NOTICIAS Y RUMORES: Seguridad Informatica

1, 2, 3
Bienvenidos a este nuevo proyecto.
La idea de este hilo es informar de las últimas noticias en pc que nos puede afectar, ayudanos entre usuarios y así tener todo recopilado en un hilo para que sea mucho más fácil encontrar información a los usuarios.

En este hilo, trataremos temas de virus, como solucionarlos, seguridad informática y novedades en el sector.

Espero a todos que os guste.

La primera noticia que publicaré, creo que en estos momentos es muy importante y hay muchos usuarios preocupados por este virus.

Nueva version del "virus policia" mas peligrosa y dificil de eliminar


El virus:
La nueva versión del virus de la policía ha sido detectada por el sitio español de soporte de McAfee. Como el original, se trata de malware tipo Ramsonware para sistemas Windows distribuido generalmente mediante spam, que bloquea los ordenadores hasta que la víctima no pague la ‘multa’ exigida.

Tras bloquear el equipo, el malware muestra una imagen falsa que simula un comunicado de la Policía Nacional, asegurando haber encontrado en el equipo del usuario archivos pirateados o material de pornografía infantil, por lo que exige pagar una cantidad económica a través de Ukash o paysafe.

Aunque este tipo de virus es sumamente conocido y desde la Policía Nacional se ha vuelto a insistir que se trata de una estafa ya que el Cuerpo no reclamará nunca una ‘multa’ como esa, recomendando no pagar absolutamente nada y si se ha hecho, interponer la correspondiente denuncia, no son pocos los usuarios que siguen cayendo en sus redes.

La última versión detectada sube un escalón más en su peligrosidad ya que además de bloquear el administrador de tareas elimina el Safe Boot para el arranque en modo seguro.


¿Cómo eliminarlo?
Tendremos que eliminarlo manualmente y debemos utilizar una solución de seguridad desde un Live CD o pendrive como Kaspersky Rescue Disk, o directamente utilizar herramientas como Malwarebytes Anti-Malware.

Eliminación manual: Oficina de Seguridad del Internauta

Guia completa de creación y uso de un USB con Kaspersky Rescue Disk

Descargar Malwarebytes Anti-Malware

Fuentes: MuySeguridad y OSI
Estupenda idea, creo que va a ser muy útil, me suscribo al hilo ;)
Lo pongo como chincheta, si no el hilo se hunde como el Titanic.
Botnet Flashback, el virus de Mac, aún cerca de 100.000 infectados


Existe actualmente un gran debate sobre Mac y su invulnerabilidad.. ¿Quién no ha escuchado que Apple es invulnerable?¿Que no existían virus para su plataforma?

El control total de Apple en el hardware y software de sus Macs intentando cerrar la plataforma, junto a la baja cuota de mercado de estos equipos en estos años frente al monopolio de Windows en PC, provocó que la inmensa mayoría del malware se dirigiera a Windows.

Aunque la cantidad de malware para plataformas Windows es infinitamente superior a la de Mac, esta no se libra de todo tipo de infecciones y la compañía Trend Micro ha preparado una infografía donde se muestra de un vistazo las amenazas más destacadas para Mac en los últimos años, preparada para concienciar a los usuarios de la necesidad de proteger sus sistemas, independientemente de la plataforma que utilicen.

Infografía de Trend Micro: Blog TrendMicro
Imagen


Algunos medios como ZDNet hablan de la llegada de un “escenario de pesadilla para los usuarios de Mac” tras estar acostumbrados a oír durante años que ‘no existían virus para su plataforma’.

Un mito y una falsa sensación de seguridad alimentada por la misma Apple que en ocasiones como la del troyano Flashback ha perjudicado a los usuarios.


Botnet Flashback afecta a 600.000 Mac OS X infectados en todo el mundo , 274 de ellos son de la propia Apple.


Este troyano simula ser un instalador de Adobe Flash para Mac OS X. El malware ha sido descubierto por el equipo de seguridad de Intego tras la sospecha de una persona que descargó la muestra desde un sitio web. El malware se distribuye como un archivo de instalación, luego si el usuario hace clic sobre el link de descarga desde Apple Safari, la instalación dará comienzo, ya que Safari toma como seguros los archivos .pkg y mpkg.

Una vez instalado, el troyano carga una librería de carga dinámica .dylib que se instala en la ruta ~/Library/Preferences/Preferences.dylib, además de código de auto-ejecución que se encarga también de eliminar software de seguridad red, como firewalls o antivirus. Una vez se ejecuta el troyano, se conecta a un servidor remoto enviando información sobre la máquina infectada, tal como la dirección Mac y un identificador único para ser gestionado desde un panel de control.

¿Cómo saber si estás infectado?

Os dejo un link donde podeís ver si estáis infectados por este malware o no.
Inteco

¿Cómo eliminar el virus?
Apple ha publicado una actualización de seguridad que elimina Flashback y que configura el ordenador para que no sea infectado por este tipo de virus.

La actualización se instalará automáticamente aunque se puede forzar la instalación a través del elemento del menú [Preferencias del sistema >> Actualización de Software].

Tras Flashback, ahora toca Sabpab


Tras Flashback, se ha detectado otro nuevo troyano denominado Sabpab, identificado por Sophos y Symantec, que aprovecha la vulnerabilidad Java como Flashback, aunque Sabpab no requiere intervención directa del usuario, ya que infecta los equipos al visitar sitios web vulnerables utilizando técnicas Drive-by Downloads atacando mediante un script malicioso dentro del código HTML del sitio violado.

Sabpab aprovecha la vulnerabilidad Java (BID 52161) e infecta los equipos mediante una ‘puerta trasera’ que le permite carga y descarga de archivos, tomar capturas de pantalla y ejecutar comandos arbitrarios desde el servidor de control atacante.

¿Cómo saber si estas infectado?
Las herramientas de seguridad de Sophos incluyendo la versión gratuita Anti-Virus for Mac Home Edition son capaces de detectar el troyano.

Descargar Anti-Virus for Mac Home Edition

Si quieres descartar manualmente la infección puedes comprobar la presencia de estos archivos creados por el troyano Sabpap:

/Users//Library/Preferences/com.apple.PubSabAgent.pfile
/Users//Library/LaunchAgents/com.apple.PubSabAGent.plist


Otra muestra de actividad vírica en Mac que probablemente se extienda en el futuro y que obligará a Apple a cancelar el mito y tomar medidas pro-activas en temas de seguridad.

Fuente: INTECO, MuySeguridad, SeguridadApple
Nuevo catálogo Toshiba 2012


Toshiba ha renovado toda su gama de portátiles de consumo y la verdad es que no se ha andado por las ramas con cambios pequeños, la renovación es total e incluye nuevos modelos y otros actualizados en sus netbooks de la familia NB, en los equipos C850, C855, L830, L870 y L855 de las familias Satellite C y L, así como en la “gama premium” de los Satellite P850 y P875.

Netbooks
Toshiba ha eliminado los ventiladores de su diseño en la serie NB510, lo que supone menos consumo y un funcionamiento más silencioso, muy útil para su función de reproductor móvil; e incorpora por primera vez una salida HDMI para transferir con la máxima calidad la imagen y el audio a pantallas de TV más grandes.

