" System Error: Press F13 to continue. "

Tu USB...tiene viruuuus!!!

2009-01-23T20:16:00.003-06:00

Holaaa gente...primero que nada, no piensen mal de mi pero ustedes diganme y reconozcan que su USB, la del amigo, la del novio, la del compañero de trabajo tiene virus...cierto verdad??

Aqui les paso unos tips para prevenir que la bendita y famosa USB nos INFECTE nuestra maquina:

1.- Ir a Inicio/Ejecutar: En el campo teclear regedit para abrir el registro del sistema (se deben tener permisos de Administrador)
2.- Luego, a través del panel izquierda, se debe navegar hasta encontrar la siguiente clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3.- Se encontrará una clave llamada NoDriveTypeAutoRun, en la que se debe hacer clic derecho y elegir la opción Modificar. Tal como se muestra en la siguiente imagen:

Se abrirá una pequeña ventana que permite modificar el valor de la clave. Por defecto, este valor suele estar en 91, se debe modificar a 95, aceptar el cambio y luego reiniciar el sistema.
De esta manera se evitará en gran medida, la ejecución automática de los dispositivos que se insertan en el puerto USB a través del archivo autorun.inf.

Fuente: ESET Lab.

Ahora si quieren ver el contenido de su USB solo mantengan oprimida la tecla de WINDOWS(en medio el las teclas Ctrl y Alt, seguido de la letra E) se abrira el explorador de Windows.....mas vale prevenir no???

CONFIG....nooo CONFICKER!!!!

2009-01-23T19:59:00.002-06:00

HOoooola GenteEEEeeee!!!

Ya vine ya vine ahahahaha y bueno pus ya que vine les traigo la siguiente informacion de un gusanito bien grandoooote que ha vueeeeeelto:

En realidad Conficker nunca se fue pero, debido a la gran cantidad de infecciones reportadas en los últimos días, es bueno seguir tomando las precauciones necesarias.

Desde el 31 de diciembre han aparecido nuevas variantes de este gusano ampliando las posibilidades de infección con nuevas formas de ataque, entre las que se incluye ataques por diccionario a cuentas de dominio en Windows y descargas de más variantes desde sitios web que son elegidos aleatóriamente según la fecha.

Entonces, es fundamental:
*Parchear los sistemas operativos según se menciona en gusano Conficker: parchee inmediatamente y adoptar políticas de gestión que aseguren que infecciones similares no ocurran en el futuro.
*Utilizar un antivirus con capacidades proactivas. Recordar que ESET NOD32 detecta este malware y sus posteriores variantes desde el primer momento.
*Utilizar un Firewall para bloquear los puertos que pueda utilizar el malware al infectar un equipo en la red.
Instalar la actualización de seguridad informada en boletín MS08-067 de Microsoft. Si bien las últimas versiones de Conficker también utilizan otras técnicas de propagación, la instalación de esta actualización es crítica y disminuirá el potencial riesgo de infección.

Fuente: ESET Labs

Prevención ante la explotación de vulnerabilidad en IE

2008-12-22T20:10:00.002-06:00

Se está aprovechando una vulnerabilidad no solucionada en Internet Explorer para descargar malware. Aunque no se puede resolver completamente el problema, para mitigarlo y prevenirlo lo máximo posible, debemos realizar una sencilla configuración en el navegador.

Si bien las capturas que utilizaremos están basadas en la versión 7.0 de Internet Explorer, también son aplicables, aunque encuentren ligeras diferencias, para la versión 6.

En primer lugar, debemos acceder a las Opciones de Internet desde el menú Herramientas. Luego, en la solapa Seguridad, cambiamos el nivel de seguridad para la zona de Internet a Alto y finalizamos haciendo clic sobre el botón Aplicar. De esta manera deshabilitaremos funcionalidades como la ejecución de código Active scripting, ActiveX, Applets de Java, etc., brindando mayor grado de seguridad al navegador.

En la zona Sitios de confianza de la misma solapa, podemos especificar, a través del botón Sitios, las direcciones de los sitios web que consideramos de confianza.

En la solapa Privacidad, también es conveniente que, desde el botón Avanzada, se tilde la casilla de verificación llamada Invalidar la administración automática de cookies y, en las opciones que se habilitan, marcar en Preguntar.

Otra configuración importante que guarda relación directa con la explotación de vulnerabilidades es la relacionada a los objetos multimedia. Para controlarlo se debe deshabilitar dos opciones, Activar animaciones en páginas web y Reproducir sonidos en páginas web, ubicadas en la solapa Opciones avanzadas.

