Mostrando entradas con la etiqueta antivirus. Mostrar todas las entradas
Mostrando entradas con la etiqueta antivirus. Mostrar todas las entradas

lunes, 29 de junio de 2015

¿Que le pasa a mi wiffi?, fallos de dns a nivel mundial

Estas ultimas semanas, mas de un usuario se esta encontrando que sus conexiones dhcp, no funcionan bien e incluso que da que no tiene conexion, tras muchos debates, tras comprobar que no es ningun ataque, ni mucho menos una infección, al final en un pequeño grupo de usuarios avanzados







y de hacktivismo, se encuentra la (que he probado y va ) respuesta y solución a este fallo, que no lo es del todo, ya que mas bien es una metedura de pata, la explicacion, es que parece ser que por fin, las grandes empresas de distribucion, estan haciendo migraciones transparentes de ipv4 a ipv6 y que en mas de un caso han fallado, ya que el ipv6 no dirige nada a ningun sitio y sale el error,  de que no tenemos internet o incluso algo mas raro, nos dice que no hay conexion, sobre todo afecta a las wiffis, pero tambien hay muchos equipos con cable con estos problemas

¿ la solucion por el momento? cambia tus dnd por las que por la sque mostramos a continuación las mas afectadas en españason las de Google, pero hay de todo



8.8.8.8
8.8.4.4






208.67.222.222
208.67.220.220

Servidor    DNS Primaria    DNS Secundaria
1.    Google    8.8.8.8    8.8.4.4
2.    OpenDNS Family    208.67.222.123    208.67.220.123
3.    Qwest    205.171.3.65    205.171.2.65
4.    The Planet    67.19.0.10    67.19.1.10
5.    Centurytel    74.4.19.187    207.14.235.234
6.    Sprint    204.97.212.10    204.117.214.10
7.    Fast Broadband    78.143.192.10    78.143.192.20
8.    Mega Lan (BG)    95.111.55.251    95.111.55.250
9.    BSO Network    212.73.209.34    212.73.209.226
10.    Time Warp    217.149.108.10    217.149.108.11
11.    Tele Connect    95.170.0.168    212.94.190.139
12.    Bulldog 1    212.158.248.5    212.158.248.6
13.    Bulldog 2    83.146.21.5    83.146.21.6
14.    Internap    212.118.241.1    212.118.241.2
15.    Eclipse    212.104.130.9    212.104.130.65
16.    Zen    212.23.8.1    212.23.3.1
17.    NTL    194.168.4.100    194.168.8.100
18.    Wanadoo UK    195.92.195.94    195.92.195.95
19.    Cambridge    212.74.114.129    212.74.114.193
20.    Screaming    212.74.112.66    212.74.112.67
21.    Cesedian Root    78.47.115.195    78.47.115.198
22.    Speakeasy    216.231.41.2    216.254.95.2
23.    Open    208.67.222.222    208.67.220.220
24.    Open 2    216.87.84.209    216.87.84.211
25.    Advantage    156.154.70.1    156.154.71.1
26.    Comodo    156.154.70.22    156.154.71.22
27.    Level 3    4.2.2.1    4.2.2.2
28.    Level 3    4.2.2.3    4.2.2.4
29.    Level 3    4.2.2.5    4.2.2.6
30.    FoolDNS    87.118.111.215    81.174.67.134
31.    Ultra    204.69.234.1    204.74.101.1
32.    validom    78.46.89.147    88.198.75.145
33.    Tiscali    195.241.77.53    195.241.77.54
34.    Norton (symantec)    198.153.192.1    198.153.194.1
35.    Exatel    220.233.0.4    220.233.0.3
36.    Asahi    202.224.32.1    202.224.32.2
37.    Century    209.206.184.249    209.142.152.253
38.    Cisco    64.102.255.44    128.107.241.185
39.    Open Nic    58.6.115.42    58.6.115.43

¿Que le pasa a mi wiffi?, fallos de dns a nivel mundial

Estas ultimas semanas, mas de un usuario se esta encontrando que sus conexiones dhcp, no funcionan bien e incluso que da que no tiene conexion, tras muchos debates, tras comprobar que no es ningun ataque, ni mucho menos una infección, al final en un pequeño grupo de usuarios avanzados




lunes, 29 de diciembre de 2014

Los códigos maliciosos más peligrosos del 2014







Se acaba el año, y desde soymaquero.net, vamos ha hacer una recopilación de los códigos maliciosos, malwares, spyware, scareware y demás basuras, que durante este 2014, se han dado a conocer, ya hablamos de ellos en nuestro programa de jobsianos y en este blog, pero aún así hay que recordarlos, por que son una guía de lo que nos viene, y no tardarán mucho en verlos funcionando, ya que algunos de estos, solo estaban en periodo de desarrollo, comenzamos 







Durante este 2014, las violaciones de seguridad de alto nivel, vulnerabilidades a gran escala y discursiones interminables sobre la privacidad y el derecho al olvido digital, han conseguido que poco a poco la gente cambien la percepción del mundo de la seguridad digital.
Nadie se siente realmente seguro, aunque aún una gran mayoría sigen sin concienciarse, del gran peligro que supone este problema a nivel mundial, y desde aquí no paramos de recordarlo, aún así con un éxito relativamente pequeño.