Los nuevos NB520 y NB510 integran los últimos procesadores Intel Atom de doble núcleo, tienen 1 Gbyte de RAM y un disco duro de 320 Gbytes SATA de 5.400 rpm, pesan 1,2 kilos de peso y su autonomía varía entre las 8 y 9 horas. Disponen de tres puertos USB estándar, WiFi, Bluetooth y Ethernet 10/100, salida para auriculares estéreo y micrófono y WebCam. En el apartado gráfico, destaca su pantalla LED panorámica de 10,1 pulgadas con resolución de 1.024 x 600 y 200 NIT de brillo, así como su chip gráfico dedicado de hasta 250 Mbytes.

Mención aparte merece el apartado del sonido. Toshiba ha desarrollado una tecnología propia para mejorar el audio de estos equipos llamada Toshiba Audio Enhancement. Además, el NB520 incorpora altavoces de gama alta Harman Kardon de 2 vatios y tecnología Dolby Advanced Audio. Este equipo se puede usar como reproductor de música cuando está apagado gracias a la prestación Sleep’n Music, que funciona tanto a través del puerto USB como el conector de auriculares. También dispone de tecnología Sleep’n Charge para cargar dispositivos sin encender el equipo.

Portátiles gama entrada y media
Los Satellite de las series C y L, las grandes novedades vienen de la actualización de procesadores y sistemas gráficos, así como del diseño y la ergonomía. Toshiba amplía el número de modelos con carcasas más resistentes fabricadas con aluminio y, en otros, usa nuevas texturas con nuevos y variados colores que disminuyen el clásico problema de las marcas de los dedos.

Además, se amplía el tamaño de los touch-pads y también se incluyen click-pads, todos ellos capaces de reconocer comandos táctiles que pueden incluso ser configurados por el propio usuario. Las tecnologías Sleep´n Charge o Sleep´n Music también están presentes.

Como equipos para el entretenimiento multimedia que son, los nuevos portátiles de Toshiba incorporan pantallas panorámicas de alto brillo, el motor de vídeo Resolution+ para escalar la calidad de imagen a HD y también conversión 2D a 3D, y sintonizadores de TV integrados. El puerto HDMI se ha convertido en un estándar para Toshiba, lo que, junto a la tecnología WIDI 3.0 convierte los portátiles en reproductores de contenidos de alta definición ideales para conectarlos a televisores de gran formato. Otra ventaja de esta tecnología es que permite conseguir una cobertura WiFi mayor y más rápida gracias al uso de dos antenas.

La calidad de sonido sigue siendo uno de los rasgos característicos de los portátiles de consumo de Toshiba. La nueva gama de Toshiba ha aumentado el tamaño y la potencia de todos los altavoces de sus equipos y ha incluido tecnología de mejora de audio SRS Premium Sound HD, incluso en los de gama de entrada. La gama alta monta hasta cuatro altavoces Harman Kardon con tecnología Slip Stream, que permite conseguir una baja distorsión de los graves.

Toshiba se pasa a las conexiones USB 3.0 que ofrecen hasta diez veces más velocidad que los USB 2.0, por lo que sus modelos de gama alta sólo incluyen USB 3.0. Algo similar ha pasado en la comunicación inalámbrica, donde se ha optado por Bluetooth 4.0, que permite un menor consumo y más velocidad y alcance.

Los precios de los C850/C870 y C855 están entre 499 y 549 euros, y los de los L830/L870 y L855 entre 599 y 699 euros.

Portátiles gama alta
Tenemos que hablar de los Satellite P850 (899 euros) y P875 (1.399 euros). El Satellite P875 es capaz de montar hasta 32 Gbytes de RAM aunque de serie se entrega con 16 Gbytes. El portátil incluye además dos discos duros de 1 Tbyte cada uno, una tarjeta gráfica NVIDIA de 2 Gbytes, una pantalla de 17,3 pulgadas de 1.600 x 900 panorámica y 4 altavoces Harman Kardom, con un sistema de sonido HD de 24 bits y tecnología SRS Premium 3D y Slip Stream que evita la distorsión del sonido a un volumen alto. Además, todos sus puertos son USB 3.0 y dispone de Bluetooth 4.0.

El nuevo portátil tiene una excelente capacidad de procesamiento gráfico con un motor de vídeo Resolution+ que escala una señal estándar a HD y convierte imágenes 2D a 3D. También dispone de una unidad óptica BluRay regrabable, sintonizador de TV digital y mando a distancia.

La gama Satellite P de Toshiba se completa con el lanzamiento del modelo Satellite P850, un equipo con un peso inferior en medio kilo al P875 (éste pesa 3 kilos) y pantalla de 15,6 pulgadas con prácticamente las mismas prestaciones: los últimos procesadores y chips de Intel y NVIDIA, 8 Gbyts de RAM, 4 Gbytes de memoria gráfica, 1 Tbyte de disco duro y dos altavoces Harman Kardom con tecnología SRS Premium 3D y Slip Stream. También integra tecnología WIDI 3.0 de Intel, conversión de 2D a 3D y Bluetooth 4.0.

Fuente:MuyComputer
Estafa telefónica en nombre de Microsoft


Se ha detectado una nueva campaña de estafas cibernéticas mediante ingeniería social conocidas como phishing, realizadas a través de llamadas telefónicas donde el atacante se hace pasar por trabajador de Microsoft.

El ciberdelincuente explica al atacante que han detectado “un fallo inminente de su sistema Windows” ofreciéndose a repararlo a distancia.

En algunas ocasiones, el estafador directamente requiere una cantidad económica por su ‘trabajo’ y en otras -aún más peligrosas- se ofrece a ‘reparar’ gratuitamente su sistema operativo para lo que el usuario debe acceder a un sitio web determinado desde su navegador.

El acceso lleva a un sitio web malicioso controlado por los atacantes que instala malware en el equipo cliente con el fin de robar su identidad.

Microsoft ha emitido una declaración recordando que es una estafa conocida que utiliza falsamente el nombre de Microsoft o de alguno de sus departamentos para ganar la confianza del usuario: “Ni Microsoft ni sus socios realizan llamadas telefónicas no solicitadas para ayudar a resolver sus problemas informáticos. Si usted recibe una llamada telefónica que pretende ser de Microsoft, y pide que envíe información personal, cuelgue el teléfono”.

Fuente: MuySeguridad
Nueva variante del troyano para Mac, Flashback.S


Aunque el Flashback original que llegó a infectar 600.000 ordenadores Mac, parece controlado tras el lanzamiento de parches, herramientas de desinfección de varias compañías de seguridad y concienciación de los usuarios de la obligatoriedad de actualizar el entorno Java, una nueva variante amenaza de nuevo a la plataforma.

Flashback.S aprovecha la misma vulnerabilidad Java que Apple y Oracle ya han parcheado y se infiltra sin necesidad de contraseña en las carpetas ~/Library/LaunchAgents/com.java.update.plist y ~/.jupdate.

A continuación elimina todos los archivos y carpetas de la carpeta caché de Java, ~/Library/Caches/Java/cache para evitar su detección.

Antivirus instalados como el Barrier X6 de la firma Intego que ha localizado el Flashback.S, y el resto de software de seguridad para Mac actualizados tras la detección de este troyano, impiden la infección, aunque la mejor barrera sigue siendo la actualización de Java.

Otra herramienta de apoyo disponible es el FlashBack Checker, así como herramientas de eliminación como el Flashback Removal Tool de F-Secure.

Flashback.S ya es la segunda variante descubierta tras Sabpab-Sabpub, otro troyano que infecta los equipos al visitar sitios web vulnerables utilizando técnicas Drive-by Downloads, atacando mediante un script malicioso dentro del código HTML del sitio violado.