Por otro lado, y fuera de las configuraciones de seguridad propias del navegador, también es conveniente configurar la prevención de ejecución de datos (DEP) presente en plataformas Windows XP y Vista. Esto se logra accediendo a: Mi PC > Propiedades > Opciones avanzadas y en la sección rendimiento hacer clic sobre el botón Configuración.

Se abrirá la ventana Opciones de rendimiento y, en ella, debemos asegurarnos que se encuentre activada la opción Activar DEP sólo para los programas y servicios de Windows esenciales.

Actualización 15/12/2008 11:00hs: a medida que Microsoft sigue investigando la vulnerabilidad van apareciendo otras alternativas más avanzadas para mitigar el fallo.

Actualización 17/12/2008 17:00hs: Microsoft acaba de publicar la actualización crítica MS08-078 para esta vulnerabilidad. Por favor actualice inmediatamente.

Fuente: ESET LABS

¿Cómo comprar de manera segura en internet?

2008-12-13T11:14:00.005-06:00

Jo Jo Jooooo, ya viene Santa y en algunos caso la gente prefiere comprar por Internet...bueno no toda pero si algunos ahahahahaha XD

Recien lei sobre una respuesta que unos compañeros del "staff" de Negocios de MILENIO Diaro le dieron a un lector. La verdad, se la dieron mal jejeje y eso de que "consultaron" a los de VISA.

Pero bueno, pues io les paso el dato de que comprar en Internet no es SEGURO.

Antes de comenzar, echemos una leida a lo que es PHISHING:

"El phishing, conocido también como "falsificación de una marca", es una forma elaborada de robo de datos, orientada hacia los posibles clientes de las compañías ISP, de los bancos, servicios bancarios online, agencias gubernamentales etc.
Al dejar su dirección de correo en Internet rellenando formularios online, al utilizar grupos de noticias o navegar en la web, sus datos pueden ser robados por programas llamados “spiders” y luego utilizados (sin su consentimiento) para cometer frades u otros delitos informáticos."

Ya les dio mello??? ahahahaha, ahora veamos mas sobre el PHISHING....

Se emplea la técnica de enviar, por correo o clientes de mensajería instantánea, mensajes con asuntos creíbles, que solicitan datos confidenciales, invitando a sus destinatarios a ingresar a un portal específico (mediante: enlaces ''Haga clic aquí'; enlaces URL; enlaces en imágenes; enlaces de tipo texto) o bien rellenar un formulario insertado en el propio mensaje de correo. Pueden parecer pedidos plausibles y hasta plantean consecuencias terribles con tal de provocar una reacción inmediata.

Ejemplos de asuntos de mensajes phishing:
"Informaciones acerca de su cuenta PayPal"
"¡Su cuenta de usuario eBay ha sido suspendida!"
"Nuevo sistema de seguridad para evitar las posibles acciones de fraude"

Los datos solicitados suelen ser los siguientes:
$ Número de la tarjeta de crédito;
$ El PIN de la tarjeta para la Terminal bancaria y el número de identificación tributaria;
$ Información acerca de su cuenta bancaria;
$ Número de seguro social;
$ Contraseñas;
$ Cuentas de correo;
$ Otros datos privados.

Una vez introducidos en estas páginas web falsas, los datos del usuario dejan de ser confidenciales y pueden ser utilizados inmediatamente por los autores de fraudes informáticos en su propio beneficio. Por lo general, el dinero perdido es casi imposible de recuperar, ya que las páginas falsas suelen estar online por unos pocos días o, a veces, por algunas horas solamente.

aaaah y que creeen.....

El método principal reside en utilizar un mensaje de correo que parezca honesto, pero en realidad trate de guiar al usuario hacia una página web falsa. Algunos mensajes de phishing contienen un formulario de pedido o compra, directamente en el cuerpo del email. Le recordamos que los representantes de las instituciones bancarias jamás envían mensajes incluyendo formularios o pidiendo datos personales.

