del usuario y teclas pulsadas por el mismo.

Dicho SVCHOST.EXE, copia del malware, tambien lo guarda en :

%WinIni%\ svchost.exe
%WinTmp%\ svchost.exe

Lo especial de este keylogger es que reside en una carpeta de dificil eliminación, tanto es así que la definen como "imborrable", aunque con técnica y método logramos acceder a ella, y eliminar su contenido malware, que es lo que importa.

Lo pasamos a controlar a partir del ElistarA 35.94 de hoy

El preanalisis de virustotal ofrece el siguiente informe:


MD5 7946a693aa0c8ceb48a314c4a198b1e1
SHA1 edc40b23bf4dd3bf0a7c3c47b2a73094700af9f3
File size 204.0 KB ( 208896 bytes )
SHA256: dd706516a433b11d7f775eaecc0d549d2c3a5916ad64207c101d84fcc9d7d76d
File name: dwn.exe
Detection ratio: 26 / 56
Analysis date: 2017-01-04 14:52:45 UTC ( 1 minute ago )
0
2

Antivirus Result Update
AVG Inject3.BPLB 20170104
Ad-Aware Trojan.GenericKD.4119935 20170104
AegisLab Troj.Dropper.Vb!c 20170104
AhnLab-V3 Trojan/Win32.Injector.C1733516 20170104
Antiy-AVL Trojan/Win32.TSGeneric 20170104
Avast Win32:Malware-gen 20170104
Avira (no cloud) TR/Dropper.VB.nntiu 20170104
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9591 20170104
BitDefender Trojan.GenericKD.4119935 20170104
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20161024
ESET-NOD32 a variant of Win32/Injector.DJJI 20170104
Emsisoft Trojan.GenericKD.4119935 (B) 20170104
Fortinet W32/Injector.DJJH!tr 20170104
GData Trojan.GenericKD.4119935 20170104
Ikarus Trojan.Win32.Injector 20170104
Invincea virtool.win32.injector.fq 20161216
K7AntiVirus Trojan ( 00501cb21 ) 20170104
K7GW Trojan ( 00501cb21 ) 20170104
Kaspersky UDS:DangerousObject.Multi.Generic 20170104
Malwarebytes Trojan.MalPack.VB 20170104
McAfee RDN/Generic.grp 20170104
McAfee-GW-Edition BehavesLike.Win32.Trojan.dz 20170104
Microsoft Trojan:Win32/Dynamer!ac 20170104
Sophos Troj/Mdrop-HRZ 20170104
Symantec Trojan.Zbot 20170104
TrendMicro-HouseCall TROJ_VBKRYPT.PURC 20170104

Dicha versión del ElistarA 35.94 que lo detecta y elimina, estará disponible en nuestra web a partir del 5-1-2017


saludos

ms, 4-1-2017

---

Variante de vbs.miner que nos ha llegado incompleto

January 6, 2017, 12:48 am

≫ Next: Nueva/s version/es de utilidad/es elistara 35.94

≪ Previous: Nueva historia con keylogger virata, crea carpeta "imborrable" donde guarda sus malwares y los datos capturados

$

0

0

VARIANTE DE VBS.MINER QUE NOS HA LLEGADO INCOMPLETO, PERO QUE PASAMOS A CONTROLAR LO RECIBIDO, CON LO QUE QUEDA INUTILIZADO EL MALWARE

Hemos recibido tres ficheros VBS cuyo MD5 es el siguiente:

"309E4806EC5C609A33FE7F739BAD2A7B" -> helper.vbs 2187
"9AE0E85C4C4FD4F6167F45AF65CC3879" -> installer.vbs 3667
"53C9B22CB0A40A126C8422362C2F78D8" -> movemenoreg.vbs 1703

Monitorizandolos en conjunto vemos que llaman a un EXE (WINDOWSSERVICE.EXE) que no nos han enviado, y que suponemos que es el lanzamiento del malware propiamente dicho, pero en su defecto, pasamos a controlar estos tres VBS con lo que queda anulada la mala intención del conjunto.

El preanalisis de virustotal de uno de los VBS indicados, ofrece el siguiente informe:_

MD5 309e4806ec5c609a33fe7f739bad2a7b
SHA1 6ad97c437d533bcb8643780317d74c0549ee6b83
File size 2.1 KB ( 2187 bytes )
SHA256: 68afc08e23b2099bd5f67c3a5473e8fd9c1f564ee8904ec9c3206ed685d7e67f
File name: helper.vbs
Detection ratio: 35 / 55
Analysis date: 2017-01-05 08:28:37 UTC ( 6 minutes ago )
0
2

Analysis
Additional information
Comments
Votes

Antivirus Result Update
ALYac Vbs.Worm.KJA 20170105
Ad-Aware Vbs.Worm.KJA 20170105
AegisLab Vbs.Miner.Cpm!c 20170105
AhnLab-V3 VBS/Agent 20170105
Antiy-AVL Trojan/Win32.TGeneric 20170105
Arcabit Vbs.Worm.KJA 20170105
Avast VBS:Agent-BQW 20170105
Avira (no cloud) VBS/Agent.2858 20170105
Baidu VBS.Worm.Agent.uj 20170105
BitDefender Vbs.Worm.KJA 20170105
CAT-QuickHeal JS.Agent.GD 20170104
Comodo UnclassifiedMalware 20170105
Cyren Trojan.UDIJ-3 20170105
DrWeb VBS.BtcMine.13 20170105
ESET-NOD32 VBS/Agent.NKG 20170105
Emsisoft Vbs.Worm.KJA (B) 20170105
F-Secure Vbs.Worm.KJA 20170105
Fortinet VBS/Agent.NKG!tr 20170105
GData Vbs.Worm.KJA 20170105
Ikarus Worm.VBS.Agent 20170104
K7AntiVirus Trojan ( 0001140e1 ) 20170105
K7GW Trojan ( 0001140e1 ) 20170105
Kaspersky Worm.VBS.Agent.gl 20170105
McAfee VBS/Miner.a 20170105
McAfee-GW-Edition VBS/Miner.a 20170105
eScan Vbs.Worm.KJA 20170105
Microsoft Trojan:VBS/Movanide.B 20170105
Panda VBS/Autorun.IQH 20170104
Qihoo-360 virus.vbs.gen.1 20170105
Rising Worm.Agent!8.25-lfhbPfm142H (cloud) 20170105
Sophos Troj/Miner-BH 20170105
Symantec PUA.Bitcoinminer 20170105
Tencent Vbs.Worm.Agent.Liha 20170105
TrendMicro VBS_MINER.CPM 20170105
TrendMicro-HouseCall VBS_MINER.CPM 20170105

Dicha versión del ElistarA 35.95 que lo detecta y elimina, estará disponiblñe en nuestra web a partir del 6-1-2017


saludos

ms, 5-1-2016

Nueva/s version/es de utilidad/es elistara 35.94

January 6, 2017, 4:17 am

≫ Next: Otro keylogger virata como el de ayer, cuya noticia sugerimos releer

≪ Previous: Variante de vbs.miner que nos ha llegado incompleto

$

0

0

Para nuevas variantes víricas según muestras recibidas, hemos desarrollado las nuevas versiones de:





ElistarA


---v35.94-( 4 de Enero del 2017) (Muestras de (3)Ransom.Cerber4 "*.exe", (5)BackDoor.Kirts "win***.exe", DownLoader.Sounder "MS****.EXE", Worm.Kasidet.A, (10)Malware.Lisec, Keylogger.Fynloski "1234.exe", Keylogger.Virata "dwn.exe", (3)VBS.Miner "helper.vbs, installer.vbs y movemenoreg.vbs")







Ya se han subido a esta web exclusivamente para pruebas de evaluación en el foro de zonavirus



saludos

ms, 5-1-2017

Otro keylogger virata como el de ayer, cuya noticia sugerimos releer

January 6, 2017, 4:33 am

≫ Next: Nueva variante de backdoor netwired, del mismo fabricante que los virata

≪ Previous: Nueva/s version/es de utilidad/es elistara 35.94

$

0

0

Otra variante de este keylogger que descubrimos ayer, y para el que ya desarrollamos nuevos métodos en el ElistarA 35.94 para poder acceder a la carpeta "imborrable" y eliminarla con todo su conmtenido, nos ha llegado hoy, si bien este en lugar de nombre original Virata indica Kila.exe, pero es mas de lo mismo, un keylogger de cuidado !