Detrás de todas los ciberataques, se esconde un fragmento de código malévolo diseñado para causar el máximo daño posible, desde para robar identidades, secretos empresariales o simplemente para probar algo, o lo más peligroso, como pruebas de las nuevas formas de ataques. 
Pero somos optimistas y creemos, o por lo menos queremos creer, que el 2015 sea más seguro, así como recordatorio de lo que puede llegar, aquí mostramos a los principales protagonistas de los delitos cibernéticos y el cibercaos que se han dado a conocer durante este año


1º DYRE conocido como "El banquero"


Es un Troyano muy especializado, dirigido a los bancos mundiales para robar las credenciales sensibles del usuario y datos financieros de la banca. 
Se propaga (como la inmensa mayoría) a través de campañas de spam y phishing. 
Con Un correo, que es enviado a los empleados del banco, el cual contiene algunos archivos adjuntos ZIP, PPT o PDF o enlaces acortados los que conducen a servidores comprometidos que te inyectan archivos maliciosos. 
Una vez El archivo Dyreza, se carga en la máquina destino, este se conecta a una lista de dominios para después instalar el programa malicioso.
Algunos objetivos conocidos como la realización de ataques man-in-the-middle para interceptar el tráfico cifrado y capturar la información de inicio de sesión. Los datos se envían a los servidores controlados por los hackers. La lista de las víctimas conocidas incluye a varios bancos en Suiza y a SalesForce.com.

Nuestro Consejo de seguridad. 
No haga clic en enlaces en los correos electrónicos de direcciones de correo electrónico desconocidos. La mayoría de las estafas en línea se propagan a través de esta manera.


2º WIRELURKER conocido como "La manzana podrida" por los que odian a los maqueros


Pertenece a la Familia de malware de alta complejidad,  dirigidos a las aplicaciones en iOS y OS X, con el objetivo de  robar información personal de los usuarios. 
Distribuidos a través de aplicaciones manipuladas con malware en OS X .
 WireLurker controla cualquier dispositivo iOS conectado vía USB en un ordenador infectado en OS X e instala aplicaciones descargadas de terceros o genera automáticamente aplicaciones maliciosas en el dispositivo de Apple, con o sin jailbreak. Las víctimas infectadas se encuentran sobre todo en China. Realmente es el menos extendido de todos y el "Relativamente" menos real de los que se han conocido, además de que sus creadores fueron detenidos en sol 3 días.


3º KOLER conocido como  "El policía"

Este Troyano, exclusivo para android, extorsiona a los usuarios de dispositivos móviles a cambio de dinero para desbloquear sus datos. 
Entra Haciéndose pasar por un reproductor de vídeo válido, que ofrece acceso premium a la pornografía, 
se descarga automáticamente durante una sesión de navegación y después que el troyano drive-by infecta a la máquina, impide que el usuario acceda a las pantallas de sesión del móvil y muestra un mensaje falso que pretende ser del servicio de la policía nacional (FBI, NSA, POLICÍA LOCAL, Y FUERZAS DE SEGURIDAD DEL ESTADO) . 
Advierte al usuario que ha sido cazado al intentar acceder a sitios web de abuso infantil y exige un pago como fianza del delito.esta dirigido principalmente hacia los usuarios europeos, pero una vez que te infecta tienes un bonito pisapapeles, ya que tu teléfono, salvo muy contadas ocasiones, no tiene recuperación.

Nuestro Consejo de  seguridad. Pásate a un iPhone, y si no Instala una solución de seguridad móvil el cual te debería ayudar a proteger tus dispositivos móviles del hacking, malware, virus y accesos no autorizados, aunque por nuestra experiencia, puede ser peor el remedio que la enfermedad.


4º. CRYPTOLOCKER conocido como "El ladrón"


Quizás el mas Prolífico de los Troyano Ransomware,  utiliza la encriptación para bloquear los archivos y exigir al usuario a pagar un rescate para descifrarlos. 
Viene incluido en los mensajes spam el cual llevan un archivo adjunto malicioso.
 Si los usuarios abren el archivo adjunto, el archivo .exe maliciosos es descargado y ejecutado. 
Cuando CryptoLocker obtiene el acceso a un ordenador, se conecta a unos dominios generados aleatoriamente para descargar una clave pública RSA de 2048 bits el cual es utilizada para cifrar los archivos del equipo. La clave pública RSA puede descifrarse únicamente con la clave privada correspondiente, siendo esta ocultada para hacer casi imposible el descifrado, por parte de la víctima perdiendo en ese caso, aun pagando, el 99% de las veces los datos.

Cryptolocker tiene el dudoso "honor" de haber infectado a más de 500.000 usuarios, principalmente en los Estados Unidos, El Reino Unido y Canadá.

Nuestro Consejo de seguridad. Asegúrate de que su antivirus, y sistema operativo estén actualizados regularmente y sobre todo el java, el cual es uno de los principales puntos de acceso.



5º PUSHDO conocido como "El amigo de Zeus"


Pushdo es una nueva generación de Troyano multiusos (polivalente) que se utiliza en claves privadas y públicas para proteger la comunicación ( encriptar esta parando poder ser pillada) entre los robots y la central de comando y control (C & C). El Troyano Pushdo se esta utilizado para distribuir cepas secundarias de malware como ZeuS y SpyEye además de spam.

Cuando las máquinas están infectadas con Pushdo, la botnet de control que genera, se utiliza para entregar correos maliciosos con enlaces a sitios web que los usuarios troyanos bancarios, como Zeus, Torpig y Bugat se distribuyan . 
A veces, los mensajes pueden aparentar ser entregas de  tarjetas de crédito o que contienen un accesorio, entrega de paquetes así como una confirmación del pedido. Ha comprometido a más de 180.000 direcciones IP únicas en la India, Indonesia, Turquía, Reino Unido, Francia y Estados Unidos.

Nuestro Consejo de seguridad. Las empresas también son las que mayor obligación tienen de mantener actualizados los parches del sistema operativo y de los programas de terceros y ejecutar antimalware fuertes y efectivos en todos los sistemas, ya que son el principal objetivo de estos sistemas.


6º KELIHOS como "El espía"


Este Troyano esta especialmente especializado en obtener datos sensibles, como el tráfico de internet, Bitcoin wallets y además enviar correos electrónicos no deseados. Su forma principal de propagación es a través de mensajes spam, enviados a quienes no les gusta las medidas económicas y políticas adoptadas contra Rusia, pretendiendo ofrecer una aplicación que ataca a las agencias gubernamentales responsables de las sanciones económicas contra Rusia.