Podrá notar que el URL del sitio web falso no es el correcto, o el que anticipaba ver. Sin embargo, hay formas para falsificar también el URL:

* Ingeniería social:
El URL falso es creado para verse casi idéntico al enlace real, así que parecerá normal a primera vista. Por ejemplo, el URL auténtico http://www.volksbank.com puede ser falsificado con http://www.voIksbank.com . Pueden parecer iguales, pero ¡no lo son!La letra ‘l’ minúscula está suplantada por una ‘i’ mayúscula.
* Vulnerabilidades del navegador:
El sitio falso puede contener un script para aprovecharse de las brechas de los navegadores. En este caso se muestra el URL real, pero el contenido de la página se origina en el servidor falso. Por ejemplo, puede mostrar una imagen falsa arriba de la barra de dirección del navegador. En este caso el usuario no puede hacer ‘clic’ en el campo de texto de la barra para introducir la dirección web. Otras vulnerabilidades permiten mostrar un campo falso de texto, de manera que se puede hacer clic en este campo y escribir un URL.
* Ventanas Pop-up:
El enlace del mensaje de correo remite al sitio web auténtico, pero se muestra otra ventana encima de la página legítima. El usuario puede navegar en el sitio real sin ningún riesgo, pero sin dejarse engañar por la segunda ventana. Aquellos pop-ups no suelen tener una barra de dirección para ayudar a identificar un sitio web falso.
* Ausencia de la barra de dirección:
Algunos sitios falsos no muestran ninguna barra de dirección y, si no está acostumbrado a fijarse en este detalle, ni siquiera lo notará.

Por ultimo:

Consecuencias

Considerando que los autores de phishing pueden emplear tantas técnicas y además combinarlas, resulta bastante difícil de saber si un mensaje es legítimo o no.

¿Cuáles son entonces las consecuencias de robo de informaciones confidenciales?
Los autores de phishing pueden:
$ Gastar directamente desde la cuenta de su víctima.
$ Abrir nuevas cuentas, firmar contratos de préstamo de dinero en el nombre de su víctima.
$ Emplear un ID falso y cometer delitos usando los datos de identificación de sus víctimas.

Lo chistoso es que ponen "Anote algún número telefónico o dirección de correo electrónico de la tienda para resolver cualquier duda. Conozca las políticas de servicio al consumidor del establecimiento y los términos de compra."

Oks!!! En lo que llamo y todo eso....que estara haciendo el "beneficiario"...pus pus comprando con mi tarjeta!!!!!!

Creditos a .... Soluciones Antivirus AVIRA (no es bueno ese pero si la info jejeje)

"Ustedes controlan su vida, nosotros sus sistema...y su tarjeta"

Y como dice el comercial: "Cuidate a ti mismo...y mucho ojo eeeeh"

Falso correo de McDonald’s con malware

2008-12-12T14:00:00.001-06:00

En los últimos días se ha estado propagando un nuevo spam conteniendo adjunto un archivo malicioso. Se trata de un correo que supuestamente proviene de la empresa McDonald’s deseando una feliz navidad.

El mismo se propaga bajo el asunto “Mcdonalds wishes you Merry Christmas!” y contiene un archivo adjunto llamado coupon.zip. Este archivo comprimido aloja un gusano orientado a controlar el equipo de la víctima. ESET NOD32 detecta esta amenaza bajo el nombre de Win32/Mydoom.NAI (sí, no es un error, el viejo y conocido MyDoom).

Si alguno de nuestros lectores ha sido tomado por sorpresa por este malware, de más está decir que inmediatamente, exploren las unidades del equipo con ESET NOD32 actualizado.

¿Quién dijo que estas fiestas serían diferentes para el malware?

FUENTE: ESET LAB

¿Qué es Koobface?

2008-12-12T13:56:00.002-06:00

¿de qué se trata realmente Koobface? ¿vale la pena crear tanto revuelo por este troyano?

Detectado por ESET NOD32 como Win32/Koobface (un anagrama de la conocida red social Facebook) es un troyano orientado a propagarse por la red social del mismo nombre y Myspace, dependiendo de la versión que se trate. Su origen se remonta a agosto de 2008 y para nada se trata de un troyano de reciente aparición o de algo especial que las empresas antivirus deban tratar con cuidado.

Sus características son las siguientes:

* Como cualquier troyano, busca alojarse y permanecer en el sistema del usuario, controlando ciertas acciones que en este caso es el login en una de las redes sociales mencionadas y la obtención de credenciales del usuario.
* Se copia al sistema con distintos nombres según la versión analizada.
* No tiene características de rootkit o alguna otra que dificulte su remoción.
* Busca cookies y credenciales de login a las redes sociales.
* Modifica la clave RUN del registro para autoejecutarse al encender el equipo.
* Al instalarse por primera vez en el sistema, muestra un mensaje en inglés sobre la invalidez de un codec (”Error installing Codec. Please contact support”) y luego se autoelimina.
* Si el usuario ingresa a una de las redes sociales mencionadas el troyano envía un mensaje a todos los contactos del mismo, con un enlace a un Youtube falso como se ve a continuación:

* El contacto que caiga en la trampa e ingrese al sitio web verá un mensaje mencionado la falta de un codec y al descargarlo se infectará, continuando la cadena. Como puede verse este punto es el único que hace que el troyano tenga relación con una red social.