Lo pasamos a controlar a partir del ElistarA 35.95 de hoy

El preanalisis de virustotal ofrece el siguiente informe:


MD5 aed05c8ac20f9acf6856378e57d1ad5b
SHA1 699282f02c544753186732613d4a73ac8d2b3d4d
File size 208.0 KB ( 212992 bytes )
SHA256: 9f4b413dc73ba624fdf82ed5cc2623d2a53ac3e74485b193c3bd44fb3f2e759c
File name: dwn(02).exe
Detection ratio: 20 / 56
Analysis date: 2017-01-05 12:21:01 UTC ( 4 minutes ago )
0
1

Antivirus Result Update
AVG Atros4.BUES 20170105
Ad-Aware Trojan.GenericKD.4126669 20170105
Avast Win32:Malware-gen 20170105
Avira (no cloud) TR/AD.KoInject.rcfqr 20170105
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9784 20170105
BitDefender Trojan.GenericKD.4126669 20170105
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20161024
ESET-NOD32 a variant of Win32/GenKryptik.QBG 20170105
Emsisoft Trojan.GenericKD.4126669 (B) 20170105
F-Secure Trojan.GenericKD.4126669 20170105
Fortinet W32/GenKryptik.QBG!tr 20170105
GData Trojan.GenericKD.4126669 20170105
Ikarus Trojan.Win32.Krypt 20170105
Invincea generic.a 20161216
K7AntiVirus Trojan ( 00501da31 ) 20170105
K7GW Trojan ( 00501da31 ) 20170105
Malwarebytes Trojan.VBCrypt 20170105
eScan Trojan.GenericKD.4126669 20170105
Symantec Trojan Horse 20170105
Tencent Win32.Trojan.Generic.Lrsa 20170105

Dicha version del ElistarA 35.95 que lo detecta y elimina,e stará disponible en nuestra web a partir del 6-1-2017


saludos

ms, 5-1-2017

Nueva variante de backdoor netwired, del mismo fabricante que los virata

January 6, 2017, 6:00 am

≫ Next: Desde chile (sudamerica) llega este nuevo troyano bancario pazera

≪ Previous: Otro keylogger virata como el de ayer, cuya noticia sugerimos releer

$

0

0

Si bien de este de ahora ya teníamos una variante anterior, por ello lo ha cazado la heuristica del ElistarA, vemos que, sin tener la misma tecnica, es del mismo fabricante de los Virata de ayer y hoy, segun indica en Organización: Sang-Sisoft GMBH

Crea la carpeta INSTALL en Datos de programa, donde copia el fichero Host.exe y otro de datos con nombre .Identifier

Lo pasamos a controlar a partir del ElistarA 35.95 de hoy

El preanalisis de virustotal ofrece el siguiente informe:


MD5 2ae9838e26ccbb69064c575159ee8816
SHA1 97e3894cec1730ce86a65e3291036f1b3aef8c43
File size 200.0 KB ( 204800 bytes )
SHA256: afab869f995ada778a9c88f421d436629d241fc86fd4dbd9001d0b4c7cdab77f
File name: Host(03).exe
Detection ratio: 39 / 55
Analysis date: 2017-01-05 13:25:32 UTC ( 15 minutes ago )
0
1

Antivirus Result Update
AVG Inject3.BOOX 20170105
AVware Trojan.Win32.Generic!BT 20170105
Ad-Aware Trojan.GenericKD.3950058 20170105
AegisLab Troj.Generickd!c 20170105
AhnLab-V3 Trojan/Win32.Injector.R192322 20170105
Arcabit Trojan.Generic.D3C45EA 20170105
Avast Win32:Malware-gen 20170105
Avira (no cloud) TR/AD.NetWiredRc.jbasy 20170105
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9555 20170105
BitDefender Trojan.GenericKD.3950058 20170105
CAT-QuickHeal Trojan.Dynamer 20170105
CrowdStrike Falcon (ML) malicious_confidence_91% (W) 20161024
Cyren W32/VB.PD.gen!Eldorado 20170105
ESET-NOD32 a variant of Win32/Injector.DJAF 20170105
Emsisoft Trojan.GenericKD.3950058 (B) 20170105
F-Prot W32/VB.PD.gen!Eldorado 20170105
F-Secure Trojan.GenericKD.3950058 20170105
Fortinet W32/Injector.DJAF!tr 20170105
GData Trojan.GenericKD.3950058 20170105
Ikarus Trojan.Win32.Injector 20170105
Invincea virtool.win32.injector.fq 20161216
K7AntiVirus Trojan ( 005010031 ) 20170105
K7GW Trojan ( 005010031 ) 20170105
Kaspersky UDS:DangerousObject.Multi.Generic 20170105
McAfee RDN/Generic PWS.y 20170105
McAfee-GW-Edition RDN/Generic PWS.y 20170105
eScan Trojan.GenericKD.3950058 20170105
Microsoft Trojan:Win32/Dynamer!ac 20170105
NANO-Antivirus Trojan.Win32.AD.ejzpkd 20170105
Panda Trj/GdSda.A 20170104
Qihoo-360 Win32/Sorter.AVE.70BackdoorSlider.A 20170105
Sophos Mal/Generic-S 20170105
Symantec Trojan Horse 20170105
Tencent Win32.Backdoor.Netwire.Kiuy 20170105
TrendMicro TSPY_FAREIT.YYTDC 20170105
TrendMicro-HouseCall TSPY_FAREIT.YYTDC 20170105
VIPRE Trojan.Win32.Generic!BT 20170105
ViRobot Trojan.Win32.Z.Injector.204800.LS 20170105
Yandex Trojan.Injector!BiFnCh/6tJo 20170105

Dicha versión del ElistarA 35-95 que lo detecta y elimina, estará disponible en nuestra web a partir del 6-1-2017

saludos

ms, 5-1-2'17

Desde chile (sudamerica) llega este nuevo troyano bancario pazera

January 6, 2017, 8:28 am

≫ Next: Se filtra el diseño de neon, la próxima interfaz de windows 10

≪ Previous: Nueva variante de backdoor netwired, del mismo fabricante que los virata

$

0

0

Pazera, un troyano para entidades chilenas

Muchos están de vacaciones durante estas fiestas, sin embargo los creadores de malware no descansan. El "regalo" navideño viene en forma de un nuevo malware bancario especialmente dirigido a múltiples entidades Chilenas, que llega a través de un correo que suplanta la Policía chilena y en un fichero comprimido.

El correo que recibe el usuario se hace pasar por el PDI (Policía de Investigaciones de Chile), con un mensaje alarmante:

"Atencion Ciudadano, Citacion para comparecimiento ante el tribunal de justicia. - ( 82495995797 )
Atencion!
Citacion para comparecimiento ante el tribunal de justicia de la comunidad de maipu, en Audiencia publica No.005481101-2017 el Dia 13/01/2017. Numero de proceso N. 58118026 - 2017
Para mas informacion vea el anexo online en el siguiente sitio.
datos sobre citacion:: Vea_Aqui_Su_citacion_2017.zip
Copyright Policia De Investigaciones de Chile -PDI,
Departamento de Tecnologia e Informacion –"


Formato del correo recibido

En un principio, el archivo comprimido incluido contiene un archivo JavaScript ofuscado, de manera que es complejo entender su funcionamiento. Tras observar con detenimiento se tiene una idea clara de su comportamiento.


Fragmento de código ofuscado del Downloader (JS)
Lo primero de todo, es que se conecta a distintos puntos para obtener los archivos necesarios, siendo en este caso un archivo comprimido de nombre aleatorio y protegido con contraseña. Paralelamente, se descarga un archivo binario que en principio no presenta maldad alguna, concretamente un portable de 7-Zip. Este extractor se utiliza para descomprimir el binario final utilizando la contraseña pazera2012.


Rutas de descarga de los archivos (Downloader)
Al desofuscar un poco el código, también podemos ver las rutas utilizadas para guardar el binario final.

A pesar de todo, desde que se subió el binario a VirusTotal, no cuenta con muchas detecciones:


Detecciones en VirusTotal de la muestra
El modus operandi de este malware o pazera, por llamarlo de alguna forma, es el de inyectarse en Internet Explorer para obtener las credenciales que busca. En este caso, observa constantemente el texto de los títulos de pestañas y de las URLs que visitamos hasta dar con uno de sus objetivos. Podemos ver un ejemplo de lo que captura, en este caso se probó a buscar Santander Chile en Bing, sabiendo que Santander es una de las entidades afectadas, y vemos que la información es capturada por el malware...


Fragmento de capturas obtenidas por el Malware

Entre las entidades afectadas, se encuentran:
ScotiaBank
Banco Falabella (Chile)
Corpbanca
BBVA Chile
Santander Chile

Con todo esto, los accesos remotos a los que conecta son de origen brasileño, por lo que es muy posible que un atacante de dicho país esté detrás de esta campaña.

Ante este tipo de amenazas donde los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.

