Archivo para agosto, 2007
El regreso del “rusito”
agosto 31, 2007 10:00 amEl “rusito”, apodo que “cariñosamente” le hemos puesto a este troyano y que fue motivo de un informe técnico y otros posts, renace de la oscuridad luego de varios meses de inactividad.
Esta vez, vuelve a la carga con una nueva estrategia: ahora está en una etapa sentimental e intenta expresarlo a través de un “Te amo demaisss!” acompañado de una imagen y un enlace para que descarguemos al amoroso código malicioso.
Al parecer los muchachos volvieron a la carga, pero ¡¡¡no se preocupen!!!, ESET NOD32 los protegerá de este insistente código dañino.
Qué importante es tener un buen antivirus instalado y actualizado ¿no?
Jorge.
Nuwar en Blogger
12:01 amLuego de escribir Nuwar, ¿que haremos contigo?, sus creadores parecen escucharme y sinceramente debo sacarme el sombrero ante la pericia para hacer de sus creaciones algo insólito que sin dudas es digno de contar.
Desde hace unos dìas se están encontrando cientos de blogs creados en blogger con posts subidos automáticamente por Nuwar (por equipos infectados por él en realidad). Estos posts tienen la característica en común de apuntan a supuestos videos de Youtube que en realidad apuntan a archivos dañinos (direcciones IP de usuarios infectados).
The register informa de esta situación y también da alternativas de búsqueda para encontrar estos blogs dañinos. Mientras tanto ESET, NOD32 sigue detectando esta amenaza gracias a su Heurística Avanzada.
Cristian
Phishing a través de YouTube
agosto 30, 2007 12:12 pmYouTube se ha convertido en una verdadera fuente audiovisual tal que prácticamente ya no queda en la actualidad, usuario alguno que no haya pasado por su web y, como sucede con cada nueva tecnología que surge en forma masiva, es aprovechada como vector para la difusión de nuevas amenazas y nuevos códigos maliciosos.
Hace muy poco tiempo hemos advertido sobre la diseminación de malware a través de Wikipedia.
Y teniendo en cuenta esta situación, la tendencia parecería indicar que el aprovechamiento de los sitios de consulta masiva es uno de los tantos nuevos focos en los que se centran los diseminadores de códigos maliciosos.
En esta oportunidad, se trata de un troyano (Win32/Qhost.MO) que al activarse abre una ventana de Internet Explorer y la redirección hacia un video de YouTube.
Si bien parecería que no sucede nada extraño, que sólo nos invita a ver un “atractivo” video, no es así. En realidad realiza lo que se llama pharming local modificando la información contenida en el archivo “hosts” del sistema. En este post pueden leer un caso similar.
El archivo hosts es utilizado para resolver nombres de dominio a través de direcciones IP en forma local.
Como se ve en la imagen, el contenido del archivo hosts fue cambiado por varias direcciones web que apuntan todas a una misma dirección IP, entonces cuando se acceda a cualquiera de los sitios que figuran en el archivo, se redireccionará hacia la dirección IP establecida por el atacante.
Incluso, si hacemos un ping a cualquiera de las direcciones, nos mostrará esa dirección IP, tal como se puede observar en la siguiente captura:
Ahora bien, muchos se preguntarán para qué realiza esto, bueno, simplemente para dirigir un ataque de phishing a la entidad bancaria Banamex. Veámoslo a través de una imagen:
Como verán, los creadores de códigos maliciosos recurren a infinitas técnicas y metodologías que cada vez se perfeccionan para lograr sus objetivos: estafarnos y robarnos.
Jorge
Nuwar ¿qué haremos contigo?
agosto 29, 2007 12:09 pm¿Debería decir que me asombra? No, ya nada nos asombra de Nuwar
Esta vez se utilizan supuestos correos de Youtube para propagar al gusano:
La técnica sigue siendo la misma de siempre: un correo, propagado por spam, que llama la atención apuntando a una dirección IP. Nada nuevo bajo el sol pero sin embargo la cantidad de infecciones y de equipos formando parte de botnets sigue en aumento.
Mientras tanto ESET NOD32 sigue detectando esta amenaza gracias a su Heurística Avanzada.
Cristian
