Mostrando entradas con la etiqueta karpesky. Mostrar todas las entradas
Mostrando entradas con la etiqueta karpesky. Mostrar todas las entradas

domingo, 2 de marzo de 2014

domingo, 16 de febrero de 2014

Tipos de Virus, Respuesta a los lectores

 Desde hace tiempo, una de las cosas que mas nos preguntan es por los virus y los tipos que hay, asi que hagamos una pequeña recopilación de los modos mas conocidos, y tengamos en cuenta que, ni estan todos los que son, ni son todos los que estan:








Tipos de virus

Joke



Programa que muestra en pantalla falsos mensajes que advierten de la inminente realización de acciones destructivas en el ordenador, simulan dichas acciones o realizan modificaciones en la configuración de la pantalla, el ratón, etc.






Dialer



Se trata de un programa que marca un número de tarificación adicional (NTA) usando el módem, estos NTA son números cuyo coste es superior al de una llamada nacional. Estos marcadores se suelen descargar tanto con autorización del usuario (utilizando pop-ups poco claros) como automáticamente. Además pueden ser programas ejecutables o ActiveX (Estos programas sólo funcionan en Internet Explorer).
En principio sus efectos sólo se muestran en usuarios con acceso a la Red Telefónica Básica (RTB) o Red Digital de Servicios Integrados (RDSI) puesto que se establece la comunicación de manera transparente para el usuario con el consiguiente daño económico para el mismo. Aunque la tarificación no funcione con los usuarios de ADSL, PLC, Cablemódem, etc... afecta al comportamiento del ordenador ya que requiere un uso de recursos que se agudiza cuando se está infectado por más de un dialer.
Los marcadores telefónicos son legítimos siempre y cuando no incurran en las malas artes que los ha definido como Malware que son los siguientes trucos:
No se avisa de su instalación en la página que lo suministra.
Hace una reconexión a Internet sin previo aviso, o lo intenta.
Se instala silenciosamente en el ordenador utilizando vulnerabilidades del navegador, programa de correo electrónico (email), otros programas de acceso a Internet o el propio sistema operativo.
Puede dejar un acceso directo al escritorio sin conocimiento del usuario.
Puede instalarse unido a otros programas como barras de mejora para el navegador.
No informa de los costes de conexión.
Afortunadamente hay varios programas que pueden detectar y eliminar los dialers, entre ellos las mayoría de los antivirus actuales.


Spyware





Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante.
Pueden tener acceso por ejemplo a: el correo electrónico y el password; dirección IP y DNS; teléfono, país; páginas que se visitan, que tiempos se está en ellas y con que frecuencia se regresa; que software está instalado en el equipo y cual se descarga; que compras se hacen por internet; tarjeta de crédito y cuentas de banco.
Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo.
Los programas de recolección de datos instalados con el conocimiento del usuario no son realmente programas espías si el usuario comprende plenamente qué datos están siendo recopilados y a quién se distribuyen.
Los cookies son un conocido mecanismo que almacena información sobre un usuario de internet en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de internet un número de identificación individual para su reconocimiento subsiguiente. Sin embargo, la existencia de los cookies y su uso generalmente no están ocultos al usuario, quien puede desactivar el acceso a la información de los cookies. Sin embargo, dado que un sitio Web puede emplear un identificador cookie para construir un perfil del usuario y éste no conoce la información que se añade a este perfil, se puede considerar a los cookies una forma de spyware. Por ejemplo, una página con motor de búsqueda puede asignar un número de identificación individual al usuario la primera vez que visita la página, y puede almacenar todos sus términos de búsqueda en una base de datos con su número de identificación como clave en todas sus próximas visitas (hasta que el cookie expira o se borra). Estos datos pueden ser empleados para seleccionar los anuncios publicitarios que se ostrarán al usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones.



Troyano




Se denomina troyano (o caballo de Troya, traducción más fiel del inglés Trojan horse aunque no tan utilizada) a un virus informático o programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información.
Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos.
Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas u otra información sensible.
La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurística. Es recomendable también instalar algún software anti troyano, de los cuales existen versiones gratis aunque muchas de ellas constituyen a su vez un troyano.
Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraños, vigilar accesos a disco innecesarios, etc.



Hoax







Un hoax (del inglés: engaño, bulo) es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena.
Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal.
Los objetivos que persigue quien inicia un hoax son: alimentar su ego, captar direcciones de correo y saturar la red o los servidores de correo.


Un gusano informático (también llamado IWorm por su apócope en inglés, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a gran escala.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.