Después de hacer clic en los enlaces o archivos adjuntos malicioso, la víctima descarga un archivo ejecutable que instala al troyano. 
En ese momento, el troyano se comunica con el (C & C) central, y mediante el intercambio de mensajes cifrados en HTTP hace las peticiones, para obtener más instrucciones y ejecutar su phaload. Las víctimas provienen de Ucrania, Rusia, Taiwán, Japón y la India.

Consejo para la seguridad. No instalar aplicaciones de terceros sospechosas, vamos que no bajéis soft pirata, que si sois una empresa lo podéis desgrabar y para el resto, les decimos lo de siempre, o vete a Linux o pásate a Mac.


7º GAMEOVER ZEUS conocido como "El Padre" 


Una variante mas, GameOver Zeus del tipo peer-to-peer de la familia de malware bancario Zeus altamentamente especializado en el robo de credenciales, normalmente a través de la difusión de correos electrónicos de phishing que se hacen pasar por facturas. 

Y Una vez que los usuarios infectados visitan el sitio web bancario a través de un equipo infectado, Gameover Zeus comienza a funcionar, lo 1º intercepta la sesión en línea utilizando la técnica man-in-the-browser (MITB). 
Hasta Puede omitir la autenticación de dos factores y mostrar mensajes de seguridad bancarios fraudulentos para conseguir  información para la autorización de la transacción. Tan pronto como los atacantes consiguen estos datos, ya pueden modificar las transacciones bancarias de los usuarios y robar su dinero. 
El malware GameOver Zeus ha infectado, hasta el momento, entre  de 500.000 a 1 millón de PCs desde los Estados Unidos, India, Singapur, Japón, Alemania, Ucrania, Bielorrusia y otros países.

Una prueba más de que están en desarrollo, es que Fue utilizado como una plataforma para la distribución de CryptoLocker.

Consejo para la seguridad. 

Recordar lo que siempre decimos, Los bancos y otras instituciones acreditadas no solicitan información financiera vía email, así que no debe responder a los correos electrónicos no solicitados.



Mirando todo este nuevo ecosistema de las amenazas de seguridad actuales, tenemos que tener algo muy claro: 
1º Que Las empresas se han convertido en el foco de ataques dirigidos. 
2º Que Los ataques contra sus infraestructuras se han convertido cada vez más sofisticadas. 
3º Que Los atacantes quieren tomar ventaja de la reputación y la disponibilidad de su conexión       amplia para lanzar campañas de ciberdelito cada vez mayores y extraer datos valiosos. 
4º Que Además, aunque tras la caída en el mes de junio de la botnet de Zeus, se pudo temporalmente detener la propagación del ransomware Cryptolocker, sin embargo el ransomware en su conjunto sigue evolucionando y se traslada a nuevas plataformas y sistemas operativos. 
5º Por lo cual, No es de extrañar, que los datos financieros siguen siendo la información más valiosa, buscada y específica a la que estos nuevos malwares se están diseñando convirtiendo sus métodos maliciosos en cada vez, más elaborados y sofisticados.








Nuestro Consejo de seguridad.  mantener sus firmas actualizadas y nuestros mac siempre actualizados.

Los códigos maliciosos más peligrosos del 2014







Se acaba el año, y desde soymaquero.net, vamos ha hacer una recopilación de los códigos maliciosos, malwares, spyware, scareware y demás basuras, que durante este 2014, se han dado a conocer, ya hablamos de ellos en nuestro programa de jobsianos y en este blog, pero aún así hay que recordarlos, por que son una guía de lo que nos viene, y no tardarán mucho en verlos funcionando, ya que algunos de estos, solo estaban en periodo de desarrollo, comenzamos 



jueves, 17 de julio de 2014

Jobsianos se va de viaje


Con este tráiler, presentamos una serie de programas, donde vamos a realizar un ejercicio de memoria, en compañía de historiadores , daremos un repaso a la historia de la piratería en el mediterráneo, y a través de ella, explicaremos los distintos conceptos de la seguridad y de las protecciones, donde podremos apreciar, que pese a los siglos y la tecnología usada, aun hoy la base sigue siendo la misma, el mar mediterráneo, representando internet, los piratas de la época,  representando a algunos tipos de hackers de la actualidad, las patrulleras, y defensas costeras, representando las defensas perimetrales y los antivirus, los castillos, representando los servidores y por ultimo, un auditorio como el de Teulada – Moraira , que representaría los bunkers de seguridad,  contaremos a grandes profesionales de empresas como Nunsys y Sonicwall, y profesionales de empresas de antivirus que nos contaran sus experiencias, en unos días lo publicaremos todos, un saludo y esperemos que os guste todo


Jobsianos se va de viaje


Con este tráiler, presentamos una serie de programas, donde vamos a realizar un ejercicio de memoria, en compañía de historiadores , daremos un repaso a la historia de la piratería en el mediterráneo, y a través de ella, explicaremos los distintos conceptos de la seguridad y de las protecciones, donde podremos apreciar, que pese a los siglos y la tecnología usada, aun hoy la base sigue siendo la misma, el mar mediterráneo, representando internet, los piratas de la época,  representando a algunos tipos de hackers de la actualidad, las patrulleras, y defensas costeras, representando las defensas perimetrales y los antivirus, los castillos, representando los servidores y por ultimo, un auditorio como el de Teulada – Moraira , que representaría los bunkers de seguridad,  contaremos a grandes profesionales de empresas como Nunsys y Sonicwall, y profesionales de empresas de antivirus que nos contaran sus experiencias, en unos días lo publicaremos todos, un saludo y esperemos que os guste todo


miércoles, 30 de abril de 2014

Hackean cientos de cuentas de Twitter para hacer SPAM

Hackean cientos de cuentas de Twitter para hacer SPAM

 

 



hace unos días, cientos de cuentas de Twitter fueron hackeadas para hacer SPAM.