El preanalisis de virustotal, ofrece el siguiente informr:
https://www.virustotal.com/en/file/b3c6 ... /analysis/

MD5 8cc2a9f7846ce192eb3a60971e66d04c
SHA1 089c7466d53f1ab4712e826afbf88a81c4fb4231
SHA256 b3c6862052dc2788b4f285bcec25ebaaf64c7ebe310cd64602170d7d62be219e
ssdeep98304:saZtfNJfInJ9VGKnxj+pRpURqFLzGHn+NwDydN6lbs2x:sShDoJ9VGUapRpUyCe2iOb7
authentihash c68fbd17c0e51deda19bb8678e50f42236db79c91b385ef3cbdde9750dda5368
File size 4.7 MB ( 4908544 bytes )

Se filtra el diseño de neon, la próxima interfaz de windows 10

January 7, 2017, 9:34 am

≫ Next: Múltiples vulnerabilidades en productos kaspersky

≪ Previous: Desde chile (sudamerica) llega este nuevo troyano bancario pazera

$

0

0

e2f75d_707-windows-neon_news.jpg
El programa de actualizaciones de Windows 10 tiene en camino una notable revisión de la interfaz gráfica del sistema operativo de Microsoft. Esta iniciativa, conocida en clave interna como Project Neon, lleva circulando por los mentideros de Internet desde hace meses, y ahora podemos conocer su aspecto básico gracias a una filtración publicada por el sitio MSPowerUser.

Las imágenes obtenidas por MSPowerUser no son capturas reales del sistema operativo, sino imágenes conceptuales que muestran el nuevo look de Windows. Como tal, es posible que el aspecto de Neon sea sensiblemente distinto cuando se haga oficial.

050117183954_0.jpg

Lejos de tratar de reinventar la rueda como infaustamente trató Windows 8, Project Neon tomará el lenguaje de diseño de Windows 10 y lo modernizará con una curiosa mezcla de estilos. Una inspección superficial revela la clara inspiración en el tema Aero Glass de Windows 7, pero también hay toques del antiguo software de Zune (que todavía tiene sus fans a pesar de haber sido descontinuado hace años) y las primeras versiones de Windows Phone, aunque sin llegar a ser una interpretación de Metro adaptada para su uso con teclado y ratón.

Un componente importante en Neon será lo que los diseñadores de Microsoft han bautizado como Acrylic, que no es otra cosa que la capacidad de la interfaz para desenfocar el fondo o las barras laterales de las aplicaciones para transmitir una cierta sensación de profundidad. El impacto visual de Acrylic se aprecia mejor en las abundantes animaciones de Neon (Connected Animations según Microsoft), que curiosamente han sido avanzadas de tapadillo por Microsoft a través de Groove Music, que ya incorpora algunos de los efectos gráficos.

050117183954_1.jpg

Otros elementos importantes como la barra de tareas también serán objeto de revisiones, aunque no parece que Microsoft vaya a perder aquí mucho tiempo. Las ventanas y la interacción con las mismas serán el fuerte de Neon según MSPowerUser, sacando partido a los visores de realidad virtual para facilitar un uso sencillo e inmersivo de Windows utilizando HoloLens (aunque cabe suponer que cualquier visor basado en la plataforma Windows Holographic funcionará sin problemas).

Asumiendo que las informaciones publicadas, Project Neon formará parte de la actualización Redstone 3 de Windows 10, que debería estar disponible después de Redstone 2, alias Creators Update.


fuente

Múltiples vulnerabilidades en productos kaspersky

January 7, 2017, 10:53 am

≫ Next: Nuevo ransomware cifra los datos sin ofrecer recuperarlos

≪ Previous: Se filtra el diseño de neon, la próxima interfaz de windows 10

$

0

0

Kaspersky_logo.png
Se han anunciado múltiples vulnerabilidades en diferentes productos Kaspersky que podrían permitir a atacantes remotos evitar la validación de certificados o a usuarios locales obtener una llave SSL privada.

Se ven afectados los productos:
Kaspersky Anti-Virus 2016, 2017
Kaspersky Internet Security 2016, 2017
Kaspersky Total Security 2016, 2017
Kaspersky Small Office Security 4, 5
Kaspersky Fraud Prevention for Endpoints 6.0
Kaspersky Safe Kids for Windows 1.1
Kaspersky Endpoint Security for Mac

Los problemas fueron reportados por el conocido Tavis Ormandy de Google Project Zero. No es la primera vez que este investigador se centra en productos de seguridad, y más concretamente en Kaspersky. En esta ocasión el problema reside en la característica de inspección de tráfico SSL/TLS que los antivirus Kaspersky usan para detectar potenciales riesgos escondidos dentro de las conexiones cifradas.

error_validacion_cert_k.png

Un usuario local puede obtener una llave privada empleada para gestionar conexiones SSL y construir ataques contra las conexiones SSL iniciadas por el navegador del usuario atacado.

Cuando el usuario atacado confía explícitamente en un certificado SSL no válido para un determinado sitio, es posible que un usuario remoto pueda omitir las advertencias de validación de certificados de los sitios enumerados en los Subject Alternative Names del certificado SSL no válido original.

Por último, un usuario remoto que pueda realizar un ataque de hombre en el medio podría aprovechar un error en la caché del certificado SSL para acceder a conexiones SSL iniciadas por el navegador del usuario de destino para un sitio.

Kaspersky ha publicado actualizaciones para los siguientes productos:
Kaspersky Anti-Virus 2016, 2017
Kaspersky Internet Security 2016, 2017
Kaspersky Total Security 2016, 2017
Kaspersky Small Office Security 4, 5
Kaspersky Fraud Prevention for Endpoints 6.0
Kaspersky Endpoint Security for Mac
La corrección se incluyo a través de la autoactualización el pasado 28 de diciembre. Se recomienda actualizar los productos afectados.

fuente

---

Nuevo ransomware cifra los datos sin ofrecer recuperarlos

January 7, 2017, 11:06 am

≫ Next: Peligros de las redes sociales

≪ Previous: Múltiples vulnerabilidades en productos kaspersky

$

0

0

Nuevo ransomware cifra los datos sin ofrecer recuperarlos

Una de las amenazas, DeriaLock, es un ransomware que muta en cuestión de horas. La segunda, PHP Ransomware, cifra los datos sin ofrecer opción alguna para recuperarlos

El ransomware es uno de los métodos de ataque más comunes y efectivos en la actualidad, y todo indica que esta tendencia no cambiará a corto plazo. En noviembre, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), el mayor proveedor mundial especializado en seguridad, descubrió que el número de secuestros de datos online había crecido: su Índice de Amenazas Global indicaba que el número de ataques usando Locky y Cryptowall había aumentado un 10%.

El equipo de investigadores de amenazas de Check Point revela el descubrimiento de dos nuevas familias, así como sus correspondientes soluciones de descifrado, que pueden ayudar a las víctimas a recuperar de forma gratuita sus datos perdidos. Check Point es partner del proyecto No More Ransom (NMR), cuyo objetivo es luchar contra la epidemia del secuestro digital. Por ello, las nuevas herramientas de descifrado son de uso público.

DeriaLock: Ransomware que muta en cuestión de horas

DeriaLock es un peculiar malware que ha evolucionado de manera muy rápida. Cuando apareció por primera vez el 24 de diciembre de 2016, lo único que hacía era tomar el control de la pantalla de la víctima e impedirle acceder a su ordenador. Era una molestia, pero no causaba daños reales. Dos días después, se descubrió otra variante. Esta vez incluía un mecanismo de cifrado de archivos, y amenazaba a los usuarios con borrar todos sus ficheros si reiniciaban sus equipos.

Karsten Hahn, el analista de malware que descubrió por primera vez DeriaLock, señaló en Twitter que esta era una amenaza vacía. Al menos durante unas horas, hasta que la última variación del ransomware apareció. La versión actual incluye todas estas funciones: bloqueo de pantalla, cifrado de archivos y eliminación de ficheros después de reiniciar.

En este momento, la demanda de rescate es de sólo 30 dólares, un precio no muy alto en comparación con otras familias activas. Los investigadores de Check Point han encontrado una manera de explotar varios defectos en su programación. Esto les ha permitido crear herramientas de descifrado que ayudan a las víctimas a recuperar sus archivos y evitar tener que pagar.

2 – PHP Ransomware

El equipo de investigadores de Check Point también ha descubierto un nuevo ransomware en forma de un script PHP. La primera vez que lo encontraron fue accediendo al dominio hxxp://med-lexcom. Aunque esta amenaza encripta los archivos de la víctima, no es exactamente un ransomware per se.

A diferencia de la mayoría del malware de secuestro de datos más populares, este script no muestra ninguna nota de rescate ni intenta recibir un pago para descifrarlos archivos. Por el contrario, sólo los cifra sin ofrecer ninguna opción para recuperarlos. Tampoco se intenta comunicar con un servidor de comando y control, lo que generalmente permite rastrear el número de máquinas infectadas, descargar ejecutables u otras actividades malignas.