Fuente: MuySeguridad
Google Drive, la nube de google, ya disponible


Google Drive viene a competir con fórmulas de gran éxito como la start-up Dropbox y con servicios similares de otras grandes tecnológicas como el Apple -Apple iCloud o el Microsoft SkyDrive

Google ofrece en Drive un lugar donde crear, compartir, colaborar y almacenar documentos, archivos, fotos o vídeos. Drive podrá ser instalado en PCs, Mac y en sistemas móviles como Android y posteriormente en dispositivos con el iOS de Apple.

En cuanto a capacidad, Google Drive ofrece gratuitamente 5 Gbytes y ampliación mediante servicio de pago mensual a 25, 100 y 1000 Gbytes por 2,5, 5 y 50 dólares respectivamente.

http://www.youtube.com/v/wKJ9KzGQq0w&hl

Fuente: MuyComputerPro
Hathaway escribió:Google Drive, la nube de google, ya disponible



Sólo para completar la noticia de Google Drive, su servicio es un poco distinto al existente en el mercado, box, dropbox, adrive, skydrive y la diferencia radica en las famosas "condiciones de uso" mucho más abusivas e intrusivas que las existentes en la competencia, por lo que no lo veo como "el mismo producto

http://m.zdnet.com/blog/btl/how-far-do- ... iles/75228

Básicamente, al subir ficheros a G-Drive das "permiso" a google a utilizar tus datos y ficheros para lo que quiera Google, no existe el concepto "privacidad", es mas bien "donación" o "compartición". Por lo que no veo que sea el mismo servicio.
bursalia2k escribió:Sólo para completar la noticia de Google Drive, su servicio es un poco distinto al existente en el mercado, box, dropbox, adrive, skydrive y la diferencia radica en las famosas "condiciones de uso" mucho más abusivas e intrusivas que las existentes en la competencia, por lo que no lo veo como "el mismo producto

http://m.zdnet.com/blog/btl/how-far-do- ... iles/75228

Básicamente, al subir ficheros a G-Drive das "permiso" a google a utilizar tus datos y ficheros para lo que quiera Google, no existe el concepto "privacidad", es mas bien "donación" o "compartición". Por lo que no veo que sea el mismo servicio.



Gracias por tu aporte bursalia2k.
He estado buscando más información al respecto y he encontrado lo siguiente:

Google Drive:

Al subir contenido o al enviarlo por otros medios a nuestros Servicios, concedes a Google (y a sus colaboradores) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas (por ejemplo, las que resulten de la traducción, la adaptación u otros cambios que realicemos para que tu contenido se adapte mejor a nuestros Servicios), comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido.

Google usará los derechos que le confiere esta licencia únicamente con el fin de proporcionar, promocionar y mejorar los Servicios y de desarrollar servicios nuevos. Esta licencia seguirá vigente incluso cuando dejes de usar nuestros Servicios (por ejemplo, en el caso de una ficha de empresa que hayas añadido a Google Maps).


Como indican en la noticia original, es en el último párrafo citado donde Google explica un poco el porqué de unos términos tan abusivos para con el usuario: mejorar el servicio. Es el margen que el gigante de Internet deja a “usar los derechos que le confiere esta licencia únicamente para mejorar los servicios…” lo que puede preocupar. Que no sea así.

En la publicación referida se olvidan del párrafo anterior a los citados antes, que además encabeza la sección del contenido generado por los usuarios:

Algunos de nuestros servicios te permiten enviar contenido. Si lo haces, seguirás siendo el titular de los derechos de propiedad intelectual que tengas sobre ese contenido. En pocas palabras, lo que te pertenece, tuyo es.

También se le pasa al redactor de Cnet ahondar un poco más en los términos de Microsoft, que al igual que de los de Google, tratan del conjunto de servicios que ofrecen ambas compañías, no solo de los de almacenamiento. Y la verdad es que, con otras palabras, dicen casi lo mismo:

Usted entiende que Microsoft puede necesitar usar, modificar, adaptar, reproducir, distribuir y mostrar contenido publicado en el servicio exclusivamente hasta el límite necesario para prestar el servicio, y por la presente concede a Microsoft estos derechos.

Así pues, que no cunda el pánico. Casi todas las grandes compañías del sector juegan con las mismas cartas, tienen que acatar las mismas leyes de protección de datos y siguen respondiendo a las autoridades de turno. Al menos por ahora, de aquella manera.

Fuente: MuySeguridad
¿Es seguro Google Drive?


Todas las conexiones a Google Drive se cifran mediante el protocolo de transporte SSL, no importa si accedemos desde el navegador web, las aplicaciones de escritorio o las móviles.

Una vez alojados en los servidores de Google, todos los datos son cifrados, y aunque los de Mountain View no son muy dados a pregonar los algoritmos y configuraciones que utilizan, se entiende que cumplen con los estándares que marca la industria.

De hecho, la reconvertida aplicación de Google Docs para Android, ahora Google Drive, viene configurada por defecto para cifrar también los documentos sin conexión que se almacenan en la memoria del teléfono, además de ofrecer la opción de descifrado de flujo -o cifrado de stream-, suponemos para facilitar el uso del servicio en modo colaborativo o acelerar el acceso a los contenidos.

Imagen

Entonces, ¿cuán seguro es Google Drive? Atendiendo a lo dicho, tan seguro como cabría esperar, excepto en un único punto en el que sucumben la mayoría de servicios similares y que no tiene por qué suponer ningún drama para quienes ya utilicen otros servicios de Google como Gmail o Picasa: la privacidad completa para con el usuario.

Es decir, el nivel de seguridad de Drive es óptimo, pero en última instancia, los responsables del producto siempre podrán acceder a los datos del usuario. Lo mismo pasa con Dropbox, SkyDrive, iCloud, Ubuntu One y un largo etcétera de ejemplos. Y no entramos en los términos de contrato de cada servicio, porque como se suele decir, de noche todos los gatos son pardos.

Si lo anterior te preocupa o, en otras palabras, si quieres ser tú literalmente la única persona con la posibilidad de descifrar y ver tu información, olvídate de los servicios más populares, lo tuyo es SpiderOak o Wuala, dos espléndidas alternativas de almacenamiento y sincronización de archivos en la nube que destacan por su seguridad, entre otras características. En cualquier caso, si no confías en nada ni en nadie, deberías cifrar tú mismo tus archivos, así cualquier servicio será definitivamente cien por cien seguro para alojar tu información.

En definitiva, Google Drive se lleva un notable en seguridad, que sería sobresaliente si el factor de privacidad absoluta del que hemos hablado fuera puesto en práctica por el gigante de Internet (algo que no va a pasar).

Fuente: MuySeguridad
Vulnerabilidad critica en hotmail, COMPRUEBA TU CUENTA


Microsoft ha solucionado una vulnerabilidad crítica que permitía el robo de cuentas en su cliente de correo web Hotmail. A pesar de la rápida actuación de la compañía tras la detección de la vulnerabilidad, se ha conocido que la misma ha llegado a ser explotada por lo que un número no determinado de usuarios están afectados.

La vulnerabilidad en el restablecimiento de contraseñas de la aplicación, fue descubierta por el investigador Benjamin Kunz Mejri del Vulnerability Laboratory informando a Microsoft el 6 de abril.

La vulnerabilidad fue rápidamente aprovechada y un hacker saudí del foro de seguridad WhiteC0de alertó de un exploit que se estaba extiendo rápidamente en medios underground. Preparado al efecto mediante el complemento de Firefox Tamper Data, interceptaba peticiones HTTP y era capaz de superar la seguridad token del inicio de sesión de Hotmail aprovechando la vulnerabilidad de recuperación de contraseñas.