Las cuentas comprometidas hacían publicidad a píldoras milagrosas para dietas, enlaces a páginas web donde había revistas falsas sobre la salud femenina y donde había enlaces a software maliciosos que se descargaba en los equipos de los usuarios.

 

Los seguidores de estas cuentas veían como en su timeline los tweets con el siguiente mensaje : “Si no hubiera probado ésto mi vida no hubiera cambiado” empezaban a parecer misteriosamente, seguido del enlace a contenido malicioso que afectó a cientos de personas

En un primer lugar los tuits mostraban un identificar desde donde se había publicado el mensaje, un sitio web llamado weheartit.com, pero después modificaron este identificador y aparecía que fueron publicados desde un iPhone, haciendo casi imposible identificar la fuente.

Aunque aún no se sabe a ciencia cierta cómo se ha propagado, se cree que un usuario fue capaz de acceder al sitio web womenshealth.com y posteriormente lo utilizó para enviar spam a sus seguidores.

Es recomendable siempre tener mucho cuidado con los enlaces acortados donde pinchamos, ya que pueden llevar a contenido malicioso, y seguir las recomendaciones básicas en estos casos:

Tener el antivirus actualizado.

Es muy recomendable el uso de un firewall para conexiones salientes y entrantes no autorizadas.

La utilización de un HIPS, para evitar modificaciones de registro.

Y por descontado, la utilización de un navegador actualizado y seguro como Firefox o Chrome, y a ser posible, tener desactivado Flash y Java que son los programas con más vulnerabilidades de seguridad.

 

 

 

 

Hackean cientos de cuentas de Twitter para hacer SPAM

Hackean cientos de cuentas de Twitter para hacer SPAM

 

 



hace unos días, cientos de cuentas de Twitter fueron hackeadas para hacer SPAM.

Las cuentas comprometidas hacían publicidad a píldoras milagrosas para dietas, enlaces a páginas web donde había revistas falsas sobre la salud femenina y donde había enlaces a software maliciosos que se descargaba en los equipos de los usuarios.

 

lunes, 28 de abril de 2014

ALERTA: 0-DAY en TODOS los navegadores de internet explorer

A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer

debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo

 

La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.

Todos los usuarios que estén ejecutando un Windows que no sea de la gama Server están afectados, por lo tanto es muy probable que lo estés si estás leyendo este artículo desde Windows.

El ataque, con mas exactitud, se beneficia de un archivo SWF (Flash) para manipular la memoria que utiliza el navegador.

Lo que significa, que no estaremos expuestos si no tenemos Flash instalado, aunque como el Internet Explorer 10 y 11 lo llevan por defecto ya esta el lio montado.

La empresa FireEye ya ha informado a Microsoft del problema, y en Redmond lo están investigando para encontrar una solución.

No hay aun oficialmente ni fecha ni datos de cómo y cuándo se va a resolver, pero tratándose de un error así no creo que tardemos mucho en recibir una respuesta oficial. De momento ya estánintentando algo aumentando el nivel y siendo más estrictos en los niveles y aumentando las barreras contra el adware.

 

este es e informe de FireEye, en ingles, explicando el fallo

 

 

New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks

FireEye Research Labs identified a new Internet Explorer (IE) zero-day exploit used in targeted attacks. The vulnerability affects IE6 through IE11, but the attack is targeting IE9 through IE11. This zero-day bypasses both ASLR and DEP. Microsoft has assigned CVE-2014-1776 to the vulnerability and released security advisory to track this issue.

Threat actors are actively using this exploit in an ongoing campaign which we have named “Operation Clandestine Fox.” However, for many reasons, we will not provide campaign details. But we believe this is a significant zero day as the vulnerable versions represent about a quarter of the total browser market. We recommend applying a patch once available.

According to NetMarket Share, the market share for the targeted versions of IE in 2013 were:

IE 9 13.9%

IE 10 11.04%

IE 11 1.32%

Collectively, in 2013, the vulnerable versions of IE accounted for 26.25% of the browser market. The vulnerability, however, does appear in IE6 through IE11 though the exploit targets IE9 and higher.

The Details

The exploit leverages a previously unknown use-after-free vulnerability, and uses a well-known Flash exploitation technique to achieve arbitrary memory access and bypass Windows’ ASLR and DEP protections.

Exploitation

• Preparing the heap

The exploit page loads a Flash SWF file to manipulate the heap layout with the common technique heap feng shui. It allocates Flash vector objects to spray memory and cover address 0×18184000. Next, it allocates a vector object that contains a flash.Media.Sound() object, which it later corrupts to pivot control to its ROP chain.

• Arbitrary memory access

The SWF file calls back to Javascript in IE to trigger the IE bug and overwrite the length field of a Flash vector object in the heapspray. The SWF file loops through the heapspray to find the corrupted vector object, and uses it to again modify the length of another vector object. This other corrupted vector object is then used for subsequent memory accesses, which it then uses to bypass ASLR and DEP.

• Runtime ROP generation

With full memory control, the exploit will search for ZwProtectVirtualMemory, and a stack pivot (opcode 0×94 0xc3) from NTDLL. It also searches for SetThreadContext in kernel32, which is used to clear the debug registers. This technique, documented here, may be an attempt to bypass protections that use hardware breakpoints, such as EMET’s EAF mitigation.

With the addresses of the aforementioned APIs and gadget, the SWF file constructs a ROP chain, and prepends it to its RC4 decrypted shellcode. It then replaces the vftable of a sound object with a fake one that points to the newly created ROP payload. When the sound object attempts to call into its vftable, it instead pivots control to the attacker’s ROP chain.

• ROP and Shellcode

The ROP payload basically tries to make memory at 0×18184000 executable, and to return to 0x1818411c to execute the shellcode.