Gusano



Un gusano es un virus o programa autoreplicante que no altera los archivos sino que reside en la memoria y se duplica a sí mismo.
Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Nótese que el término inglés worm, también tiene otra acepción dentro del mundo de la informática:
Worm (de write once, read many), perteneciente a las tecnologías de almacenamiento de datos. No debe ser confundido con el de gusano informático.

El primer gusano informático de la historia data de 1988, cuando el gusano Morris infectó una gran parte de los servidores existentes hasta esa fecha. Su creador, Robert Tappan Morris, fue sentenciado a tres años en prisión y obtuvo de libertad condicional, 400 horas de servicios a la comunidad y una multa de 10.050 dólares, gracias a su familia que pago la fianza. Fue este hecho el que alertó a las principales empresas involucradas en la seguridad de tecnologías tales como Nirdesteam que fue uno de los primeros en desarrollar el cortafuegos.



Polimorfismo (virus informáticos)




En relación a los virus informáticos un código polimórfico o polimorfismo es aquel que se sirve de un motor polimórfico para mutarse a sí mismo mientras mantiene su algoritmo original intacto. Esta técnica es utilizada comúnmente por virus informáticos y gusanos para ocultar su presencia.
Muchos productos antivirus y sistemas de detección de intrusiones intentan localizar programas maliciosos mediante búsquedas en los archivos de la computadora y en los paquetes enviados a través de una red informática. Si ese software encuentra patrones de código que coinciden con una amenaza conocida toman los pasos apropiados para neutralizar esa amenaza.
Los algoritmos polimórficos dificultan la detección de ese código malicioso modificándolo constantemente.
En la mayoría de casos los programas maliciosos que usan de técnicas de polimorfismo lo hacen conjuntamente con técnicas de cifrado, en esos casos el programador malicioso usa cifrado para evitar la detección de la mayor parte del código, y técnicas de polimorfismo para modificar la propia rutina de descifrado.
El primer caso de virus informático polimórfico conocido fue el 1972 creado por Mark Washburn en 1990. Otros virus informáticos de esta clase son el creado por Dark Avenger en 1992 (Dark Avenger publicaría más tarde su famosos Mutation engine, un motor polimórfico que muchos otros creadores de virus usarían más tarde en sus creaciones), y ILoveYou en 2000.


Un algoritmo que usa, por ejemplo, las variables A y B, pero no la variable C, puede permanecer intacto incluso tras añadir grandes cantidades de código que modifiquen la variable C
Algoritmo original:

Inicio:
GOTO Codigo_De_Descifrado
Cifrado:
    ...
    Mucho código cifrado
    ...
Codigo_De_Descifrado:
    A = Cifrado
Loop:
    B = *A
    B = B XOR ClaveDeDescifrado
    *A = B
    A = A + 1
    GOTO Loop IF NOT A = Codigo_De_Descifrado
    GOTO Cifrado
ClaveDeDescifrado:
    numero_aleatorio
El mismo algoritmo con código innecesario que modifica la variable C:
Inicio:
GOTO Codigo_De_Descifrado
Cifrado:
    ...
    Mucho código cifrado
    ...
Codigo_De_Descifrado:
    A = Cifrado
    C = 3
Loop:
    B = *A
    C = C + B
    B = B XOR ClaveDeDescifrado
    *A = B
    C = C * A
    A = A + 1
    C = C + 20
    GOTO Loop IF NOT A = Codigo_De_Descifrado
    C = A + C
    C = 2 + B
    GOTO Cifrado
ClaveDeDescifrado:
    numero_aleatorio



El código dentro de la sección "Cifrado" puede posteriormente buscar el código entre "Codigo_De_Descifrado" y "ClaveDeDescifrado" eliminando todo el código que altere la variable C. Antes de que el algoritmo de cifrado sea usado de nuevo, puede añadir de nuevo código que afecte a a la variable C, o incluso modificar el código del algoritmo por nuevo código con la misma finalidad.
Normalmente el creador del virus informático utiliza una clave nula (con valor cero) en la primera generación del virus, esto hace que sea todo más fácil para el desarrollador ya que con esta clave el virus no se encuentra cifrado. Luego para las siguientes infecciones puede implementar una clave incremental o aleatoria.


fuente: wikipedia

Tipos de Virus, Respuesta a los lectores

 Desde hace tiempo, una de las cosas que mas nos preguntan es por los virus y los tipos que hay, asi que hagamos una pequeña recopilación de los modos mas conocidos, y tengamos en cuenta que, ni estan todos los que son, ni son todos los que estan:



jueves, 19 de diciembre de 2013

ALERTA: Nuevo malware usa a Star Wars como reclamo

Malware Taps Tor Red 'Chewbacca'

Un nuevo Troyano malicioso que se usando como reclamos a chewbacca, de  Star Wars utiliza la red de anonimato Tor para ocultar sus comunicaciones de comando y control.