A pesar de la rápida actuación de Microsoft, lanzando un parche temporal la semana anterior y una solución definitiva posteriormente, desde Whitec0de aseguran que el exploit ha sido ampliamente utilizado para robar las cuentas de Hotmail, recordemos, el servicio de correo electrónico web más utilizado del mundo con 364 millones de usuarios, superando al Gmail de Google.

No se conocen los usuarios afectados por lo que se recomienda comprobar el acceso normal a las mismas para asegurarse que aún tenemos el control de la cuenta. Especialmente en el caso que la utilicemos ocasionalmente, la hayamos usado para servicios financieros o para acceder a terceras aplicaciones como redes sociales.

Fuente: MuySeguridad
Hitachi anuncia la primera SSD 12 Gbit/s SAS de la industria


La división de almacenamiento de Hitachi, propiedad de Western Digital, ha anunciado la presentación de la primera unidad de estado sólido con interfaz SAS 12 Gbit/s de la industria.

El modelo de Hitachi duplicará la velocidad teórica de la interfaz SATA-III manteniendo su compatibilidad.

En unidades de dos puertos full-duplex, la interfaz 12Gbit/s SAS proporciona 24 Gbit / s en ambas direcciones para un total de 48 Gbit/s, o lo que es lo mismo, capaz de alcanzar transferencias de datos de 4,8 Gbytes por segundo.

Hitachi GST explica que, los clientes de centros de datos y servidores pueden reducir la latencia y aumentar el rendimiento mediante el uso de estas unidades SSD 12Gbit/s SAS en los arrays de discos duros.

Hitachi mostrará esta solución en la conferencia SCSI Trade Association Technology Showcase que se celebrará la semana próxima en California. Soluciones que esperan desplegarse en 2013.


Fuente. MuyComputerPro
El troya Flashback genera más de 10.000 dólares diarios de beneficios


El troyano Flashback y sus variantes, reportarían a sus creadores hasta 10.000 dólares diarios por el robo de publicidad de Google.

Son las estimaciones de Symantec al analizar el ‘modelo de negocio’ que está detrás de la creación de este troyano y de su red de bots asociada, y su motivación, que no es otra que lograr un gran beneficio económico.

Como sabes, los ciberdelincuentes aprovecharon una vulnerabilidad de Java para crear el troyano Flashback. La estrategia de seguridad y la lentitud de Apple para actualizar sus sistemas cuando Oracle ya había parcheado el entorno Java ayudó a extender el malware.

Symantec calcula que fueron infectadas hasta 700.000 máquinas Mac formando una botnet que podría generar fácilmente unos 10.000 dólares al día por robo de clics.

Fraude publicitario mediante un componente ad-clicking cargado en los navegadores Firefox, Chrome y Safari, interceptando peticiones GET y POST y redirigiendo a los usuarios a otra página a elección del atacante con ingresos por clic.

Ingresos de 0,8 centavos de dólar que multiplicados por los miles de equipos afectados resultan en una cantidad astronómica de ingresos para estos ciberdelincuentes, cuya motivación para extender el troyano Flashback queda clara según el análisis de Symantec.


Fuente: MuySeguridad
Pasos a seguir para recuperar los 25Gb en SkyDrive


En un principio, Microsoft ofrecía 25 Gb de espacio a los usuarios de manera gratuita, pero hace unas semanas, decidieron recortar esa capacidad a 7 Gb a los usuarios que no tuvieran más de 4 Gb utilizados.

Os dejo los pasos a seguir para los que queráis recuperar los 25Gb.

1. Entrar en la web https://skydrive.live.com/ logeándote con tu nombre de usuario y contraseña.
2. Hacer clic en la parte inferior izquierda bajo 7 GB de espacio en Administrar almacenamiento.
3. Una vez dentro, podremos ver cómo tenemos la opción de volver a disfrutar de los 25 Gbytes iniciales gratuitamente, POR UN TIEMPO LIMITADO!

Imagen

4. Tras aplicarse los cambios podremos ver cómo volvemos a tenere 25 Gbytes en total en la nube de Microsoft.

Imagen

Fuente: MuyComputer
buenisimas estas últimas noticias, gran trabajo Hathaway [oki]
metalgear escribió:buenisimas estas últimas noticias, gran trabajo Hathaway [oki]


Muchas gracias metalgear, pero solo me limito a ponerlas de manera visible para información de todos los usuarios... si tuviera más tiempo las personalizaría.
ALERTA! Troyano en falsas reservas de viajes


G Data Security Labs ha detectado envíos masivos de correos electrónicos relacionados con confirmaciones de reservas hoteleras que contienen un peligroso troyano bancario capaz de asaltar la cuenta corriente de sus víctimas.

Con las vacaciones de verano a la vuelta de la esquina y el mayor uso de Internet para reservas en hoteles o compañías de transporte, los ciberdelincuentes encuentran en las reservas vacacionales un terreno abonado para propagación de malware.

En este caso, utilizan el nombre de un popular buscador de reservas hoteleras (Booking.com) para asegurarse un remitente de confianza en una oleada de correos electrónicos que adjuntan un peligroso troyano bancario.

El malware utilizado en esta estafa pertenece a la familia de troyanos bancarios Bebloh, capaz de robar los datos de acceso a las cuentas corrientes de sus víctimas sin ofrecer síntomas aparentes de infección por lo que no es fácil de detectar por el usuario.


Descartar automáticamente este tipo de correos si no has realizado una reserva con el operador en cuestión

Os dejo información de etre troyano aquí

Fuente: MuySeguridad y Eset
Vulnerabilidad CRITICA en Flash Player, ¡ACTUALIZA!


Adobe ha publicado nuevas versiones del Flash Player, tanto para la aplicación independiente de CS como para los plug-in de navegadores web, para resolver una vulnerabilidad crítica (CVE-2012-0779) relacionada con un error de tipo “object confusion” que permite ejecutar código malicioso remotamente para tomar el control del equipo.

Recursos afectados
* Adobe Flash Player 11.2.202.233 y versiones anteriores para Windows, Macintosh, Linux.
* Adobe Flash Player 11.1.115.7 y versiones anteriores para Android 4.x
* Adobe Flash Player 11.1.111.8 y anteriores versiones para Android 3.x y anteriores

¿Cómo comprobar la versión instalada de Flash Player?
Se muestra accediendo a la página Acerca de Flash Player o pulsando el botón derecho del ratón en un contenido de Flash, y seleccionando la opción de «Acerca de Adobe Flash Player».

Para comprobar la versión instalada en Android, si no tienes activada la actualización automática tendrás que comprobar el número de versión y actualizar manualmente, excepto en el navegador web Chrome que se actualiza internamente.
Para comprobarlo manualmente se debe hacer clic en el menú [Settings > Applications > Manage Applications > Adobe Flash Player 11.x.].

¿Cómo actualizar?
*Para plataformas Windows, Macintosh y Linux actualizar a Adobe Flash Player 11.2.202.235. Es posible hacerlo desde el centro de descargas de Adobe Flash Player.

* Los usuarios de Android 4.x deben actualizar a la versión 11.1.115.8 a través del Android Market.

* Los usuarios de Android 3.x y anteriores deben actualizar a la versión 11.1.111.9 a través del Android Market.