0:008> dds eax

18184100 770b5f58 ntdll!ZwProtectVirtualMemory

18184104 1818411c

18184108 ffffffff

1818410c 181840e8

18184110 181840ec

18184114 00000040

18184118 181840e4

Inside the shellcode, it saves the current stack pointer to 0×18181800 to safely return to the caller.

mov dword ptr ds:[18181800h],ebp

Then, it restores the flash.Media.Sound vftable and repairs the corrupted vector object to avoid application crashes.

18184123 b820609f06 mov eax,69F6020h

18184128 90 nop

18184129 90 nop

1818412a c700c0f22169 mov dword ptr [eax],offset Flash32_11_7_700_261!AdobeCPGetAPI+0x42ac00 (6921f2c0)

18184133 b800401818 mov eax,18184000h

18184138 90 nop

18184139 90 nop

1818413a c700fe030000 mov dword ptr [eax],3FEh ds:0023:18184000=3ffffff0

The shellcode also recovers the ESP register to make sure the stack range is in the current thread stack base/limit.

18184140 8be5 mov esp,ebp

18184142 83ec2c sub esp,2Ch

18184145 90 nop

18184146 eb2c jmp 18184174

The shellcode calls SetThreadContext to clear the debug registers. It is possible that this is an attempt to bypass mitigations that use the debug registers.

18184174 57 push edi

18184175 81ece0050000 sub esp,5E0h

1818417b c7042410000100 mov dword ptr [esp],10010h

18184182 8d7c2404 lea edi,[esp+4]

18184186 b9dc050000 mov ecx,5DCh

1818418b 33c0 xor eax,eax

1818418d f3aa rep stos byte ptr es:[edi]

1818418f 54 push esp

18184190 6afe push 0FFFFFFFEh

18184192 b8b308b476 mov eax,offset kernel32!SetThreadContext (76b408b3)

18184197 ffd0 call eax

The shellcode calls URLDownloadToCacheFileA to download the next stage of the payload, disguised as an image.

Mitigation

Using EMET may break the exploit in your environment and prevent it from successfully controlling your computer. EMET versions 4.1 and 5.0 break (and/or detect) the exploit in our tests.

Enhanced Protected Mode in IE breaks the exploit in our tests. EPM was introduced in IE10.

Additionally, the attack will not work without Adobe Flash. Disabling the Flash plugin within IE will prevent the exploit from functioning.

Threat Group History

The APT group responsible for this exploit has been the first group to have access to a select number of browser-based 0-day exploits (e.g. IE, Firefox, and Flash) in the past. They are extremely proficient at lateral movement and are difficult to track, as they typically do not reuse command and control infrastructure. They have a number of backdoors including one known as Pirpi that we previously discussed here. CVE-2010-3962, then a 0-day exploit in Internet Explorer 6, 7, and 8 dropped the Pirpi payload discussed in this previous case.

As this is still an active investigation we are not releasing further indicators about the exploit at this time.

Acknowledgement: We thank Christopher Glyer, Matt Fowler, Josh Homan, Ned Moran, Nart Villeneuve and Yichong Lin for their support, research, and analysis on these findings.

enlace a technet donde dan informacion desde microsoft https://technet.microsoft.com/es-es/library/security/2963983

 

ALERTA: 0-DAY en TODOS los navegadores de internet explorer

A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer

debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo

 

La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.

miércoles, 26 de marzo de 2014

historia de los virus: Elk cloner 1 virus domenstico

Elk Cloner: El primer virus para el hogar fue de Apple II







Apple II infectado con Elk Cloner

Durante mucho tiempo hay gente que ha defendido que en los equipos de Apple no había malware, viviendo en una percepción más que en una realidad existente.

Lo cierto es que durante años los creadores de malware profesional para cometer delitos, no le han prestado mucha atención a estas plataformas, por una cuestión de mercado, más que por capacidad y el número de software malicioso se ha mantenido en unos valores muy, muy, muy pequeños.

Sin embargo, la arquitectura de Mac tampoco la hacía especialmente invulnerable a este tipo de ataques, ni tan siquiera a los virus, tal y como explicaba Marko Kostyrko en MacForensicsLab en su artículo académico Malware on Mac OS X. En él, explica que en Mac OS X se dan las mismas características que permitirían a un creador de malware hacer un virus, troyano o spyware.

En su argumentario, explica que ya en los 1981 - 82 Joe Dellinger, una estudiante de la Universidad de Texas, escribió tres Virus como prueba de concepto para Apple II, y que denominó con los genéricos nombres de Virus 1, Virus 2 y Virus 3.

Sin embargo, el primer virus que tuvo una expansión real dentro de los computadores personales saldría en 1982, cuando Richard Skrenta escribió Elk Cloner. Este virus se transmitía por un disco de arranque del sistema operativo Apple DOS y que se ejecutaba cada 50 arranques del equipo, tal y como él explicó en alt.hackers tiempo ha en los foros de USENET. El mensaje que salía por pantalla decía:

Mensaje de Elk Cloner

 

 

Que traducido viene a ser algo como:

Elk Cloner:

El programa con personalidad

Obtendrá todos tus discos

se meterá en tus chips

¡Sí, es Cloner!

Se pegará a ti como pegamento

cambiará también tu RAM

¡Pásalo, Elk Cloner!

Hoy en día, aquellos inicios en los que los programadores se dedicaban a dejar mensajes graciosos ya han pasado a la historia, por lo que debemos estar preparados contra malware menos "simpatico".

Si tienes un Apple II, o un emulador, puedes correr el disco infectado, ya que es posible descargarlo desde Internet en: Apple II disk image of cloner source

 

historia de los virus: Elk cloner 1 virus domenstico

Elk Cloner: El primer virus para el hogar fue de Apple II







Apple II infectado con Elk Cloner

Durante mucho tiempo hay gente que ha defendido que en los equipos de Apple no había malware, viviendo en una percepción más que en una realidad existente.