El PHP Ransomware comienza escaneando el sistema repetidamente. Cuando se encuentra con un directorio, comprueba sus subcarpetas y busca los archivos relevantes, para averiguar si contienen alguna de estas extensiones:

zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso

Si uno de los archivos coincide con las extensiones anteriores, el script cambia los permisos de acceso y permite al propietario y a otros usuarios leer, escribir y ejecutar el archivo. Después lee los primeros 2048 bytes del archivo y los cifra. Si el tamaño del archivo es menor de 2 MB, se cifrará completamente. Además, una extensión .crypted se agrega al nombre del archivo sin omitir el original.

Check Point facilita en su blog los enlaces para descargar ambos descifradores, así como las instrucciones de uso de cada uno de ellos. Además, recomienda utilizar las herramientas con precaución, ya que sólo son efectivas contra las versiones actuales de Derialock y de PHP ransomware. Las compañías de seguridad y los hackers permanecen en un eterno juego del ratón y el gato, por lo que existe la posibilidad de que los ciberatacantes lancen nuevas versiones del malware que haga imposible recuperar los archivos. Por lo tanto, la empresa no se hace responsable de los intentos fallidos de descifrar ficheros utilizando estas herramientas.

Antes de iniciar el proceso de descifrado, Check Point recomienda realizar una copia de seguridad de su disco duro. El usuario también tiene que estar familiarizado con el procedimiento específico de cómo iniciar su ordenador en modo seguro, ya que si no inicia el equipo de esta manera todos sus datos serán eliminados.


Ver información original al resoecto en Fuente:
http://diarioti.com/nuevo-ransomware-ci ... los/102578

Peligros de las redes sociales

January 7, 2017, 10:24 pm

≫ Next: Nuevo malware marcher se distribuye como super mario run para android

≪ Previous: Nuevo ransomware cifra los datos sin ofrecer recuperarlos

$

0

0

http://cde.peru.com/ima/0/1/5/5/8/1558712/611x458/kaspersky.jpg
Foto:Difusión

Las redes sociales comenzaron como una forma de mantenerse en contacto con amigos y compartir recuerdos felices. Sin embargo, los resultados del estudio más reciente de Kaspersky indican que los medios sociales dejan sentimientos negativos en muchas personas. La búsqueda del ‘Me gusta’ juega un papel central en esto, pues la mayoría de las personas se sienten tristes o molestas cuando no reciben lo que esperaban para algunas de sus publicaciones, mientras 42% dice sentirse celoso cuando sus amigos obtienen más ‘Me gusta’ que ellos. Además, la investigación muestra que las personas sienten envidia cuando ven en las redes sociales que sus amigos tienen vidas aparentemente más felices.

En una encuesta a 16,750 personas de todo el mundo, Kaspersky Lab ha descubierto la frustración de los usuarios con las redes sociales. A menudo las personas experimentan emociones negativas después de pasar tiempo en las redes sociales debido a una variedad de razones, y éstas predominan sobre los efectos positivos de las redes sociales.

Los usuarios visitan las redes sociales por razones positivas y para sentirse bien. La mayoría de las personas (65%) usan las redes sociales para mantenerse en contacto con amigos y colegas, así como para ver publicaciones entretenidas y divertidas (60%). También dedican una cantidad significativa de tiempo para crear su perfil digital y llenarlo con todo tipo de momentos positivos; publicando cosas que les hacen sonreír (61%) y expresando a los miembros de sus redes el buen rato que han tenido en los días de fiestas y vacaciones (43%).

Si bien no es de extrañar que 72% de las personas se molesten por los anuncios publicitarios, los cuales se han vuelto extremadamente invasivos e interrumpen sus comunicaciones en línea, las razones de la frustración van más allá. A pesar del deseo de sentirse bien por sus interacciones en las redes sociales, cuando las personas ven los mensajes felices de sus amigos en relación con vacaciones, pasatiempos y fiestas, a menudo quedan con la amarga sensación de que otras personas disfrutan más de la vida que ellos. Por ejemplo, 59% se ha sentido infeliz cuando ha visto a sus amigos publicar acerca de una fiesta a la que no fue invitado, y 45% reveló que las fotos de amigos felices en sus vacaciones han influido negativamente en ellos. Además, 37% también admitió que mirar sus propias publicaciones alegres del pasado, puede dejarles con la sensación de que entonces su vida era mejor que la actual.

Una investigación anterior también demostró la frustración de las personas con las redes sociales, ya que 78% admitió haber considerado abandonar las redes sociales por completo. Lo único que hace que la gente permanezca en ellas es el miedo a perder sus recuerdos digitales, como fotos y contacto con sus amigos. Si bien, mantenerse en contacto con amigos puede ser un problema difícil de resolver, Kaspersky Lab está trabajando en una solución para ayudar a las personas a guardar sus recuerdos digitales.

Nuestra relación con las redes sociales se ha convertido en un círculo vicioso. Queremos ir a nuestras plataformas favoritas para contar todas nuestras conexiones sobre las cosas positivas que estamos haciendo, eso nos hace sentir bien, señala Evgeny Chereshnev, Director de Redes Sociales en Kaspersky Lab. Pero la realidad es que todo el mundo está haciendo lo mismo, así que cuando entramos a las redes sociales nos bombardean con imágenes y mensajes de nuestros amigos divirtiéndose y pareciera que están disfrutando la vida más que nosotros. Es fácil ver por qué esto está dejando a las personas deprimidas y el por qué tantas han considerado salirse de las redes sociales. La dificultad es que las personas se sienten atrapadas porque muchos de sus valiosos recuerdos han sido almacenados en ellas y no quieren perder el acceso a éstos.

Para ayudar a las personas a decidir más libremente si quieren permanecer en las redes sociales o salir sin perder sus recuerdos digitales, Kaspersky Lab está desarrollando una nueva aplicación: FFForget, que permitirá a las personas hacer copias de seguridad de todos los recuerdos en las redes sociales que utilizan y mantenerlos en un contenedor de memoria seguro y cifrado, así tendrán la libertad de abandonar cualquier red cuando lo deseen, sin perder lo que les pertenece, sus vidas digitales.

Ver información original al respecto en Fuente:
http://peru.com/epic/tecnologia/kaspers ... cia-492791

Nuevo malware marcher se distribuye como super mario run para android

January 8, 2017, 1:34 pm

≫ Next: Google soluciona 95 vulnerabilidades en android

≪ Previous: Peligros de las redes sociales

$

0

0

https://www.redeszone.net/app/uploads/2017/01/super-mario-run-virus-android.jpg?x=634&y=309

Cualquier oportunidad es buena, y eso es algo que siempre ha sido así, o al menos desde que Internet ofrece tanta repercusión de forma gratuita. Con la llegada de los dispositivos móviles los ciberdelincuentes han visto hechos realidad sus sueños. De nuevo utilizan una aplicación falsa para distribuir un virus informático. Para ser más exactos, han creado una aplicación Super Mario Run falsa.

No, por el momento no está disponible para Android. Sí es verdad que desde Nintendo han confirmado que en las próximas semanas es probable que llegue a la Google Play Store, pero por el momento está disponible para dispositivos con sistema operativo iOS. Para ser más exactos, su lanzamiento fue el pasado día 15 y por el momento no se maneja una fecha exacta para el sistema operativo móvil de los de Mountain View.

Tal y como indican nuestros compañeros de Softzone, la compañía de seguridad zscaler ha informado sobre unos APKs que se están distribuyendo a través de páginas de Internet, indicando a los usuarios que se trata de la versión para Android de este popular juego. Obviamente, tras la expectación que se ha creado, muchos usuarios no pueden resistir a esta tentación y optan por la descarga de este software que posteriormente instalarán en su dispositivo.

Sin ir más lejos, nos encontramos ante el troyano Marcher, un conocido para los usuarios de esta plataforma, ya que en ocasiones anteriores se ha distribuido. Posee como principal finalidad el robo de las credenciales de servicios de banca en línea, aunque no está cerrada a otro tipo de acciones, tal y como veremos más adelante.

https://www.redeszone.net/app/uploads/2017/01/super-mario-run-malware-android.jpg

Super Mario Run sigue el mismo camino que otros softwares populares
Si tienes éxito y repercusión entre los usuarios estás llamado a sufrir este tipo de prácticas. Al igual que el phishing, es algo que pasa con frecuencia.

Cuando el usuario procede a la instalación de este software, después de permitir la instalación de software de terceros, se encuentra con que los permisos solicitados son un tanto extraños para ser un videojuego, tal y como se puede observar en la imagen anterior.