Adobe recomienda encarecidamente esta actualización ya que se ha detectado un exploit que explota la vulnerabilidad en navegadores Internet Explorer en sistemas Windows y es probable que se desarrollen otros para el resto de navegadores y plataformas.

La actualización ha sido clasificada como crítica de prioridad 1 para sistemas operativos Microsoft Windows y de prioridad 2 para Macintosh, Linux y Android.

Consecuencias en caso de no actualizar
* Ejecución de código malicioso y, por tanto, la posibilidad de que un atacante remoto tome el control del ordenador vulnerable.
* Revelación de información confidencial.

Fuente: MuySeguridad, INTECO
Problema de seguridad en algunos sistemas Mac OS X


Un fallo en una actualización de Apple permite, en algunos casos, acceder a un fichero con la contraseña del usuario.

Afecta a:
Mac OS anteriores a 10.7.3 que utilizaran Filevault para cifrar la carpeta de inicio, y después se actualizaran a dicha versión.

De momento no hay solución, hasta que Apple no la publique.
Una posibilidad podría ser utilizar Filevault 2 para cifrar todo el disco, de esta forma, no será accesible ninguna información sin la contraseña (es importante saber que si perdemos esta contraseña, perderemos el acceso a toda la información del disco duro, así que hay que tener cuidado).

Si se ha utilizado Filevault para cifrar la carpeta de inicio del sistema, y posteriormente se ha actualizado el sistema operativo a la versión Mac OS X 10.7.3, un fallo en esta actualización permite visualizar un fichero que contiene la clave del usuario en texto claro (sin estar cifrada), lo que supone un riesgo para los usuarios.

Guía de uso Filevault 2

Fuente: INTECO
Contraseñas de twitter al descubierto


Cinco páginas de Pastebin han sido necesarias para contener los más de 55.000 nombres de usuario y contraseñas de usuarios de Twitter, que ayer hacía públicas la página web Airdemon.net

Según indican en Cnet, Twitter investiga cómo han podido llegar a ser obtenidos los datos, que en muchos casos son repetidos o pertenecen a cuentas suspendidas -siempre según los responsables de la red social-.

Aún así, alertan a todos sus usuarios a aprovechar este momento para cambiar de contraseña, porque no se sabe si todas las reveladas son todas las que se han sustraído… si es que se han sustraído. Porque lo cierto es que todavía no se sabe demasiado qué ha podido pasar.

Comprueba si tu contraseña se encuentra en la lista publicada, solo tienes que acceder a los enlaces de Pastebin que publican en el primer artículo citado, y utilizar la opción de buscar en página de tu navegador web (Control+F).

Te recomendamos que CAMBIES DE CONTRASEÑA, así como pasarte por la página de ayuda de Twitter si tienes más dudas sobre qué hacer cuando tengas la impresión de que tu cuenta pueda haber sido comprometida.

Fuente: MuySeguridad
Actualiza Adobe ShockWave Player


ShockWave Player es un programa que utiliza el navegador web para reproducir contenidos multimedia ShockWave.
Esta nueva actualización soluciona 5 fallos graves de seguridad que permiten la ejecución de programas maliciosos en el ordenador comprometido.

Afecta a: Ordenadores Windows o Macintosh OS X con Adobe ShockWave Player instalado.

Solución: Actualiza Adobe ShockWave Player desde la página de actualizaciones de Adobe ShockWave.

Fuente: INTECO
Buena iniciativa!!

Yo estos dias tengo que borrar de mi cuenta de twitter mensajes que se ponen en ingles solos cuando le viene en gana.......no se si es problema del mov o del pc. Cambiare la pass de todas maneras :)

Si alguien sabe que avise gracias!
NaT escribió:Buena iniciativa!!

Yo estos dias tengo que borrar de mi cuenta de twitter mensajes que se ponen en ingles solos cuando le viene en gana.......no se si es problema del mov o del pc. Cambiare la pass de todas maneras :)

Si alguien sabe que avise gracias!


Gracias NaT,
Te aconsejaría que revisaras la lista de contraseñas publicadas y si estás entre ellas, cambiala de inmediato.

De todas maneras, siempre se recomienda cambiar las contraseñas cada "x" tiempo, para evitar estos problemas.
Un consejo, mientras estamos de vacaciones


Las conexiones a Internet y Hotspot de los hoteles cada vez son más utilizados en la distribución de malware, según un informe del Internet Crime Complaint Center (IC3), organización cercana al FBI estadounidense.

IC3 explica que, el malware es distribuido mediante pop-up que saltan cuando se establece una conexión a Internet en estos establecimientos.

Los pop-ups se presentan como notificaciones de actualización de un producto de software ampliamente utilizado. Si los usuarios confiados hacen clic sobre el botón de instalación, el software malicioso se instala en su lugar.

Se recomienda descartar cualquier actualización de software mediante avisos y notificaciones, y en el caso que sea necesario hacerlo desde estos sitios públicos, actualizar siempre desde el sitio web del fabricante.

Este no es el primer informe que cuestiona la seguridad en hoteles y recientemente la compañía Trusteer, uno de los líderes mundiales de servicios seguros de acceso web, alertó de la venta en foros clandestinos de un kit basado en un troyano de acceso remoto (RAT) capaz de infectar equipos de recepción en establecimiento como hoteles y robar datos de tarjetas de crédito de clientes.


Fuente: MuySeguridad
Hathaway escribió:
Problema de seguridad en algunos sistemas Mac OS X


Un fallo en una actualización de Apple permite, en algunos casos, acceder a un fichero con la contraseña del usuario.

Afecta a:
Mac OS anteriores a 10.7.3 que utilizaran Filevault para cifrar la carpeta de inicio, y después se actualizaran a dicha versión.

De momento no hay solución, hasta que Apple no la publique.
Una posibilidad podría ser utilizar Filevault 2 para cifrar todo el disco, de esta forma, no será accesible ninguna información sin la contraseña (es importante saber que si perdemos esta contraseña, perderemos el acceso a toda la información del disco duro, así que hay que tener cuidado).

Si se ha utilizado Filevault para cifrar la carpeta de inicio del sistema, y posteriormente se ha actualizado el sistema operativo a la versión Mac OS X 10.7.3, un fallo en esta actualización permite visualizar un fichero que contiene la clave del usuario en texto claro (sin estar cifrada), lo que supone un riesgo para los usuarios.

Guía de uso Filevault 2

Fuente: INTECO


Ya tenemos solución!!

Las actualizaciones pueden descargarse e instalarse a través del elemento del menú «Actualización de software...» o descargándolas de la web de Apple.

Las nuevas versiones de Snow Leopard y Lion resuelven un gran número de problemas de seguridad.

Las vulnerabilidades resueltas son:
* Vulnerabilidad en la aplicación de cifrado Filevault detectada el día 7 de Mayo.
* Vulnerabilidad en Bluetooth que puede permitir el escalado de privilegios.
* Vulnerabilidad en curl que puede permitir descifrar el protocolo SSL cuando se usa un cifrado de bloque en modo CBC.
* Vulnerabilidad en el componente ImageIO que, al procesar una imagen TIFF, maliciosa permite la ejecución de código malicioso.
* Vulnerabilidad en libsecurity que permite la ejecución de código malicioso o el cuelgue de la aplicación al procesar un certificado X.509 malicioso.
* Vulnerabilidad en libxml que permite la ejecución de código malicioso o cuelgue de la aplicación al visitar una página web maliciosa.
* Vulnerabilidad en LoginUIFramework que permite a un atacante con acceso físico al ordenador loguearse con un usuario distinto a invitado (Guest) si el usuario invitado está habilitado.