Lo cierto es que durante años los creadores de malware profesional para cometer delitos, no le han prestado mucha atención a estas plataformas, por una cuestión de mercado, más que por capacidad y el número de software malicioso se ha mantenido en unos valores muy, muy, muy pequeños.

Sin embargo, la arquitectura de Mac tampoco la hacía especialmente invulnerable a este tipo de ataques, ni tan siquiera a los virus, tal y como explicaba Marko Kostyrko en MacForensicsLab en su artículo académico Malware on Mac OS X. En él, explica que en Mac OS X se dan las mismas características que permitirían a un creador de malware hacer un virus, troyano o spyware.

En su argumentario, explica que ya en los 1981 - 82 Joe Dellinger, una estudiante de la Universidad de Texas, escribió tres Virus como prueba de concepto para Apple II, y que denominó con los genéricos nombres de Virus 1, Virus 2 y Virus 3.

Sin embargo, el primer virus que tuvo una expansión real dentro de los computadores personales saldría en 1982, cuando Richard Skrenta escribió Elk Cloner. Este virus se transmitía por un disco de arranque del sistema operativo Apple DOS y que se ejecutaba cada 50 arranques del equipo, tal y como él explicó en alt.hackers tiempo ha en los foros de USENET. El mensaje que salía por pantalla decía:

Mensaje de Elk Cloner

 

 

Que traducido viene a ser algo como:

Elk Cloner:

El programa con personalidad

Obtendrá todos tus discos

se meterá en tus chips

¡Sí, es Cloner!

Se pegará a ti como pegamento

cambiará también tu RAM

¡Pásalo, Elk Cloner!

Hoy en día, aquellos inicios en los que los programadores se dedicaban a dejar mensajes graciosos ya han pasado a la historia, por lo que debemos estar preparados contra malware menos "simpatico".

Si tienes un Apple II, o un emulador, puedes correr el disco infectado, ya que es posible descargarlo desde Internet en: Apple II disk image of cloner source

 

domingo, 2 de marzo de 2014

miércoles, 26 de febrero de 2014

Alerta: Un rootkit afecta a los servidores con sistema operativo Linux

 

 

Aunque ha sido detectado recientemente, algunos investigadores ya afirman que se trata de una amenaza que requiere bastante importancia por los usuarios del sistema operativo.

Aún no se ha podido cuantificar el número de ordenadores o servidores que se han podido ver afectados pero si afirman que se trata de un rootkit que aún se encuentra en estado de desarrollo, por lo que es probable que la versión definitiva sea más poderosa que la versión que se encuentra en circulación.

Antes de entrar en el problema en cuestión, un rootkit es un programa que permite acceder con todos los privilegios a un equipo, Además, es totalmente invisible, por lo que los administradores del sistema no son conscientes de lo que está sucediendo, sólo viendo un funcionamiento anómalo del mismo.

En este caso, el rootkit fue descubierto el día 13 del pasado mes y afecta principalmente a servidores que tienen como sistema operativo Debian o Ubuntu, así como las versiones de escritorio de ambas versiones, tanto para 32 como para 64 bits.

Funcionamiento de esta amenaza

Evidentemente para instalar el rootkit, en primer lugar se debe haber accedido a la raíz del sistema. Una vez infectado el sistema, si se trata de un servidor, éste permite al atacante inyectar código en las páginas web del servidor y así, los usuarios que accedan a esta página se verán afectados por el código malicioso que ha sido ubicado en ella.

El rootkit ya ha sido identificado con el nombre Rootkit.Linux.Snakso.a y afecta a las versiones 2.6.32-5-amd64 del kernel de Linux.

Algunas conclusiones extraídas

A día de hoy ya existen algunas opiniones de expertos que indican que no se trata de un rootkit construido a través de las variantes que existen a día de hoy. Además, afirman que su tamaño indica que es probable que en corto plazo de tiempo pueda extenderse y que ésta solo sea una versión de prueba.

Indican que a pesar de que pueda afectar a usuarios domésticos, el rootkit está destinado a servidores Linux utilizados por empresas o páginas web.

 

Alerta: Un rootkit afecta a los servidores con sistema operativo Linux

 

 

Aunque ha sido detectado recientemente, algunos investigadores ya afirman que se trata de una amenaza que requiere bastante importancia por los usuarios del sistema operativo.

Aún no se ha podido cuantificar el número de ordenadores o servidores que se han podido ver afectados pero si afirman que se trata de un rootkit que aún se encuentra en estado de desarrollo, por lo que es probable que la versión definitiva sea más poderosa que la versión que se encuentra en circulación.

Antes de entrar en el problema en cuestión, un rootkit es un programa que permite acceder con todos los privilegios a un equipo, Además, es totalmente invisible, por lo que los administradores del sistema no son conscientes de lo que está sucediendo, sólo viendo un funcionamiento anómalo del mismo.

En este caso, el rootkit fue descubierto el día 13 del pasado mes y afecta principalmente a servidores que tienen como sistema operativo Debian o Ubuntu, así como las versiones de escritorio de ambas versiones, tanto para 32 como para 64 bits.

Funcionamiento de esta amenaza

Evidentemente para instalar el rootkit, en primer lugar se debe haber accedido a la raíz del sistema. Una vez infectado el sistema, si se trata de un servidor, éste permite al atacante inyectar código en las páginas web del servidor y así, los usuarios que accedan a esta página se verán afectados por el código malicioso que ha sido ubicado en ella.

El rootkit ya ha sido identificado con el nombre Rootkit.Linux.Snakso.a y afecta a las versiones 2.6.32-5-amd64 del kernel de Linux.

Algunas conclusiones extraídas

A día de hoy ya existen algunas opiniones de expertos que indican que no se trata de un rootkit construido a través de las variantes que existen a día de hoy. Además, afirman que su tamaño indica que es probable que en corto plazo de tiempo pueda extenderse y que ésta solo sea una versión de prueba.