La próxima Star Wars película no puede ser programado para llegar hasta el verano de 2015, pero la comercialización tie-ins ya han comenzado - por lo menos cuando se trata de los cibercriminales tratan de hacer dinero fácil y fraudulenta.

Los investigadores de seguridad han descubierto un troyano bancario, que utiliza la red TOR, y  que ha sido bautizado como "Chewbacca" por sus creadores. Según informa  Kaspersky Lab, que fue la que descubrió el malware en un foro ciberdelincuencia underground, una vez que el malware (detectado como un archivo llamado "Fsysna.fej") infecta con éxito un PC, automaticamente también deja caer una copia de Tor 0.2.3.25, que utiliza el malware para su pathload. El troyano activa un keylogger y envía los datos a los controladores de botnets a través de la red Tor.

Más allá de tomar prestado el nombre del malware de las peliculas de  George Lucas, el acceso a la interfaz de inicio de sesión para la red del malware de comando y control (C & C) muestra que quien construyó el malware también utilizo las imagenes de "Juego de clones", que es gratuito, de  Stars Wars y de Juego de tronos, incluyendo wallpapers creados por el artista Andrew Lanza.

Para acceder al servidor de Chewbacca el (C & C a través de un servicio oculto de Tor) -  - Lo que significa que el servidor de comando es accesible sólo a través de Tor, en lugar de la Internet pública .El servidor C & C ha sido desarrollado usando LAMP (Linux, Apache, MySQL, PHP).



Hasta la fecha, sin embargo, el malware no parece estar muy extendido. "Chewbacca actualmente no se ofrece publicamente en los foros del underground , a diferencia de otros juegos de herramientas tales como Zeus," dijo Kasperksy Lab investigador Marco Preuss en una entrada de blog . "Tal vez sea que esta en desarrollo o el malware es utilizado o compartido en privado."

Chewbacca es el último de una serie de malware que los investigadores de seguridad han descubierto que tocar la red de anonimato Tor. Tal como se detalla en Kaspersky Lab, durante  la semana pasada, el malware financiero Zeus consiguió realizar un lavado de cara a principios de este año, moviéndose hacia la compatibiliad con sistemas de 64 bits para los navegadores Internet Explorer, así como añadir la compatibilidad Tor. A principios de este año, por su parte, cuatro hombres fueron arrestados por la policía holandesa por cargos de utilización de este  malware contra la  banca Torrat,  robando aproximadamente 1,4 millones de dólares de sus clientes, dinero que supuestamente blanqueaban, convirtiendo este dinero en bitcoins.

El uso de la red TOR sirve para ocultar las conexiones entre los nodos infectados de botnets - . "Esto protege la localización de un servidor, así como la identidad del propietario en la mayoría de los casos," dijo Preuss.




"Todavía hay algunas desventajas que impiden a muchos criminales la utilización  de sus servidores dentro de Tor", añadió. "Debido a la superposición y la estructura, Tor es más lento y los tiempos de espera para una posible actividad de las  botnet masiva puede influir en toda la red, como se ha visto con Mevade." -
mevade es un tipo de  malware que, después de haber añadido la compatibilidad Tor, fue culpado de un aumento masivo en el tráfico de Tor que se inicio en agosto - ". y por lo tanto permiten investigadores detectar estos con más facilidad, Además, la implementación de Tor añade más complejidad al proceso de detección."

Pero, por otro lado, gracias al uso de Tor, Chewbacca pueden prescindir de la típica táctica de malware bancario que utiliza un servidor de terceros legítimos, que ha sido comprometido por atacantes para almacenar datos robados, que se realiza para hacer que el robo  de datos relacionados sea más difícil de detectar . "Con Chewbacca, todos los datos ( grabaciones de keylogger, y la extracción de los datos de la memoria ). Se envía de vuelta al servidor TOR de forma organizada",  "Así que no es como otros casos en la zona de descarga y control, son sistemas separados."Gracias a Tor, no lo necesita.



Con El uso de Tor, el propósito principal de Chewbacca es registrar las pulsaciones del teclado y transmitirlas a los atacantes. Al igual que con Torrat, Zeusy el troyano  i2Ninja, y casi todos los otros kit de herramientas de crimeware, su principal objetivo es robar las credenciales de acceso de sitios web de la línea financiera de los usuarios, por lo que los atacantes pueden vaciar sus cuentas.