¿Por qué Koobface no representa el peligro con el cual lo anuncian?

* Koobface no es un virus, es un troyano
* Koobface no infecta redes sociales, porque eso no es posible. Como siempre, los infectados son los usuarios en dichas redes y utiliza a los contactos para continuar la propagación.
* No sólo los usuarios de Facebook deben tener cuidado, sino también los de Myspace y cualquier otra red ya que Koobface podría ser modificado en el futuro cercano.
* El troyano no representa peligro alguna para la red social.
* Cualquier antivirus actual es capaz de detectarlo y eliminarlo.
* Cualquier usuario puede darse cuenta del engaño al ver un mensaje como el mostrado en la imagen.

En este caso la noticia se está exagerando al punto de llegar a la Wikipedia y como siempre debemos tener cuidado, informarnos y no tener miedo. Facebook también ha publicado información al respecto.

FUENTE: ESET LAB

Postales falsas enviadas por Messenger vacían cuentas

2008-12-05T17:19:00.003-06:00

Cada vez es más común saber de ataques de phishing que no son el fin en sí mismos si no el vehículo para sembrar malware y en los cuales no media la intervención del usuario a partir de que descargó un archivo malicioso al sistema de su PC. Este ataque afecta a usuarios de banca en línea de instituciones mexicanas.

Un nuevo engaño que afecta a usuarios de Windows Live Messenger consiste en que una postal electrónica falsa a nombre de Metropostales es distribuida a través de la lista de contactos de la cuenta del usuario cuya PC ha sido infectada.

Hasta esa parte, pareciera un viejo gusano cualquiera que se distribuye automáticamente a través del Messenger el cual abre ventanas a la lista de contactos de la cuenta infectada con un mensaje del tipo ‘te envío esta postal, espero que te guste’ con una liga a una página Web la cual no descarga automáticamente el malware, sino que dirige a la víctima a una página apócrifa de Metropostales.

Ahí se le pedirá al usuario que descargue la postal y es en este momento cuando realmente descargará el malware. De acuerdo con un reporte de Juan Pablo Castro, consultor de tecnología de Trend Micro, este tipo de malware ayudará a los cibercriminales a tomar el control de la PC.

Castro indica que luego de secuestrar el sistema operativo de la PC de la víctima los atacantes cambian en el sistema el archivo de hosts en cada máquina infectada para que cuando la víctima tecleé en el navegador la página de un banco en línea, por ejemplo, sea redirigido automáticamente y sin que lo perciba a una página Web fraudulenta.

El experto en seguridad señala que en este momento el sitio de banca en línea de una institución mexicana que está siendo atacado es el Banco del Bajío.

El reporte señala que los atacantes están agregando las líneas al archivo de hosts (C:\Windows\system32\drivers\etc\hosts) 66.7.194.122 y 66.7.194.122. De esta manera, si el usuario escribe la página bb.com.mx en el explorador es redireccionado a otra página que no es la del banco deseado.

“Esto sucede sin ninguna intervención del usuario, al igual que el envío de mensajes a toda la lista de contactos del Messenger”, explicó Castro.

Las consecuencias ya son conocidas, los atacantes copian el usuario y contraseña de la víctima así como sus números de tarjetas bancarias y proceden a vaciar las cuentas a las que tengan acceso.

Fuente: ESET LAB

A ti que te gustan los EMOTICONES GRATUITOS

2008-12-05T17:16:00.002-06:00

A veces no nos damos cuenta de lo que entregamos a cambio de cosas sencillas. Digo esto porque en el ejemplo que sigue estamos dispuestos a entregar nuestra privacidad (por supuesto a veces sin saberlo) a cambio de un simple emoticón.

Este tipo de engaños es muy frecuente en Internet y lamentablemente muchas veces terminamos haciendo el caldo gordo a los delincuentes. En este caso se simula una ventana de chat y en cualquier lugar que el usuario haga clic, será redireccionado a la descarga de un adware:

El adware puede ser cualquiera, pero en este caso se trata de Hotbar, que ya fuera objeto de análisis en ESET Latinoamérica por su carácter invasivo y lo complicado que suele tornarse removerlo del sistema.