Indican que a pesar de que pueda afectar a usuarios domésticos, el rootkit está destinado a servidores Linux utilizados por empresas o páginas web.

 

domingo, 16 de febrero de 2014

Tipos de Virus, Respuesta a los lectores

 Desde hace tiempo, una de las cosas que mas nos preguntan es por los virus y los tipos que hay, asi que hagamos una pequeña recopilación de los modos mas conocidos, y tengamos en cuenta que, ni estan todos los que son, ni son todos los que estan:








Tipos de virus

Joke



Programa que muestra en pantalla falsos mensajes que advierten de la inminente realización de acciones destructivas en el ordenador, simulan dichas acciones o realizan modificaciones en la configuración de la pantalla, el ratón, etc.






Dialer



Se trata de un programa que marca un número de tarificación adicional (NTA) usando el módem, estos NTA son números cuyo coste es superior al de una llamada nacional. Estos marcadores se suelen descargar tanto con autorización del usuario (utilizando pop-ups poco claros) como automáticamente. Además pueden ser programas ejecutables o ActiveX (Estos programas sólo funcionan en Internet Explorer).
En principio sus efectos sólo se muestran en usuarios con acceso a la Red Telefónica Básica (RTB) o Red Digital de Servicios Integrados (RDSI) puesto que se establece la comunicación de manera transparente para el usuario con el consiguiente daño económico para el mismo. Aunque la tarificación no funcione con los usuarios de ADSL, PLC, Cablemódem, etc... afecta al comportamiento del ordenador ya que requiere un uso de recursos que se agudiza cuando se está infectado por más de un dialer.
Los marcadores telefónicos son legítimos siempre y cuando no incurran en las malas artes que los ha definido como Malware que son los siguientes trucos:
No se avisa de su instalación en la página que lo suministra.
Hace una reconexión a Internet sin previo aviso, o lo intenta.
Se instala silenciosamente en el ordenador utilizando vulnerabilidades del navegador, programa de correo electrónico (email), otros programas de acceso a Internet o el propio sistema operativo.
Puede dejar un acceso directo al escritorio sin conocimiento del usuario.
Puede instalarse unido a otros programas como barras de mejora para el navegador.
No informa de los costes de conexión.
Afortunadamente hay varios programas que pueden detectar y eliminar los dialers, entre ellos las mayoría de los antivirus actuales.


Spyware





Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante.
Pueden tener acceso por ejemplo a: el correo electrónico y el password; dirección IP y DNS; teléfono, país; páginas que se visitan, que tiempos se está en ellas y con que frecuencia se regresa; que software está instalado en el equipo y cual se descarga; que compras se hacen por internet; tarjeta de crédito y cuentas de banco.
Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo.
Los programas de recolección de datos instalados con el conocimiento del usuario no son realmente programas espías si el usuario comprende plenamente qué datos están siendo recopilados y a quién se distribuyen.
Los cookies son un conocido mecanismo que almacena información sobre un usuario de internet en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de internet un número de identificación individual para su reconocimiento subsiguiente. Sin embargo, la existencia de los cookies y su uso generalmente no están ocultos al usuario, quien puede desactivar el acceso a la información de los cookies. Sin embargo, dado que un sitio Web puede emplear un identificador cookie para construir un perfil del usuario y éste no conoce la información que se añade a este perfil, se puede considerar a los cookies una forma de spyware. Por ejemplo, una página con motor de búsqueda puede asignar un número de identificación individual al usuario la primera vez que visita la página, y puede almacenar todos sus términos de búsqueda en una base de datos con su número de identificación como clave en todas sus próximas visitas (hasta que el cookie expira o se borra). Estos datos pueden ser empleados para seleccionar los anuncios publicitarios que se ostrarán al usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones.



Troyano




Se denomina troyano (o caballo de Troya, traducción más fiel del inglés Trojan horse aunque no tan utilizada) a un virus informático o programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información.
Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.
Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas u otra información sensible.
La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurística. Es recomendable también instalar algún software anti troyano, de los cuales existen versiones gratis aunque muchas de ellas constituyen a su vez un troyano.
Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.



Hoax







Un hoax (del inglés: engaño, bulo) es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena.
Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal.
Los objetivos que persigue quien inicia un hoax son: alimentar su ego, captar direcciones de correo y saturar la red o los servidores de correo.


Un gusano informático (también llamado IWorm por su apócope en inglés, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a gran escala.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.


Gusano



Un gusano es un virus o programa autoreplicante que no altera los archivos sino que reside en la memoria y se duplica a sí mismo.
Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Nótese que el término inglés worm, también tiene otra acepción dentro del mundo de la informática:
Worm (de write once, read many), perteneciente a las tecnologías de almacenamiento de datos. No debe ser confundido con el de gusano informático.

El primer gusano informático de la historia data de 1988, cuando el gusano Morris infectó una gran parte de los servidores existentes hasta esa fecha. Su creador, Robert Tappan Morris, fue sentenciado a tres años en prisión y obtuvo de libertad condicional, 400 horas de servicios a la comunidad y una multa de 10.050 dólares, gracias a su familia que pago la fianza. Fue este hecho el que alertó a las principales empresas involucradas en la seguridad de tecnologías tales como Nirdesteam que fue uno de los primeros en desarrollar el cortafuegos.