Además, incluye las siguientes correcciones:
* Soluciona un problema por el que el ajuste “Volver a abrir las ventanas al reiniciar la sesión” está siempre activado.
* Mejora la compatibilidad con determinados teclados USB británicos de terceros.
* Soluciona un problema que puede impedir el guardado de archivos en un servidor.
* Mejora la fiabilidad del copiado de archivos en un servidor SMB.

Adicionalmente, Apple ha actualizado su navegador web Safari a la versión 5.1.7, corrigiendo varias vulnerabilidad de ejecución de código remota. También desactiva el plugin de Adobe Flash si se encuentra desactualizado ante el riesgo de seguridad.

Mac OS X 10.7.4, Mac OS X 10.6.8 y Safari 5.1.7 pueden actualizarse automáticamente desde ‘actualización de software’ o desde el sitio de sitio de descarga de Apple.

Fuentes: MuySeguridad, INTECO
(mensaje borrado)
"Estafa on-line promete Diablo III gratis"


Trend Micro ha alertado de una campaña de estafa en línea que aprovecha el tirón del lanzamiento del esperadísimo videojuego Diablo III de Blizzard.

Los ciberdelincuentes utilizan técnicas Black Hat SEO ofreciendo una supuesta “descarga gratuita del juego” que en realidad busca hacer dinero con los clics de usuarios en los botones de descarga y las sucesivas encuestas.

No es la primera vez que grandes títulos de la primera industria del entretenimiento se utilizan para estas campañas de ‘Scam’, estafas en líneas que ofrecen un producto o servicio que en realidad es falso.

La campaña “diablo 3 free download” en realidad lleva a encuestas y a otras web que podrían insertar código malicioso.

El lanzamiento de Diablo III está programado para el 15 de mayo


Fuente: MuySeguridad
gracias por el aviso, mucha gente con el ansia que provoca este juego (en los que me incluyo XD ) pueden hacer que esta estafa florezca.
Nueva actualización de seguridad para Mac OS X Leopard


Ante la incidencia del virus Flashblack, Apple ha publicado dos actualizaciones de seguridad para la versión 10.5 de su sistema operativo (una la publicábamos hace unos días) con el objetivo de eliminar y prevenir la infección del malware Flashback. Para ello, las actualizaciones incluyen las dos medidas siguientes:

• Una herramienta que elimina las variantes más comunes del virus automáticamente.
• Desactiva Adobe Flash Player si su versión es anterior a la 10.1.102.64 y presenta al usuario la posibilidad de descargar e instalar la nueva versión.

La nueva puede descargarse e instalarse a través del elemento del menú «Actualización de software...» o descargándolas de la web de Apple.

Fuente: INTECO
Actualización Avira para Windows


Una actualización defectuosa en las soluciones de seguridad Premium de la firma Avira, bloquea procesos críticos de sistemas Windows y software de terceros, dejando las computadoras inservibles en la práctica.

Versiones afectadas:
Las ediciones de pago: Avira Antivirus Premium, Avira Internet Security, Avira Small Business Security Suite, Avira Endpoint Security y Avira Professional Security, bajo sistemas Windows.
La versión gratuita no se ve afectada.

El problema llega tras la actualización del software a la versión 8.2.10.64 y el archivo de definiciones de virus a la 7.11.30.24. El resultado es que el componente AntiVirProActiv detecta procesos críticos como malware incluyendo:

\ Windows \ system32 \ dllhost.exe
\ Windows \ system32 \ explorer.exe
\ Windows \ system32 \ iexplorer.exe
\ Windows \ system32 \ notepad.exe
\ Windows \ system32 \ regedit.exe
\ Windows \ system32 rundll32.exe \
\ Windows \ system32 taskeng.exe \
\ Windows \ system32 wuauclt.exe \

La actualización bloquea otro software de Microsoft como Office y Works, y otras aplicaciones de terceros como Byki 4 Express, Documents To Go, Garmin, Google Talk, iPod and Palm services, Opera, OpenDNS Updater, Polipo, Shadow o Stickies.

Solución temporal:
Mientras Avira publica una actualización, la solución pasa por entrar en Windows mediante el modo a prueba de fallos y deshabilitar el componente Avira ProActiv.
Otra solución para usuarios avanzados es agregar excepciones para todas las aplicaciones afectadas como recomienda Avira.

Fuente: MuySeguridad
Día de Internet 2012


Imagen

Hoy, 17 de Mayo, con motivo del Día Mundial de las Telecomunicaciones y Sociedad de la Información, más conocido como “Día de Internet 2012”, se celebran cientos de eventos en todo el mundo.

Se ha creado ésta página web la cual consta de un buscador que te permite rastrear los eventos por localización, tipo de evento, tipo de promotor o eventos on-line.

Os recomiendo que le echéis un vistazo, es muy interesante los eventos que organizan los promotores, por ejemplo:

Movistar: Sortean 3 Samsung Galaxy Note, solamente tienes que entrar en la página creada especialmente. Leete bien las condiciones!!

El Corte Inglés: Del 14 al 20 de mayo los clientes de www.elcorteingles.es podrán disfrutar de excepcionales descuentos y además, sin gastos de envío.

Yves Rocher: celebra el Día de Internet regalando 15 compras online gratuitas en Twitter. Para ello, sorteará 15 códigos en su página oficial de Twitter @yvesrocheres. A lo largo del día se lanzarán diferentes preguntas relacionadas con la marca, los 5 primeros followers en contestar correctamente tendrán la suerte de conseguir una compra en la web de Yves Rocher sin coste.

La compañía ESET, bajo el lema “Disfruta de una Internet segura” ha querido ofrecer a modo de infografía cinco sencillos consejos de seguridad para que los internautas puedan disfrutar de todas las grandes ventajas que ofrece la Red sin correr riesgos.

Imagen

Fuente: Blog ESET, diadeinternet
Nueva variante del "Virus Policía", ahora por multa de la SGAE


El Cuerpo Nacional de Policía ha emitido en el día de hoy un comunicado en el que alertan de una nueva estafa en Internet con una supuesta multa de la SGAE por piratería que bloquea el ordenador, ahora supuestamente la Policía Nacional y la SGAE "confiscan" el ordenador y amenaza con consecuencias penales sino se abonan 50 euros de multa por descarga ilegal de música.

¿A quién afecta?
El virus afecta a ordenadores Windows

¿Cómo eliminarlo?
Tendremos que eliminarlo manualmente y debemos utilizar una solución de seguridad desde un Live CD o pendrive como Kaspersky Rescue Disk, o directamente utilizar herramientas como Malwarebytes Anti-Malware.

Eliminación manual: Oficina de Seguridad del Internauta

Guia completa de creación y uso de un USB con Kaspersky Rescue Disk

Descargar Malwarebytes Anti-Malware


Hoy, en el día Mundial de Internet, os recordamos que hay unas medidas básicas para evitar infecciones de malware.

Las infecciones provocadas por virus informáticos se producen por varios motivos:
• No disponer de antivirus o no tenerlo actualizado
• No actualizar aplicaciones (sistema operativo, procesadores de texto, navegadores, etc.,)
• Ejecutar programas desconocidos
• Acceder a links acortados cuya procedencia o fiabilidad desconocemos
• Navegar por páginas web inseguras

Fuente: Policia, OSI, MuySeguridad
Si ves anuncios en Wikipedia, probablemente estás infectado


Así informan desde el blog de Wikipedia

Los responsables recuerdan que la wikipedia está financiada exclusivamente por más de un millón de donaciones y no incluye publicidad alguna.
Por esom, han alertado que se trata de un factor externo a su servicio, producido por una infección de malware tras un ataque web incluyendo plug-in maliciosos en el navegador del usuario.