Por eso, pensemos lo que estamos dispuestos a entregar a cambio de una simple “carita sonriente”.

Fuente:ESET LAB

Llegaron las felicitaciones maliciosas

2008-12-05T17:07:00.003-06:00

"Como ya se está volviendo costumbre en navidad y en el día de San Valentín, en todo el mundo comenzaron a circular las tarjetas navideñas con malware integrado."

Al acercarse la temporada navideña los autores de códigos maliciosos están recurriendo a estas temáticas, como acostumbran particularmente es estas fechas y en el día de San Valentín.

Un reporte de Websense dio a conocer que están circulando correos electrónicos que contienen un vínculo a un sitio en Internet donde se puede visualizar la tarjeta enviada incluso hasta por un conocido. Sin embargo, conducen en realidad a la puerta trasera de un troyano que infectará la computadora para tomar control de ella.

“Los mensajes de correo electrónico aparecen como si hubieran sido enviados desde el despliegue de un escenario navideño animado en el dominio postcards.org. Una liga URL dentro del correo conduce a un archivo malicioso llamado postcard.exe hospedado en varios servidores”, indica el reporte.

Es hasta que el usuario pretende visualizar la tarjeta animada cuando el troyano es descargado al sistema. Una vez ejecutado el malware, el atacante podrá tener control de la máquina infectada. Mientras el troyano está siendo instalado en la PC, se despliega una imagen llamada xmas.jpg con el fin de distraer al usuario.

Accesos directos que ejecutan malware

2008-12-05T16:59:00.003-06:00

Se trata de un mensaje en idioma alemán donde se aclara que se ha realizado una transacción de un determinado monto de dinero y que para obtener mayor información, se debe recurrir al archivo adjunto. El correo electrónico es un spam como el siguiente:

El archivo adjunto contiene una carpeta llamada “scann”, que en su interior aloja un archivo llamado “scann.a”, un malware que ESET NOD32 detecta bajo el nombre de Win32/AutoRun.FakeAlert.AD, y un acceso directo con el mismo nombre que el archivo adjunto.

Y, precisamente en este acceso directo se encuentra lo llamativo, ya que el mismo se encuentra asociado al archivo “scann.a” a través de la siguiente instrucción: %windir%\system32\cmd.exe /c scann\scann.a

Es decir, el usuario que haga doble clic sobre el acceso directo, estará ejecutando bajo línea de comandos el código malicioso. Por lo tanto, es importante adoptar buenas prácticas de no descargar ni ejecutar archivos adjuntos e instalar un antivirus con capacidades de detección proactiva capaz de detectar estas nuevas amenazas.

Fuente: ESET LABS

Troyanos en archivos PDF

2008-11-18T13:26:00.004-06:00

En la última semana se ha comenzado a propagar vía spam gran cantidad de malware en scripts y exploits alojados en archivos PDF especialmente manipulados para ese fín. Este incremento se debe a la reciente publicación, por parte de Adobe, de una actualización crítica en su popular producto Adobe Reader. Aquellos usuarios que no hayan actualizado su sistema son potenciales víctimas de este ataque.

Estos scripts dañinos son utilizados para descargar e instalar malware en el equipo del usuario. Por lo tanto, la posibilidad de detección de un antivirus recae en dos puntos: por un lado detectar el scripts o exploit insertado en el archivo PDF y, por el otro, la detección del malware descargado.

En el primer caso ESET NOD32 detecta proactivamente los archivos manipulados, como variantes del troyano PDF/Exploit.Pidief y, en el segundo, el malware descargado puede ser cualquiera, por lo que dependerá de cada caso.

Por eso, es fundamental actualizar a la última versión de Adobe Reader para evitar ser víctimas de estos exploits y, además contar con un antivirus con capacidades de detección proactiva que permita detectar posibles nuevas variantes de este ataque.

Fuente: Eset Labs

YouTube falsos infectan usuarios

2008-11-11T13:21:00.003-06:00

Tal y como mencionamos días atrás, existen herramientas para crear páginas de YouTube falsas y, hoy hemos encontrado una centena (accesibles desde buscadores) de sitios creados con estos programas y que tienen el objetivo de engañar al usuario para que termine descargando un archivo dañino.