Finalizado el proceso se ejecuta en segundo plano sin mostrar ningún tipo de anuncios, algo que si hacen otras amenazas para obtener cierta remuneración económica adicional. Cuando el usuario abre una aplicación que se encuentra en un listado que posee la amenaza entonces es cuando se crea una segunda capa justo encima del formulario original. La finalidad de esto no es otra que el usuario introduzca las credenciales en el formulario incorrecto y se envíen a un servidor propiedad de los ciberdelincuentes.

En diciembre apareció una primera versión que afectó sobre todo a usuario de Reino Unido. Sin embargo, este ataque es mucho más abierto y se está distribuyendo a cualquier usuario de Internet que acceda a las páginas web que poseen el malware.

Estoy infectado, ¿qué solución existe?
Por suerte para los usuarios infectados existe una solución sencilla. Expertos han detallado que la aplicación maliciosa en ningún momento copia su código en procesos legítimos. Esto quiere decir que si acudimos al Gestor de Aplicaciones y desinstalamos la app el problema quedará solucionado, ya que no realiza tampoco ninguna modificación en el sistema

- Ver información original al respecto en Fuente:
https://www.redeszone.net/2017/01/07/un ... 0DrW1.dpuf

Google soluciona 95 vulnerabilidades en android

January 8, 2017, 2:26 pm

≫ Next: Los operadores de internet próximamente proporcionarán ipv6. estos son todos los cambios que se avecinan

≪ Previous: Nuevo malware marcher se distribuye como super mario run para android

$

0

0

Google soluciona 95 vulnerabilidades en Android

https://1.bp.blogspot.com/-eR8b36WPsmc/VD-fTiOmb6I/AAAAAAAABqw/bJHLBtsrIjkEcGNJUZhPqitqCRIkhTVPwCPcB/s1600/android-logo.png

Google ha publicado el boletín de seguridad Android correspondiente al mes de enero en el que corrige un total de 95 vulnerabilidades, 29 de ellas calificadas como críticas.


Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-01-01 ("2017-01-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.

En este bloque se solucionan 23 vulnerabilidades, tan solo una de ellas se considera crítica y podría permitir la ejecución remota de código en MediaServer. Otras 14 de ellas son de gravedad alta y otras ocho de importancia moderada. Los problemas más graves se refieren a vulnerabilidades de ejecución remota de código en MediaServer, en Framesequence, Framework APIs, Audioserver, libnl o en el almacenamiento externo.

Por otra en el nivel de parches de seguridad 2017-01-05 ("2017-01-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 72 fallos en subsistemas del kernel, controladores y componentes OEM. 28 de las vulnerabilidades están consideradas críticas, 27 de gravedad alta y 17 de riesgo medio. Cabe destacar que los componentes NVIDIA y Qualcomm son los más afectados.

Los problemas críticos se tratan principalmente de vulnerabilidades de elevación de privilegios, a través del subsistema de memoria del kernel, del sistema de archivos del kernel, del controlador MediaTek y 11 a través del controlador NVIDIA GPU. También hay otros 10 fallos en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/01/go ... es-en.html

Los operadores de internet próximamente proporcionarán ipv6. estos son todos los cambios que se avecinan

January 9, 2017, 12:48 am

≫ Next: Herramientas de hacking en este 2017

≪ Previous: Google soluciona 95 vulnerabilidades en android

$

0

0

Los operadores de Internet próximamente proporcionarán IPv6, conoce todos los cambios que se avecinan

https://www.redeszone.net/app/uploads/2016/01/Protocolo-IPv6.png?x=634&y=309
Protocolo IPv6

Actualmente estamos en medio de un proceso de transición en el mundo de las redes de comunicaciones, el sistema utilizado para identificar equipos en las redes, IP versión 4 (IPv4), se está cambiando por otro nuevo llamado IPv6, y que es totalmente distinto al anterior por lo que no son compatibles.

Los usuarios no deberíamos encontrar ningún problema a la hora de utilizar nuestros ordenadores, ya que ambos sistemas convivirán durante mucho tiempo, pero poco a poco iremos notando diferencias en el funcionamiento y configuración de nuestros ordenadores.

Principales características de las direcciones IPv6

Las direcciones IP de IPv4 tienen este aspecto: 192.168.1.126, las direcciones IP de IPv6 tienen este otro aspecto: fe80::fc49:ca3:6720:42f4, o este otro 2001::abcd:1. Cada equipo tendrá más de una IP diferente:

Una dirección de loopback o localhost: en IPv4 dicha dirección era la 127.0.0.1, en IPv6 es ::1
Una dirección de enlace local con este aspecto: fe80::80c6:1179:1af:7d22. Para comunicarnos con otros equipos que se encuentren conectados a nuestra misma red; no sirve para navegar por Internet, estas direcciones no son enrutables a través de Internet.
Todas las direcciones de tipo unicast o anycast que se hayan configurado de forma manual o automática en cada interfaz de red de nuestros equipos, como por ejemplo esta: 2001::1, 2620:9b::195b:daab. Estas IPv6 sí sirven para navegar por Internet.
Desaparecen las direcciones broadcast de la red
En lugar de la dirección broadcast (la más común cuando utilizamos una máscara de subred 255.255.255.0 es la típica 192.168.1.255), usada para comunicar con todos los equipos de la red al mismo tiempo, tenemos direcciones multicast que se pueden dirigir hacia categorías de equipos determinados, por ejemplo la IP ff02::1 es similar la dirección de brodcast de una red de IPv4, ya que todos los equipos de la red están en dicho grupo multicast.

World_IPv6

https://www.redeszone.net/app/uploads/World_IPv6.png

Autoconfiguración
Un dispositivo se puede configurar con una dirección IP de IPv6 de forma manual y de forma automática, (lo que antes se llamaba de forma dinámica, aunque no exactamente igual). La autoconfiguración automática de direcciones IPv6 se hace directamente mediante un router que comunica a los dispositivos conectados a él, ya no es necesario tener un servidor DHCP en el propio router o fuera de él, IPv6 permite autoconfiguración con direcciones libres de estado (SLAAC).

Desaparición de las máscaras de red
Estamos acostumbrados a ver una dirección IP acompañada de su máscara de red, por ejemplo 192.168.1.124 mascara 255.255.255.0, la máscara de red fue una técnica utilizada para separar equipos en distintas redes y ahorrar direcciones IP. La máscara anterior nos indica la parte de la dirección 192.168.1.124, es decir, 192.168.1 que identifica a la red a la que está conectada un equipo; esto en IPv6 se hace mediante un número precedido del símbolo de dividir / y nos dice cuántos bits por la izquierda sirven para identificar la red a la que pertenece el equipo; por ejemplo en la dirección IPv6 2001:1234:abcd:5678:efab:1a2b:3c4d:5e6f/64, el valor 2001:1234:abcd:5678, identificaría a la red.

Tamaño del paquete en el que se transportan los datos
En IPv4 el tamaño mínimo del paquete donde se transportan los datos es de 576 bytes, en IPv6 el tamaño mínimo es de 1.280 bytes pudiendo llegar hasta 4 Gbytes. Esto aumentará la velocidad a la que se transportan los datos ya que al utilizar paquetes más grandes serán necesarios muchos menos paquetes.

Estructura de los encabezados de paquetes de datos.
Se ha modificado el encabezado de los paquetes de IPv4 de forma que el nuevo encabezado IPv6 tiene todo lo que se necesita ya definido, y se habilita un sistema para incluir nuevas funcionalidades de forma sencilla.

Desaparece la necesidad de utilizar NAT
En la actualidad y para ahorrar direcciones hay un sistema llamado NAT (Network Address Translation) que cambia la dirección de origen y de destino de un paquete de datos dentro y fuera de una red de área local. Como ya no es necesario ahorrar direcciones, todos los equipos conectados a un route tendrán una dirección IP pública que será alcanzable a través de Internet, habrá conexión punto a punto y ya no será necesario abrir puertos, además, sobre todo se eliminarán problemas de funcionamiento en la VoIP de los operadores.


https://www.redeszone.net/app/uploads/2016/10/nat_table.jpg
nat_table

Mejoras para el funcionamiento de los routers
Se ha modificado la forma en la que los routers manejan los paquetes para aumentar su eficiencia: Los routers ya no se encargan de fragmentar y desfragmentar paquetes demasiado grandes para las redes a las que están conectados, de ello se encargan el origen y el destino. Los routers ya no tienen que almacenar grandes listas de direcciones IP para saber enviar los paquetes a las mismas, las direcciones IPv6 contienen en sí mismas información sobre cómo llegar al router de la red a la que pertenecen. Se han diseñado un nuevo tipo de dirección IP llamada Anycast, (en su aspecto son idénticas a las Unicast), que permiten distribuir de forma rápida información entre routers.