Resumiendo, el objetivo de los criminales es simple ( robar dinero ) las estrategias de ataque que utiliza el malware bancario pueden ser complejos, según un estudio reciente realizado por Symantec de más de 1.000 archivos de configuración utilizados por ocho troyanos bancarios diferentes, que objetivo colectivamente 1.486 organizaciones diferentes en los primeros nueve meses de este año. "Estos archivos de configuración que definen las direcciones URL que el troyano debe atacar y qué estrategia de ataque de usar", dijo el investigador de seguridad de Symantec información Candid Wueest en un martes blog . Por ejemplo, Symantec encontró que las técnicas de ataque ejercidas sobre los objetivos variaron "desde el Redireccionamiento de usuario complejas en la Web los inyecta, que pueden conducir automáticamente las transacciones en el fondo", declararon.

pero Lo realmente importante, estas estrategias de ataque están funcionando. De acuerdo con Symantec, la tasa de infecciones exitosas por los troyanos financieros más comunes se incrementó este año un 337% entre enero y septiembre, infectando a cerca de 500.000 PC por mes.
FUENTE: Karpesky Labs

ALERTA: Nuevo malware usa a Star Wars como reclamo

Malware Taps Tor Red 'Chewbacca'

Un nuevo Troyano malicioso que se usando como reclamos a chewbacca, de  Star Wars utiliza la red de anonimato Tor para ocultar sus comunicaciones de comando y control.






La próxima Star Wars película no puede ser programado para llegar hasta el verano de 2015, pero la comercialización tie-ins ya han comenzado - por lo menos cuando se trata de los cibercriminales tratan de hacer dinero fácil y fraudulenta.

jueves, 12 de septiembre de 2013

ALERTA: KYNSUKY espionaje cibérnetico descubierto por karpesky

Kaspersky revela campaña de espionaje cibernético "Kimsuky" focalización Corea del Sur

Seguridad de Rusia firma Kaspersky Lab ha revelado que ha estado siguiendo un ataque sostenido contra Corea del Sur por los hackers aparentemente con sede en Corea del Norte.,




Esta nueva campaña de  Espionaje cibernético  denominada "Kimsuky" se ha centrado en varios grupos de expertos de Corea del Sur. 

 Los investigadores creen que la forma de distribución que el malware Kimsuky esta usando para su propagación es a través de phishing e-mails de varias cuentas de correo electrónico y de Dropbox 
"Es interesante que el buzón correo  representa iop110112@hotmail.com y rsh1213@hotmail.com están registrados en los siguientes nombres " kim ": kimsukyang y" Kim asdfa "

Los investigadores de Kaspersky revelaron que esta operación presenta características distintivas en su ejecución y logística. 
La investigación comenzó después de que el equipo de expertos ha detectado un sofisticado programa espía que se comunicaba con él control del servidor a través de un servidor de correo público, un enfoque seguido por muchos creadores  aficionados de malware .

Las Víctimas, descarga un troyano-dropper, que se utiliza para descargar malware adicional, que tiene la capacidad de realizar las siguientes funciones de espionaje, incluyendo el registro de pulsaciones de teclas, colección listado de directorio, control de acceso remoto y el robo de documentos HWP.
     

ALerta: K

En el inicio del sistema, la biblioteca básica deshabilita el firewall del sistema y cualquier servidor de seguridad producida por la seguridad de los productosdel  proveedor AhnLab de Corea del Sur . El malware no incluye una puerta trasera personalizada, esta vez  los atacantes han  modificados un cliente TeamViewer como un módulo de control remoto. 
Los agentes Bot piden comunicarse con C & C a través del servidor de correo electrónico gratuito basado en una web búlgara (mail.bg), mantiene una potente credencial codificadas con su cuenta de correo electrónico. 
Después de la autenticación, el malware envía mensajes de correo electrónico a otra dirección de correo electrónico especificada, y lee mensajes de correo electrónico de la Bandeja de entrada.
La Campaña de espionaje parece que se originó en Corea del Norte.
 Los investigadores identificaron 10 direcciones IP que indican que los atacantes utilizan redes de Jilin de China y las provincias de Liaoning, en la frontera con Corea del Norte.

Los atacantes estaban interesadosen 11 organizaciones con sede en Corea del Sur y dos entidades en China, incluyendo el Instituto Sejong, Corea del Instituto de Análisis de Defensa (KIDA) del Ministerio de Unificación, Hyundai Merchant Marine y los partidarios de la unificación coreana de Corea del Sur.

fuente : http://t.co/cO6nSQfKav

ALERTA: KYNSUKY espionaje cibérnetico descubierto por karpesky

Kaspersky revela campaña de espionaje cibernético "Kimsuky" focalización Corea del Sur

Seguridad de Rusia firma Kaspersky Lab ha revelado que ha estado siguiendo un ataque sostenido contra Corea del Sur por los hackers aparentemente con sede en Corea del Norte.,