A continuación dejo una imagen de uno de estos sitios y de la detección proactiva (Win32/Genetik) que ESET NOD32 realiza del archivo que se intenta descargar:

Un caso más elaborado es el siguiente, en donde a través de un archivo Flash (extensión SWF) se logra el mismo efecto:

Los archivos descargados pueden llamarse flash_update.exe, flashplayer.exe o similar debido a que se intenta hacer creer al usuario que necesita una actualización de Flash Player para visualizar el supuesto video. Actualmente ESET está detectando cada una de las variantes descargadas por heurística sin necesidad de actualizar la base de firmas, lo cual es fundamental con la gran cantidad de malware relacionado a este vector de ataque.

FUENTE: ESET LABS

Perfiles falsos y spam en Facebook

2008-11-11T13:17:00.002-06:00

Haciendo un recorrido por Facebook (o cualquier otra red social) y realizando ciertas búsquedas, es relativamente sencillo encontrar perfiles falsos y publicidad de sitios que ofrecen servicios para adultos, generalmente promocionados con fotos de contenido sexual.

Estas acciones demuestran la facilidad con que las personas inescrupulosas se mueven en el mundo virtual y adoptan los nuevos medios de comunicación para llegar masivamente al público ya que las redes sociales también pueden ser utilizadas para propagar malware.

Este tipo de perfiles están expresamente prohibidos en las redes sociales y se deberían denunciar al momento de encontrarlas. En los casos mostrados, luego de denunciarlos, los perfiles fueron eliminados.

Fuente: ESET LABS

Correos legítimos de usuarios utilizados para propagar malware

2008-11-07T17:03:00.000-06:00

Hola gente!!

Recien me llego a mi correo un mail donde un contacto que tengo de Rep. Dominicana "me mando" una postal del portal Postal.com, lo bueno es que en ese momento estaba en linea y accedi a preguntarle si en realidad me habia mandado esa postal. Ella me contesto que no. Accedi a imprimir pantalla para enviarle el mail donde ella supuestamente me mandaba la postal.

Lo raro es que su nombre y correo personal son los mismos. Lineas abajo pude observar que mi nombre tenia la misma forma de diseño(por decirlo asi) al nick que yo uso en el msn y tenia varios meses que lo habia cambiado.

Accedi a visitar los blogs de ESET LAB y wooow me encontre con esta informacion que les comparto:

* Llega un correo de un contacto real, el cual contiene un enlace a un archivo que supuestamente puede ser un currículo, foto, video, ofertas de productos, etc.

* Pero en realidad, esta foto es el malware Win32/TrojanDownloader.Banload.QPR, el cual es un troyano que descarga otros malware, en este caso un gusano.

* El gusano finalmente descargado es detectado también por ESET NOD32 como Win32/Banwor.NBF y su objetivo es robar usuarios y contraseñas de la máquina infectada para enviarlos al creador del
malware.

* Entonces, el Win32/Banwor.NBF es el encargado de robar los datos de la cuenta de correo para continuar con la propagación, así como también obtener usuarios y contraseñas de otros servicios.

Por estos motivos, hay que estar muy atentos a revisar los correos y descargar archivos, ya que pueden llegar de alguien conocido, pero igualmente contener un código malicioso.

Fuente: ESET LAB

Los virus mas potentes de Octubre

2008-11-04T18:13:00.000-06:00

Hola gente!

A continuacion les mostrare una nota tomada del ESET LAB en la que muestra los malwares mas potentes y sobre todo como es que atacan. Espero y les sirva.

Según nuestro sistema estadístico ThreatSense.Net, el Win32/PSW.OnLine.Games continúa en la primera posición con el 11,30% del total de detecciones, 8 puntos por debajo del porcentaje de septiembre.

El INF/Autorun sigue en el segundo lugar, con el 6,54% y es un malware utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, un DVD o un dispositivo USB, es leído por el equipo informático.

El Win32/Toolbar.MyWebSearch continúa en la tercera posición con el 2,79 por ciento del total. Este adware es un malware calificado como potencialmente no deseado que instala una barra de herramientas con la función de búsqueda a través del sitio MyWebSearch.com. Detrás de esta acción, ejecuta otras aplicaciones no solicitadas, consume recursos extras ralentizando el rendimiento del sistema y además, crea perfiles con los hábitos de navegación de los usuarios para enviarle publicidades según sus intereses.