Comunicaciones cifradas con IPsec
Internet Protocol Security (IPsec) es un conjunto de protocolos que se encarga de cifrar los paquetes en comunicaciones entre equipos. En IPv4 Internet Protocol Security (IPsec) es un conjunto de protocolos que se encarga de cifrar los paquetes en comunicaciones entre equipos. En IPv4 esto era opcional y era un añadido; en IPv6 forma parte del protocolo principal y es obligatorio, aunque su implantación se vaya realizando poco a poco.

https://www.redeszone.net/app/uploads/2016/09/ipsec.png
ipsec

Calidad de servicio QoS
Igual que en el caso anterior la calidad de servicio fue un añadido al protocolo IPv4. IPv6 se ha diseñado desde el principio para que todos los paquetes de datos lleven información sobre la urgencia de dicho paquete, para los operadores será mucho más fácil hacer un QoS en su red para limitar o priorizar ciertos servicios.

Movilidad sobre IPv6 con Mobile IPv6
Permite que un usuario con un dispositivo móvil conectado a Internet pueda seguir trabajando con la dirección IPv6 que su operadora le asigno al conectarse al servicio, independientemente de la operadora de red que le de conexión a Internet en cada momento y sin necesidad de volver a iniciar sesión cada vez que cambia de red.

Aparecen y desaparecen protocolos
Unos desaparecen como ARP y NAT pues ya no son necesarios, otros se adaptan a las circunstancias como DHCP, DNS e ICMP, y aparecen protocolos nuevos para dar soporte a las nuevas funcionalidades como MIPv6.

¿A qué ritmo veremos los cambios?

Depende en gran medida de las operadoras ya que controlan el acceso de la mayor parte de los usuarios a Internet e irán introduciendo cambios a medida que lo requiera el mercado y la competencia.

Actualmente todos los operadores ya tienen todo configurado y listo para desplegarlo cuanto antes, sin embargo, hay un problema y es que si se les proporciona una dirección IPv6 nativa no podrán acceder a servicios que solo funcionen con IPv4, por lo que tendrán que montar routers con doble pila para soportar esto.



- Ver mas información al respecto en Fuente:
https://www.redeszone.net/2017/01/07/lo ... kUd5l.dpuf

Herramientas de hacking en este 2017

January 9, 2017, 2:11 am

≫ Next: Nuevo malware ataca a ordenadores mac

≪ Previous: Los operadores de internet próximamente proporcionarán ipv6. estos son todos los cambios que se avecinan

$

0

0

Las mejores herramientas de Hacking para este 2017

https://www.redeszone.net/app/uploads/2016/07/Hacker-Anonymous-wants-you.png?x=634&y=309
Hacker Anonymous wants you

La seguridad informática cada vez es un concepto más importante en el día a día de los usuarios. Los piratas informáticos cada vez utilizan técnicas más avanzadas y completas para engañar e infectar a los usuarios que se conectan a Internet sin la protección adecuada. Por ello, para ayudaros a comprobar la efectividad de la seguridad de vuestro ordenador, os vamos a recopilar las mejores herramientas de Hacking para este 2017.

Igual que siempre que hablamos de este tipo de software, estas herramientas deben utilizarse siempre con cuidado y en sistemas y redes sobre las que tengamos permiso. Hacerlo en redes no autorizadas es un delito y dejaríamos de ser hackers para convertirnos en piratas informáticos.

Recopilamos las mejores herramientas para hacking para protegernos este 2017

Nmap
La primera de las herramientas hacking de la que vamos a hablar es Network Mapper, conocida como NMap. Esta aplicación, gratuita y de código abierto, fue desarrollada originalmente para buscar puertos abiertos en un sistema, pero, con el tiempo, se ha convertido en una herramienta de lo más completa para ayudar la seguridad tanto de redes como de sistemas informáticos.

Nmap 7.40, ya disponible la nueva versión del escáner de puertos

https://www.redeszone.net/app/uploads/2016/03/Logo-Nmap.png?x=634&y=309

Ver https://www.redeszone.net/2016/12/22/nm ... ium=manual
Nmap 7.40, ya disponible la nueva versión del escáner de puertos

Actualmente, esta herramienta es capaz de buscar puertos abiertos, servicios en ejecución, posibles vulnerabilidades e incluso analizar rangos de direcciones IP para ver que encontramos en ellas. Además, nos ofrece una gran cantidad de información sobre el host, como su sistema operativo, el tiempo que lleva encendido y mucho más.

Wireshark
Si lo que queremos es realizar un escaneo mucho más profundo de la red, a nivel de los paquetes que viajan por ella, Wireshark es la herramienta ideal. Este analizador de paquetes y protocolos, gratuito y de código abierto, nos permite analizar y auditar con el máximo detalle nuestra red local, pudiendo tanto encontrar vulnerabilidades como posibles problemas de red (por ejemplo, cuellos de botella o saturaciones).

Disponible el nuevo Wireshark 2.2.2 con varias vulnerabilidades corregidas

https://www.redeszone.net/app/uploads/2015/11/Logo-de-Wireshark.png?x=634&y=309

Ver https://www.redeszone.net/2016/11/17/di ... ium=manual
Disponible el nuevo Wireshark 2.2.2 con varias vulnerabilidades corregidas

Metasploit Penetration Testing Software
Esta herramienta cuenta por defecto con un gran número de exploits con los que poder aprovecharnos de distintas vulnerabilidades tanto en sistemas informáticos como en redes. Gracias a ella, vamos a poder comprobar si nuestro sistema está totalmente actualizado y correctamente protegido frente a estas vulnerabilidades que, de ser descubiertas por usuarios malintencionados, pueden llegar a exponer nuestra seguridad.

Aunque podemos descargar esta aplicación de forma gratuita, existe una versión de pago bastante más completa con más funciones.

OWASP Zed
Esta aplicación hacking está especializada en encontrar vulnerabilidades en aplicaciones web en lugar de hacerlo sobre redes o sobre sistemas físicos. Esta herramienta, escrita en Java (por lo que es multiplataforma), cuenta con un gran número de escáneres automáticos que nos van a permitir comprobar si existen posibles vulnerabilidades en nuestras plataformas web que puedan servir de puerta de entrada a piratas informáticos.

OWASP ZAP, herramienta para auditar la seguridad de una página web
Jj
Ver. Https://www.redeszone.net/app/uploads/2 ... =634&y=309
OWASP ZAP, herramienta para auditar la seguridad de una página web

John The Ripper
Si lo que queremos auditar es la seguridad de nuestras contraseñas, la herramienta John The Ripper es nuestra aliada. Esta aplicación ha sido desarrollada principalmente para romper contraseñas mediante ataques tanto de fuerza bruta como basados en diccionarios.



THC Hydra
Esta herramienta de hacking es una alternativa a John The Ripper. Dentro de la categoría Network Login Hacking Tool, Hydra está especializada principalmente en buscar acceso remoto a sistemas a través de protocolos de red, como protocolos Mail, bases de datos, LDAP, SMB, VNC y SSH, entre otros.

La nueva versión THC-Hydra 8.2 ya se encuentra disponible para crackear todo tipo de servicios en red
Ver https://www.redeszone.net/2016/06/20/la ... ium=manual

https://www.redeszone.net/app/uploads/2016/06/THC-Hydra.png?x=634&y=309

La nueva versión THC-Hydra 8.2 ya se encuentra disponible para crackear todo tipo de servicios en red

Cain and Abel
Una alternativa más para el crackeo de contraseñas que no podemos olvidar es Cain and Abel. Esta herramienta está especialmente diseñada para comprobar la seguridad de las contraseñas de Windows (y recuperarlas, en caso de olvidarnos de ellas). Esta aplicación es compatible con distintos hashes como NTLM, MD2, MD5, SHA-1 y SHA-2 y, además, es capaz de llevar a cabo funciones más complejas como la grabación de llamadas Vo-IP.

Aircrack-ng
Esta legendaria herramienta hacking no necesita presentación. Cualquier usuario que haya auditado alguna vez la seguridad de su red inalámbrica seguro que la conoce. Gracias a ella, vamos a poder lanzar una serie de ataques contra la red Wi-Fi de manera que podamos comprobar su la configuración de seguridad de la misma y su contraseña con correctas o, de lo contrario, pueden estar expuestas y algún vecino pueda estar robando nuestro Wi-Fi.

Esta herramienta nos permite crackear tanto redes Wi-Fi WEP como WPA/WPA2, aunque todo dependerá de nuestras habilidades, de los clientes conectados a dicha red y del tiempo del que dispongamos.