Polimorfismo (virus informáticos)




En relación a los virus informáticos un código polimórfico o polimorfismo es aquel que se sirve de un motor polimórfico para mutarse a sí mismo mientras mantiene su algoritmo original intacto. Esta técnica es utilizada comúnmente por virus informáticos y gusanos para ocultar su presencia.
Muchos productos antivirus y sistemas de detección de intrusiones intentan localizar programas maliciosos mediante búsquedas en los archivos de la computadora y en los paquetes enviados a través de una red informática. Si ese software encuentra patrones de código que coinciden con una amenaza conocida toman los pasos apropiados para neutralizar esa amenaza.
Los algoritmos polimórficos dificultan la detección de ese código malicioso modificándolo constantemente.
En la mayoría de casos los programas maliciosos que usan de técnicas de polimorfismo lo hacen conjuntamente con técnicas de cifrado, en esos casos el programador malicioso usa cifrado para evitar la detección de la mayor parte del código, y técnicas de polimorfismo para modificar la propia rutina de descifrado.
El primer caso de virus informático polimórfico conocido fue el 1972 creado por Mark Washburn en 1990. Otros virus informáticos de esta clase son el creado por Dark Avenger en 1992 (Dark Avenger publicaría más tarde su famosos Mutation engine, un motor polimórfico que muchos otros creadores de virus usarían más tarde en sus creaciones), y ILoveYou en 2000.


Un algoritmo que usa, por ejemplo, las variables A y B, pero no la variable C, puede permanecer intacto incluso tras añadir grandes cantidades de código que modifiquen la variable C
Algoritmo original:

Inicio:
GOTO Codigo_De_Descifrado
Cifrado:
    ...
    Mucho código cifrado
    ...
Codigo_De_Descifrado:
    A = Cifrado
Loop:
    B = *A
    B = B XOR ClaveDeDescifrado
    *A = B
    A = A + 1
    GOTO Loop IF NOT A = Codigo_De_Descifrado
    GOTO Cifrado
ClaveDeDescifrado:
    numero_aleatorio
El mismo algoritmo con código innecesario que modifica la variable C:
Inicio:
GOTO Codigo_De_Descifrado
Cifrado:
    ...
    Mucho código cifrado
    ...
Codigo_De_Descifrado:
    A = Cifrado
    C = 3
Loop:
    B = *A
    C = C + B
    B = B XOR ClaveDeDescifrado
    *A = B
    C = C * A
    A = A + 1
    C = C + 20
    GOTO Loop IF NOT A = Codigo_De_Descifrado
    C = A + C
    C = 2 + B
    GOTO Cifrado
ClaveDeDescifrado:
    numero_aleatorio



El código dentro de la sección "Cifrado" puede posteriormente buscar el código entre "Codigo_De_Descifrado" y "ClaveDeDescifrado" eliminando todo el código que altere la variable C. Antes de que el algoritmo de cifrado sea usado de nuevo, puede añadir de nuevo código que afecte a a la variable C, o incluso modificar el código del algoritmo por nuevo código con la misma finalidad.
Normalmente el creador del virus informático utiliza una clave nula (con valor cero) en la primera generación del virus, esto hace que sea todo más fácil para el desarrollador ya que con esta clave el virus no se encuentra cifrado. Luego para las siguientes infecciones puede implementar una clave incremental o aleatoria.


fuente: wikipedia

Tipos de Virus, Respuesta a los lectores

 Desde hace tiempo, una de las cosas que mas nos preguntan es por los virus y los tipos que hay, asi que hagamos una pequeña recopilación de los modos mas conocidos, y tengamos en cuenta que, ni estan todos los que son, ni son todos los que estan:



jueves, 13 de febrero de 2014

Frankenmalware, nuevos virus a la vista

Llega el ‘FrankenMalware’, mutación de  los virus y gusanos informáticos.






Aunque parezca ciencia ficción, Los virus están infectando accidentalmente a diversos gusanos en los equipos de las víctimas, creando un malware híbrido al que se le designa ‘FrankenMalware’ que se propaga más rápidoy lanzar ataques contra los sistemas, cuentas bancarias y datos privados de una manera que ni siquiera imaginadan  los propios creadores de malware.

 intentemos explicar esto un poco, para ello, hagamos un ejercicio de imaginación:

Imaginemos estas dos piezas de malware trabajando juntas – voluntariamente o no – en el mismo sistema operativo, Como cuenta Loredana Botezatu, analista de amenazas online de Bitdefender y autora del estudio sobre este tipo de malware híbrido.  ”Ese PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones: además, hay dos puertas traseras abiertas, dos técnicas de ataque activo y varios métodos de propagación. Cuando uno falla, el otro tiene éxito”.



Segun un análisis realizado por la empresa  Bitdefender se encontrraron más de 40.000 ejemplares de este tipo de malware – al que han bautizado como “Frankenmalware” – en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.
“Cuando un usuario recibe uno de estos híbridos en su sistema, se enfrenta a la pérdida de dinero, problemas informáticos, robo de identidad, y una oleada de spam que puede ser lanzada desde su equipo”, señala Botezatu.


“La llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente, y su comportamiento cada vez será
más difícil de predecir”, añade.


¿A qué nuevos riesgos a los que nos enfrentamos?



Aunque no hay datos antiguos que puedan dar mas información sobre este tipo de malware, lo cierto es que el número de híbridos ha crecido en los últimos años y probablemente seguirá aumentando al mismo ritmo que el malware en general. segun el estudio de la empresa de antivirus Bitdefender,  el Frankenware crecerá un 17 por ciento este año.



Todos losarchivos  híbridos de  este malware, analizados hasta el momento, se han creado de forma accidental. Pero lo cierto es que el riesgo que representan este nuevo hibrido podría aumentar drásticamente a medida que los delincuentes comiencen a fabricar sus propios ficheros, o que alguno  lanze una nueva generación de malware específicamente creado para provocar esta infección.


La empresa Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile. El virus Rimecud, entre otras funciones, roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico. El virus Virtob, realiza la siguientes actividades:
 permite recibir órdenes de un atacante remoto, saltarse el cortafuegos, y asegurar su persistencia mediante la inyección de código en “Winlogon”, un proceso crítico del sistema.

todo esto hace que tengamos que estar muy atento al desarrollo de este nuevo tipo de malware

Fuente: Bitdefender