Con el 1,82 por ciento, el Win32/Pacex.Gen asciende al cuarto lugar y es una firma genérica que detecta y designa a un grupo de archivos maliciosos que utiliza el tipo de ofuscación que comparten la mayoría de los troyanos secuestradores de contraseñas.

El WMA/TrojanDownloader.Wimad.N ocupa el quinto lugar con el 2,58 por ciento y es una amenaza de los archivos Windows Media que redirecciona al buscador media a diversas URL maliciosas que descargan componentes maliciosos adicionales como distintos tipos de adware.

En las últimas posiciones se encuentran el WMA/TrojanDownloader.GetCodec.Gen, seguido por el Win32/Agent, el Win32/Adware.Virtumonde, el JS/TrojanDownloader.Iframe.NBM y el Win32/Qhost sumando más del 6,72 por ciento del total.

Fuente: ESET LABS

Cuidado...Falsas Actualizaciones de VISTA y XP

2008-11-04T13:31:00.000-06:00

Heeeey.... primero ten en cuenta esto:

"..las actualizaciones de Microsoft son gratuitas siempre y la empresa no envía correo a los usuarios con archivos ejecutables."

Por si te llega un correo "de parte" de Microsoft sobre la actualizacion de Microsoft Windows XP y Windows Vista... ¡AGUAS! El correo ofrece las actualizaciones en forma gratuita y el enlace permite la descarga de un archivo install.exe.

Mi gallo NOD32 lo detecto y lo muestra como :Win32/TrojanDownloader.FakeAlert.HJ, una de las tantas variantes de Antivirus-XP-2008.

Asi que mucho ojo eh!

Google ayudará a saber si sitios son hackeables

2008-10-28T17:00:00.001-06:00

Debido al incremento de sitios Web comprometidos liberará herramientas para evaluarlos e informar a los webmasters de su estado.

Google anunció que liberará una prueba en línea cuyo resultado alertará a los webmasters sobre si sus sistemas de administración de contenidos (CMS) o sus plataformas de publicación Web podrían tener o no vulnerabilidades listas para ser explotadas.

De acuerdo con el blog para webmasters de Google, las nuevas herramientas dejarían un mensaje en el Centro de Mensajes del sitio Webmaster Tools a los que son acreditados como dueños, donde informarán sobre las vulnerabilidades que podrían tener sus sitios. En caso de que el usuario no tenga una cuenta, el sitio almacenará las alertas.

“Recientemente hemos visto que más sitios Web han sido hackeados debido a que tienen varios hoyos de seguridad”, dijo Patrick Chapman, del equipo de calidad en búsquedas en el blog para webmasters de Google.

De acuerdo con un reporte de Websense, en la primera mitad de 2008, 75% de los sitios Web donde fue hallado código malicioso son legítimos, pero fueron comprometidos por atacantes. Según el documento, fue de 50% el incremento en comparación con el segundo semestre de 2007.

El mismo reporte encontró que 60% de los 100 sitios Web más populares hospedaron o tuvieron actividad de software malicioso durante el primer semestre de 2008.

Fuente
B:Secure

Les anexo una imagen del Aviso de Sitio Potencialmente Dañino

Ataque masivo ahora va tras clientes de BBVA Bancomer

2008-10-28T16:56:00.000-06:00

Hackers mataron a LuisMi en noticia falsa para instalar malware en la PC de las víctimas; 42% de internautas mexicanos que utilizan banca en línea acuden a portal de Bancomer.

A través de una noticia falsa que circula a través de correos electrónicos no solicitados sobre la repentina muerte del cantante Luis Miguel, atacantes dirigieron un engaño a los usuarios de banca en línea de BBVA Bancomer para vaciar sus cuentas, reportó Trend Micro.

Son clientes del banco BBVA Bancomer 42% de los 3,400,000 de los usuarios de banca electrónica en México, aunque además realizan operaciones en los portales de otros bancos locales, de acuerdo con el Estudio de Banca por Internet 2007 de la Asociación Mexicana por Internet (AMIPCI).

Una falsa noticia propagada supuestamente por el diario El Universal afirma que el cantante mexicano Luis Miguel ha muerto como resultado de un accidente automovilístico ocurrido en una carretera local, por lo que se invita a los usuarios a descargar un video con trágicas imágenes sobre el suceso.

Una vez que el usuario da clic en el enlace insertado en el correo electrónico es descargado el archivo camaraprivada.exe, el cual contiene malware identificado como WORM_MPLAYAH.A, el cual se instala en el escritorio de la PC sin que lo sepa el usuario y abre una ventana del navegador la cual se conecta directamente a la página legítima de El Universal, según el reporte de la compañía de seguridad.