- Ver información al respecto en Fuente:
https://www.redeszone.net/2017/01/06/la ... BnPLS.dpuf

Nuevo malware ataca a ordenadores mac

January 9, 2017, 11:28 am

≫ Next: Mejor deshabilitar el ipv6 si no lo utilizamos

≪ Previous: Herramientas de hacking en este 2017

$

0

0

Los usuarios de ordenadores de Apple empiezan 2017 con malas noticias: es necesario prestar mucha más atención a la web para evitar ser infectado por una nueva amenaza.

Un artículo publicado en Fortune muestra los detalles de un malware que se esconde en ciertos sitios web. En este caso se trata de un vírus capaz de congelar los ordenadores de Apple, según un informe de la firma de seguridad cibernética Malwarebytes.

https://i1.wp.com/eju.tv/wp-content/uploads/2017/01/58710539f3e80.jpg?zoom=2&resize=669%2C443

Cuando el usuario visita la página infectada usando el navegador Safari (algo que puede ocurrir al pulsar en un email sospechoso, o en un link de algún otro sitio web), inadvertidamente carga código malicioso en su equipo. El malware entonces ejecuta algunos conjuntos de acciones, y hace que el cliente de correo electrónico de Apple de la computadora cree varios correos electrónicos en borrador que contienen, en el asunto del email, las palabras ¡Advertencia! ¡Virus detectado!. Estos borradores no se envían a nadie, pero la creación repentina de miles de correos acaba con los recursos del ordenador, y eso hace que la computadora pare.

Otra acción que puede realizar: abre varias veces el programa iTunes, sin cerrarse, creando un número ilimitado de instancias, hasta que se bloquea.


El malware siempre hace lo mismo, hace que el ordenador consuma toda la memoria, pero además deja un mensaje ficticio en el borrador de correo electrónico o en el reproductor de iTunes en el que pide que el usuario llame a un soporte técnico falso, donde seguramente los delincuentes pedirán dinero para desbloquear la máquina.

Aún no hay información sobre cuántas personas han sido afectadas, pero parece que la solución sí existe: actualizar los sistemas operativos a las últimas versiones (por desgracia esa acción no soluciona aún la variante que abre insistentemente iTunes, pero sí el problema del correo electrónico).


Los iPhones y iPads no se ven afectados, ya que el problema no existe para el sistema operativo iOS.

Ver información al respecto en Fuente:
http://eju.tv/2017/01/nuevo-malware-est ... dores-mac/

---

Mejor deshabilitar el ipv6 si no lo utilizamos

January 9, 2017, 11:08 pm

≫ Next: Nueva/s version/es de utilidad/es elistara 35.95

≪ Previous: Nuevo malware ataca a ordenadores mac

$

0

0

https://www.redeszone.net/app/uploads/2013/10/ipv6_main.png?x=634&y=309

IPv6 supone una gran cantidad de cambios y de mejoras en todos los ámbitos, velocidad, seguridad, etcétera. Desaparecen protocolos como ARP, aparecen otros nuevos como ICMPv6, DHCPv6, NDP y cambia la forma en la que trabajamos en la capa de red.

Anteriormente en RedesZone, hemos hablado sobre los principales cambios que se avecinan ante la implantación de IPv6 en todos los sistemas de información, los operadores ya tienen todo listo para el despliegue masivo, aunque habrá una convivencia con ambos protocolos.

Los operadores de Internet próximamente proporcionarán IPv6, conoce todos los cambios que se avecinan
Los operadores de Internet próximamente proporcionarán IPv6, conoce todos los cambios que se avecinan

Curiosamente la mayoría de los técnicos con los que he comentado este tema opinan que es algo de lo que no hay que preocuparse ya que afecta sobre todo a las IP’s públicas y por tanto a los dispositivos que están conectados a Internet, y no a las redes locales de las empresas para las cuales no hay problema por el agotamiento de las direcciones IP versión 4.

En realidad no es así, actualmente y debido a que se procura la rápida utilización de este nuevo protocolo, IPv6 viene implantado en muchos sistemas operativos actuales: Windows XP desde el Service Pack 2, (aunque hay que activarlo manualmente), Windows Vista y las versiones posteriores como Windows 7, 8 traen IPv6 activado por defecto, las versiones Server de Windows, también vienen con IPv6 activado por defecto. En Linux desde el kernel 2.6 viene con IPv6 activado por defecto, salvo algunas distribuciones especiales. Es decir, lo que realmente está funcionando en las conexiones SMB, DNS o incluso web de la Intranet, es protocolo IPv6.

IPv6 en nuestro sistema operativo
Para comprobar que tenemos instalado IPv6 en nuestro ordenador basta con entrar en la ventana de propiedades de TCP/IP y veremos como aparece junto a propiedades de TCP/IP.

ipv6_win_1

Al que se accede desde el botón Inicio / Panel de control / Centro de redes y recursos compartidos.

ipv6_win_2

Y pinchando sobre Conexión de área local y pinchando después en el botón Propiedades. Otra forma sencilla de comprobarlo es abriendo una ventana del símbolo de sistema de MS-DOS y escribiendo el comando ipconfig.

ipv6_win_3

Esa dirección que aparece junto a Vinculo: dirección IPv6 local es nuestra dirección IP de Link-Local o enlace local que se auto asigna el interfaz para poder empezar a trabajar con el protocolo IPv6.

Pero no sólo en el ámbito de los sistemas operativos de escritorio, los demás dispositivos que se conectan a la red también contemplan la posibilidad de utilizar IPv6, por ejemplo los dispositivos de Cisco soportan IPv6 de manera completa desde la versión 15 de su iOS aunque anteriormente ya la soportaban en menor grado. Los firewall, los IDS, los sniffers, los terminales móviles, tabletas, y otros dispositivos también soportan IPv6. El problema no viene de la falta de soporte, el problema viene del desconocimiento de los usuarios y peor aún, de los técnicos, de qué tipo de funcionalidad IPv6 soportan los dispositivos con los que trabajamos.

El que un dispositivo soporte IPv6 y que no se configure adecuadamente dicho soporte, es lo que genera una gran cantidad de vulnerabilidades que al ser desconocidas e ignoradas, dejan nuestra red expuesta a múltiples tipos de ataques de los que somos ignorantes.

- Ver mas información al respecto en Fuente:

https://www.redeszone.net/2017/01/08/me ... kuRpQ.dpuf

Nueva/s version/es de utilidad/es elistara 35.95

January 10, 2017, 12:40 am

≫ Next: Nuevas variantes de ransomware cerber 4 que siguen llegando sin parar,

≪ Previous: Mejor deshabilitar el ipv6 si no lo utilizamos

$

0

0

Para nuevas variantes víricas según muestras recibidas, hemos desarrollado las nuevas versiones de:





ElistarA


---v35.95-( 5 de Enero del 2017) (Muestras de (3)Ransom.Cerber4 "*.exe", DownLoader.Sounder "MS****.EXE", Worm.Kasidet.A, (10)Malware.Lisec, BackDoor.Blackshades "WindowsUpdate.exe", Keylogger.Virata "dwn.exe" y BackDoor.NetWired "Host.exe")







Ya se han subido a esta web exclusivamente para pruebas de evaluación en el foro de zonavirus



saludos

ms, 9-1-2017

Nuevas variantes de ransomware cerber 4 que siguen llegando sin parar,

January 10, 2017, 1:30 am

≫ Next: Nueva variante de malware rukometa que pasamos a controlar

≪ Previous: Nueva/s version/es de utilidad/es elistara 35.95

$

0

0

Siguen llegando nuevas variantes de ransomware CERBER 4, "mejorando" ahora los HTA y JPG que dejan en las carpetas donde cifran ficheros, y dejando BMP como fondo de pantalla, con letras grandes en fondo rejo y tapiz en gris, con las instrucciones para el pago del rescate.
Como los anteriores, lo mas normal es que lleguen en un ZIP adjunto aun EMail

El ZIp contiene un JS que al ejecutarlo descarga y ejecuta el dichoso ransomware.

También por actualización de algunos malwares como el Backdoor Kirts, se reciben nuevas variantes del dicho ransomware.

Y como los anteriores, el ransomware desaparece del ordenador en el que se ha ejecutado, cuando ha terminado el cifrado de ficheros de datos en carpetas compartidas.