Wikimedia recomienda deshabilitar los complementos del navegador web de los que no estemos seguro y realizar un análisis completo de malware en los equipos. Este tipo de malware también se puede reproducir en equipos ‘limpios’ tras conectar a Internet a través de redes abiertas, cibercafés u hoteles, cada vez más utilizados en la distribución de malware.

Fuente: MuySeguridad, Wikimedia
Con tu permiso Hathaway añado nueva información sobre la nueva variante del virus de la polícia y de la SGAE que ya anda circulando por la red. Hay que tener mucho más cuidado que antes de no ser infectado por esta variante, puesto que es mucho más agresiva que las que conocíamos.

Ahora además de la pantallita de las narices y bloqueo del archivo explorer.exe (y por tanto de todo el sistema), el virus cifra los archivos de nuestro ordenador codificando sus primeros 4096 bytes y añadiendo 4 digitos al final de la extension y la palabra “locked-” antes del nombre del fichero. Además renombra los archivos y las extensiones.

Mas info por aquí: http://elblogdeangelucho.wordpress.com/2012/05/11/nuevo-ramsonware-virus-de-la-policia-el-trojan-ransom-win32-rannoh/

Por aquí un primer usuario que cuenta su experiencia con esta nueva variante. Le ha renombrado las extensiones de los documentos y fotos, además de cifrarselos.
http://www.hard2mano.com/index.php?showtopic=103625&pid=881769&st=0&#entry881769
Por supuesto Flanders, toda información que pueda ayudar es bienvenida! [oki]
Hathaway escribió:Por supuesto Flanders, toda información que pueda ayudar es bienvenida! [oki]

Gracias Hathaway ;) . Vuelvo a actualizar con la solución para la nueva variante del virus de la policia/SGAE:

SOLUCIÓN
Ya tenemos instrucciones de como eliminar esta nueva variante y como conseguir descifrar los archivos infectados por el virus. Ojo, hace falta tener un archivo un archivo original (sin encriptar) que dispongamos en un USB, CD o podamos volver a descargar de Internet (por ejemplo un archivo de música o una imágen que hayamos descargado).
http://www.infospyware.com/blog/ransomware-sgae-y-locked/
Gracias por la aportación
Troyano que imita al instalador de Chrome


Trend Micro alerta desde su blog de un malware que se hace pasar por el instalador de Chrome y que en realidad es un troyano destinado a robar información bancaria.

El archivo se denomina ‘ChromeSetup.exe’ y se está extendiendo desde Latinoamérica, especialmente Brasil y Perú. Trend Micro ya ha encontrado varios binarios en dominios redirigidos desde los portales de Facebook y Google:

hxxp://br.msn.com/ChromeSetup.exe
hxxp://www.facebook.com.br/ChromeSetup.exe
hxxp://www.facebook.com/ChromeSetup.exe
hxxp://www.globo.com.br/ChromeSetup.exe
hxxp://www.google.com.br/ChromeSetup.exe
hxxp://www.terra.com.br/ChromeSetup.exe

En realidad se trata de un troyano con trazas del peligroso TSPY_BANKER.EUIQ. Una vez alojado, cuando el usuario intenta cargar un portal bancario específico, redirige hacia páginas de la misma apariencia pero falsas. El usuario no percibe el cambio e introduce sus claves de acceso y operacionales.

Fuente: MuySeguridad
Nueva versión de Sudo corrige la vulnerabilidad


Sudo es una herramienta de administración que está incluida en sistemas Unix como BSD o Mac OS X y en la mayoría de distribuciones Linux del mercado.

Permite a los usuarios ejecutar comandos con los privilegios de otro, comúnmente de root, de forma controlada y segura. Incluso, sistemas operativos como Ubuntu y Mac OS X obligan a realizar cualquier acceso administrativo a través de Sudo ya que la contraseña de root está desactivada por defecto.

Sudo permite además ejecutar comandos en hosts remotos especificados en el fichero 'sudoers' mediante su nombre de máquina, IP, grupo de red, o dirección de red (IP y máscara de red).

Esta vulnerabilidad identificada como CVE-2012-2337, se debe a un error en la manera en que se concede el acceso a un determinado host, cuando existen múltiples máscaras de red en la parte de configuración de 'host' y 'host_list' del archivo 'sudoers'.

El fallo se introdujo cuando se agregó el soporte para IPv6 a sudo (hace aproximadamente 5 años), y podría producir una coincidencia en direcciones de red IPv4 cuando no debe. Esto podía permitir a usuarios autorizados en el archivo 'sudoers' realizar un salto de restricciones. De esta forma podrían ejecutar comandos sudo en cualquier host, independientemente de la configuración 'host_list', e incluso si la configuración para esa máscara de red impide la ejecución de dichos comandos.

Si en el archivo 'sudoers' no se incluyen redes IP para especificar el host, la vulnerabilidad no tiene ningún efecto. Por tanto este problema, aunque importante, no alcanza la gravedad del reciente fallo descubierto a finales de enero que permitía a cualquier atacante local convertirse en root.

Se encuentran afectadas por esta vulnerabilidad las versiones de sudo de la 1.6.9p3 hasta la 1.8.4p4. Desde la página oficial se pueden descargar las versiones de sudo 1.8.4p5 y 1.7.9p1 que corrigen este fallo. Muchas distribuciones han comenzado a distribuir paquetes propios que la solucionan.
Distribuciones Linux como Ubuntu ya han corregido la vulnerabilidad y se espera que Red Hat lo haga de inmediato.

Fuente: MuySeguridad, Hispasec
Vías de infección a través de documentos de Office


Uno de los métodos preferidos por los ciberdelincuentes para comprometer equipos es crear documentos ofimáticos maliciosos que posteriormente enviarán por correo de forma masiva. La idea es crear un correo con una temática que enganche para conseguir que sean los propios usuarios los que reenvíen el mismo a sus contactos, produciendo así un efecto multiplicador. Generalmente este tipo de correos llevan adjunto algún tipo de documento ofimático (.doc, .ppt, .xls, etc.) que se aprovecha de alguna vulnerabilidad para ejecutar código en el equipo del usuario.

Una de las técnicas principales es crear macros VBA con las que ejecutar el código deseado. Desde frameworks como Metasploit es realmente sencillo inyectar el payload deseado dentro de documentos ofimáticos como Word o Excel. Otra opción más eficiente de cara a evadir antivirus es mediante shellcodexec , el cual, de forma similar al anterior, permite ejecutar una shellcode en memoria.

Otra opción para ejecutar código, es aprovechando de alguna vulnerabilidad en el propio software ofimático del usuario. Ejemplo de ello es el exploit ms10_087_rtf_pfragments_bof.rb, el cual, se aprovechaba de una vulnerabilidad (CVE-2010-3333) en ficheros Microsoft Word RTF y que permitía un desbordamiento de búfer basado en pila en el parámetro _pFragments cuando se parchea (análisis sintáctico de) un fichero RTF.

La reciente vulnerabilidad en Microsoft Excel (CVE-2012-0141) o la famosa (CVE-2011-0609), la cual fue utilizada para comprometer los sistemas de RSA mediante un fichero .xls con un swf embebido sirven de ejemplo para ver las implicaciones que puede llegar a tener, para una organización, un fichero ofimático malicioso.