Sin embargo, si es que el usuario posee una cuenta bancaria en BBVA Bancomer y realiza operaciones en línea, cuando trate de conectarse directamente al portal Web del banco, estará ocurriendo detrás del proceso aparentemente no malicioso un redireccionamiento a una dirección IP remota. Dicha dirección es una página de phishing idéntico al sitio legítima de Bancomer.

Luego de que el usuario escriba su nombre y contraseña en el portal Web del banco, aparecerá un mensaje de que se realiza un supuesto mantenimiento en el servidor, con lo cual el atacante podrá completar el delito, al intentar vaciar las cuentas de las víctimas potenciales. El reporte de Trend Micro aseguró que la fuente de las direcciones IP que hospedan el sitio de phishing se ubica en Kentucky, EU, y que ya está bloqueada.

A finales de 2007, el objetivo de un ataque similar fueron los usuarios de los servicios de banca electrónica del Banco Nacional de México, Banamex. En esa ocasión, el correo con la noticia falsa hacia referencia a un miembro del cártel de Tijuana y los atacantes lograron manipular el ruteador o consola Web del módem del proveedor de servicio de Internet para redireccionar al usuario al sitio de phishinq aún cuando él mismo escribiera la dirección en el navegador.

La AMIPCI encontró en su estudio que la mayoría de las operaciones por Internet que los usuarios realizan en los sitios de sus bancos son la consulta de saldos, transferencias entre las cuentas del mismo usuario, transferencias a terceros y el pago de servicios.

Fuente
B:Secure

Click....jacking

2008-10-22T16:31:00.000-05:00

Hola gente!

Como ustedes sabran, cada vez que se carga una ventana aparecen varias ventanas "de parte del servidor" y al cruzar el puntero del mouse para cerrar la aplicacion aparece un mensaje solicitando la instalacion de tal "programa" para que podamos ver el contenido??

Aguas!!! Esta nueva manera de infectar su PC se conoce como ClickJacking.
He aqui la forma de atacar:

El clickjacking se aprovecha de engañar a un usuario para que haga clic en un botón que parece inocente, pero que en realidad hace otra cosa completamente diferente. Desafortunadamente, esta técnica usa una característica de diseño de HTML, y que hace que casi todos los navegadores sean vulnerables a dicho ataque.

Interesante cierto???

Saben desde donde se crea esa aplicación?? Desde FLASH, es por ello que la gente de Adobe emitio el siguiente comunicado:

"Desde Adobe Systems viene esta advertencia lanzada el martes de que hackers podrían usar técnicas de ataque de “clickjacking” para de esta manera poder encender la cámara web y el micrófono de una computadora. El ataque se puede realizar por medio de Flash, en cualquiera de las plataformas en que puede operar, y lo hace mostrando al usuario un sitio malicioso disfrazado, que en realidad sólo engaña al usuario para que haga clic en varios objetos que en realidad tienen la función de darle acceso al sitio a la cámara web y al micrófono de la computadora. Por el momento Adobe está trabajando en un parche para dicha vulnerabilidad, a la que considera crítica, el nivel de más gravedad que otorga; dicho parche estará listo para fines de este mes. Mientras tanto, Adobe recomienda accesar al Administrador de propiedades (Settings Manager) de Flash, y seleccionar la opción “Siempre negar” (Always deny) para protegerse mientras tanto."

Mucho ojo eh!!!

Conoce a quien quiere agregarte en Facebook

2008-10-22T16:23:00.000-05:00

Con este gancho, los atacantes esperan que el usuario del correo dé clic en un archivo adjunto, con lo cual descargará malware que infectará su PC.

Es usual recibir correos de parte de redes sociales que comunican qué otros usuarios desean ser agregados a la red del destinatario, pero nunca incluyen fotografías.

Con la intención de infectar las computadoras de los usuarios de Facebook, atacantes han enviado una nueva campaña de engaño adjuntando al supuesto correo de la red social un archivo de extensión .zip que contiene una imagen del usuario que ha solicitado ser agregado, aunque en realidad es software malicioso, reportó firma de seguridad.

De acuerdo con Websense, el correo parece provenir del dominio facebookmail.com, un dominio oficial utilizado por Facebook para enviar correos y notificar a usuarios sobre un evento. El factor que diferencia al correo malicioso del genuino es el archivo adjunto .zip que contiene un troyano.