Los datos de MD5 de los últimos ficheros recibidos de este ransomware, son los siguientes:
"0EC27266A7AD226DC4C4043886D5A54F" -> 0ec27266.exe 273271
"5211C1CE05486636203B5BBF57517C08" -> 5211c1ce.exe 236163
"B4312B6764BA69A880FBAC4FAA0D46BB" -> b4312b67.exe 235716
"E60E38FD1BDFA3632211190962EE4B55" -> e60e38fd.exe 232361
"F913BDD16945FC0BF830DC3482A67F95" -> f913bdd1.exe 233985

y el fondo de pantalla, igual que los JPEG que deja en cada carpeta donde ha cifrado ficheros, es el siguiente:

http://blog.satinfo.es/wp-content/uploads/2017/01/HELP_DECRYPT_JCJ2_-1-300x225.jpg
fondo pantalla nueva variante CERBER 4

y el preanalisis de virustotal del primero indicado, ofrece el siguiente informe:
MD5 0ec27266a7ad226dc4c4043886d5a54f
SHA1 5f7458ded8594e2ea497173201c3e8b835eeb7c4
File size 266.9 KB ( 273271 bytes )
SHA256: c60ebf33607cd82d941eef29a30ab3815422ccd2c075aadc8bfaf67b4d215be6
File name: 0ec27266.exe
Detection ratio: 14 / 55
Analysis date: 2017-01-09 09:08:00 UTC ( 2 minutes ago )
0
1

Antivirus Result Update
AVG Generic16_c.CBAG 20170109
AegisLab Troj.Dropper.Gen!c 20170109
AhnLab-V3 Trojan/Win32.BitCoinMiner.C1738234 20170108
Avast Win32:Malware-gen 20170109
Avira (no cloud) TR/Dropper.Gen 20170109
Bkav HW32.Packed.9733 20170107
CAT-QuickHeal Ransom.Cerber.B 20170109
Fortinet W32/Injector.OV!tr 20170109
Invincea virus.win32.sality.at 20161216
McAfee Artemis!0EC27266A7AD 20170108
McAfee-GW-Edition BehavesLike.Win32.ObfusRansom.dc 20170109
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20170109
VBA32 suspected of Malware-Cryptor.Win32.General 20170106
nProtect Ransom/W32.Cerber.273271 20170109

Al ser solo un 25 % los AV que lo controlan, pasamos a enviar muestra del mismo para que los principales fabricantes, entre ellos Kaspersky, lo analicen y añadan su control en las proximas versiones de sus antivirus.

Dicha versión del ElistarA 35.96 que lo detecta y elimina, estará disponible en nuestra web a partir del 10-1-2017

saludos

ms, 9-1-2017

Nueva variante de malware rukometa que pasamos a controlar

January 10, 2017, 2:23 am

≫ Next: La moda de los ransomwares ahora llega en pdf simulando ser carta dirigida a directores de escuelas y demas, aplicando igenieria social a las victimas e instalando el petya de goldeneye

≪ Previous: Nuevas variantes de ransomware cerber 4 que siguen llegando sin parar,

$

0

0

Aunque al ejecutarlo se autoborró, dado que ignoramos si es porque ahora no está disponible la web a la que accede, pasamos a controlarlo a partir del ElistarA 35.96 de hoy


El preanalisis de virustotal ofrece el siguiente informe:


MD5 31a6132927eca616227c650802d97301
SHA1 633b7e867e60ee839b7e2ba24d26f9edf6c62268
File size 913.7 KB ( 935640 bytes )
SHA256: 2030f0f9fa95e6e824d12664b48344c6e4fd58e607c96e6300c88a8292d1f743
File name: start_page.exe
Detection ratio: 42 / 56
Analysis date: 2017-01-09 10:13:32 UTC ( 5 minutes ago )
1
8

Antivirus Result Update
ALYac Trojan.GenericKD.3282138 20170109
AVG Generic38.TUP 20170109
AVware Trojan.Win32.Generic!BT 20170109
Ad-Aware Trojan.GenericKD.3282138 20170109
AegisLab Adware.W32.Extbro!c 20170109
AhnLab-V3 Trojan/Win32.Mupad.C1469490 20170109
Arcabit Trojan.Generic.D3214DA 20170109
Avast Win32:Malware-gen 20170109
Avira (no cloud) PUA/LoadMoney.fgl 20170109
BitDefender Trojan.GenericKD.3282138 20170109
CAT-QuickHeal Trojan.Mupad 20170109
ClamAV Win.Adware.Extbro-1 20170109
Comodo ApplicUnwnt.Win32.RuKometa.A 20170109
Cyren W32/S-6a0e4df5!Eldorado 20170109
ESET-NOD32 a variant of Win32/RuKometa.E potentially unwanted 20170109
Emsisoft Trojan.GenericKD.3282138 (B) 20170109
F-Prot W32/S-6a0e4df5!Eldorado 20170109
F-Secure Trojan.GenericKD.3282138 20170109
Fortinet Adware/ExtBro 20170109
GData Trojan.GenericKD.3282138 20170109
Ikarus PUA.RuKometa 20170108
Invincea trojan.win32.mupad.a 20161216
Jiangmin AdWare.ExtBro.u 20170108
K7AntiVirus Adware ( 004be3791 ) 20170109
K7GW Adware ( 004be3791 ) 20170109
Kaspersky not-a-virus:HEUR:AdWare.Win32.ExtBro.gen 20170109
McAfee RDN/Generic PUP.z 20170108
McAfee-GW-Edition RDN/Generic PUP.z 20170109
eScan Trojan.GenericKD.3282138 20170109
Microsoft Trojan:Win32/Mupad.A 20170109
NANO-Antivirus Riskware.Win32.ExtBro.edehrz 20170109
Panda Trj/Genetic.gen 20170108
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20170109
Rising Trojan.Mupad!8.54E-iFcCNltiAYT (cloud) 20170109
SUPERAntiSpyware Adware.ExtBro/Variant 20170109
Sophos Troj/LdMon-AO 20170109
TrendMicro TROJ_MUPAD.BYZ 20170109
TrendMicro-HouseCall TROJ_MUPAD.BYZ 20170109
VIPRE Trojan.Win32.Generic!BT 20170109
ViRobot Trojan.Win32.Z.Rukometa.935640 20170109
Yandex PUA.ExtBro! 20170109
Zillya Trojan.LoadMoneyCRTD.Win32.3 20170109

Dicha version del ElistarA 35.96 que lo detecta y elimina, estará disponible en nuestra web a partir del 10-1-2017


saludos

ms, 9-1-2017

La moda de los ransomwares ahora llega en pdf simulando ser carta dirigida a directores de escuelas y demas, aplicando igenieria social a las victimas e instalando el petya de goldeneye

January 10, 2017, 3:30 am

≫ Next: Colocan señuelos hacia sitios falsos de amazon (phishing)

≪ Previous: Nueva variante de malware rukometa que pasamos a controlar

$

0

0

Atacantes disfrazados de personal de educación distribuyen ransomware
Info Security 06-Ene-2017

La policía del Reino Unido está advirtiendo sobre atacantes los cuales fingen ser oficiales del Departamento de Educación para engañar a las escuelas y que estas instalen ransomware.



Una nota de Action Fraud indicó que los atacantes han estado llamando a las instituciones de educación, pretendiendo ser oficiales del gobierno, y realizan ingeniería social con la víctima para obtener el correo electrónico del director, con el fin de enviar a través de él, información sensible.

El correo electrónico resultante contiene un archivo adjunto con extensión .zip el cual es ransomware que aparentemente solicitará arriba de 8 mil libras esterlinas para recuperar los archivos.

Action Fraud reporta que se han presentado casos similares cuando los atacantes pretenden llamar desde el Departamento del Trabajo y Pensiones o incluso de proveedores de telecomunicaciones.

Los incidentes reportados recientemente representan una escalada en las tácticas diseñadas para colocar ransomware en las redes de los objetivos, presuntamente seleccionados debido a que probablemente están pobremente asegurados y estarán disponibles para pagar una cantidad considerable para tener de vuelta su información.

Una vez más, los atacantes han convertido en su presa al eslabón más débil de la seguridad, el usuario final, pero no es ahí donde está el fallo. Es injusto esperar que profesores ocupados sean capaces de notar las diferencias entre un correo del Departamento de Educación y esos engaños sofisticados, indicó Fraser Kyne, EMEA CTO de Bromium.

Los atacantes son inteligentes y estafadores convincentes, incluso la industria sigue tratando de convencernos de que pueden ser derrotados mediante herramientas de detección y educación a los usuarios. Como podemos ver desde el inicio de los ataques, este acercamiento no es realista ni efectivo.

En otras palabras, se han descubierto nuevas tácticas diseñadas para entregar la variante Petya de GoldenEye mediante mensajes de correo electrónico con solicitudes falsas de empleo.

La nueva campaña está diseñada para hacer blanco de los colaboradores de recursos humanos, con el ransomware escondido en adjuntos maliciosos disfrazados de CV, de acuerdo con Check Point.

Los correos también contienen un peligroso PDF disfrazado de carta, con el fin de que el destinatario baje la guardia con la falsa idea de seguridad, indicó el proveedor.



Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=3120