Para prevenir este tipo de ataques es fundamental disponer siempre de las versiones más recientes del software ofimático, además de disponer de una política que restringa al máximo el uso de macros en estas aplicaciones. Desde la ayuda online de Microsoft Office puede consultarse como habilitar o deshabilitar las macros en los diversos formatos ofimáticos.

Además, para evitar ser víctima de este tipo de engaños, recomendamos seguir unas pautas de seguridad sobre el correo electrónico:

• Nunca abrir correos de usuarios desconocidos o que no haya solicitado, elimínelos directamente.
• No contestar en ningún caso a estos correos.
• Nunca seguir los enlaces que aparecen en correos sospechosos.
• Puede denunciar este correo ante los cuerpos y fuerzas de seguridad del estado.

Fuente: INTECO
DNS-Changer - ¡Tienes hasta el 9 de Julio!


Google liderará la campaña de información sobre DNS-Changer que comenzará la semana próxima con notificación a los usuarios de infecciones por el troyano DNS-Changer y que no podrán navegar a partir del 9 de julio si no modifican las DNS maliciosas.

El FBI desarticuló la organización responsable de un troyano que había logrado secuestrar tras la inyección de malware, al menos a cuatro millones de ordenadores en cien países y que ha sido calificada como la red de cibercrimen más grande hasta ahora conocida y desmantelada.

Esta medida fue complementada con una orden judicial para cerrar los servidores que mantenían la red de ordenadores zombies que alcanzó a equipos informáticos de usuarios o empresas y hasta administraciones como la NASA.

El cierre de servidores supone que los equipos afectados no podrán navegar por Internet mientras mantengan las DNS maliciosas por lo que las autoridades estadounidenses han aplazado la operación hasta el 9 de julio para que haya tiempo para su cambio. Un cambio que incomprensiblemente no se ha realizado sobre medio millón de dispositivos, a pesar de las campañas de información y las herramientas publicadas.

Por ello, Google, aprovechando su gran presencia en servicios de Internet, detectará y avisará a los usuarios de equipos infectados ofreciendo recomendaciones de limpieza y restauración.

* Comprueba si estás infectado con esta herramienta.
* Si lo estás, sigue estas instrucciones para equipos Windows, Mac y Linux.

Todo lo que necesitas saber sobre DNS-Changer aquí

Fuente: MuySeguridad
IBM bloquea Dropbox, iCloud y Google Drive al considerarlos una amenaza


El gigante azul ha ordenado el bloqueo en su red interna de una buena cantidad de servicios principalmente de almacenamiento y servicios de correo, como el sistema de almacenamiento cloud Dropbox, almacenamiento en nube iCloud de Apple, el asistente de voz Siri, Box o Google Drive.

Aunque IBM ha repartido unas decenas de miles de BlackBerry a sus empleados, permite como otras empresas, el fenómeno BYOD (Bring Your Own Device), por el que los trabajadores (se cree que 80.000 en IBM) pueden utilizar sus dispositivos móviles (principalmente tablets y smartphones) en su trabajo.

Un método con múltiples ventajas pero con un problema muy grave: seguridad. Por ello, IBM se ha puesto seria estableciendo políticas restrictivas frente a un buen número de aplicaciones y servicios libres que la compañía considera como una amenaza corporativa.

IBM considera que los datos corporativos no están seguros a través de ellas y que los trabajadores han incumplido varias políticas a través de unos dispositivos que la compañía no controla. “Hemos encontrado una tremenda falta de conciencia de lo que constituye un serio riesgo”, indican responsables de la compañía.

IBM pone el ejemplo del asistente de voz Siri de Apple que, recoge toda la información que pasa por la aplicación y además datos personales o la libreta de direcciones, con los datos almacenados y procesados por los servidores de Apple.

Información confidencial que acaba en manos de terceros y de ahí el bloqueo y la obligatoriedad de utilizar el servicio de correo interno de la compañía, el servicio de cifrado o el sistema de almacenamiento cloud MyMobileHub, desarrollado por IBM para uso seguro en la red corporativa.

La estrategia de IBM la ha resumido la CIO Jeanette Horan: “Somos extraordinariamente conservadores… es la naturaleza de nuestro negocio”, explica.

Fuente: MuySeguridad
Nuevo virus llamado Flame


Karspersky ha descubierto un virus denominado Flame. Se trata de un virus de espionaje industrial, diseñado para recopilar información sensible y presente en ordenadores de Irán, Oriente Próximo e incluso Estados Unidos.

Por el momento no se ha descubierto quién o quiénes son los responsables de Flame, pero Karspersky ha hallado similitudes con virus como Stuxnet o Duqu, diseñados para atacar o recabar información sobre el programa nuclear iraní aprovechando un fallo de seguridad del sistema operativo Windows.

Los investigadores apenas están comenzando a comprender el funcionamiento de Flame debido a su complejidad, pero sí saben que puede hacer capturas de pantalla, activar los micrófonos de los ordenadores para grabar conversaciones, enviar archivos y remitir mensajes instantáneos.

En cuanto a su extensión, Karspersky señala de que los más de 5.000 equipos infectados detectados hasta la fecha, la mayoría se encuentran en Irán, seguidos de la región de Israel-Palestina, Sudán y Siria.

Fuente: MuySeguridad
Agujero crítico en los NAS BlackArmor 440 de Seagate


El servidor de almacenamiento de red BlackArmor 440 de la firma Seagate tiene una vulnerabilidad que permite a un atacante el restablecimiento remoto de la contraseña de administración y con ello el control del dispositivo.

La gama de dispositivos de almacenamiento en red (NAS) BlackArmor están destinados a uso de pequeñas empresas y ofrecen opciones de almacenamiento de 1 a 12 Tbytes y copia de seguridad en sistemas Windows y Mac.

La vulnerabilidad ha sido documentada por US-CERT explicando la existencia de un fichero estático php que se utiliza para restablecer la contraseña de administrador. Un atacante remoto no autenticado con acceso al servidor puede acceder directamente a la página web http://DevicesIpAddress/d41d8cd98f00b20 ... f8427e.php y restablecer la contraseña de administrador.

La vulnerabilidad ha sido notificada a Seagate pero de momento no hay solución ya que el firmware fue actualizado por última vez en febrero de 2011. Se recomienda restringir el acceso mediante la interfaz web u otros dispositivos que utilizan protocolos abiertos como HTTP.

Fuente: MuySeguridad
¿Ha salido alguna version mas fuerte del virus de la policia?

por que he probado lo de los CDs booteables y nada, no me arranca ninguno, y mi lectora iba bien... pero es que no me pasa de la primera pantalla de todas y creo que no da tiempo a que se inicie el CD.
Hispanograna escribió:¿Ha salido alguna version mas fuerte del virus de la policia?

por que he probado lo de los CDs booteables y nada, no me arranca ninguno, y mi lectora iba bien... pero es que no me pasa de la primera pantalla de todas y creo que no da tiempo a que se inicie el CD.


tienes un MP, espero que te sirva de ayuda
Bitdefender publica una herramienta gratuita para eliminar el virus Flame


La compañía de seguridad Bitdefender ha publicado una herramienta gratuita para eliminar el virus Flame, considerado el ‘arma virtual más poderosa’ de la historia de la computación y que ha hecho saltar todas las alarmas.

“Flame es la más terrorífica herramienta de espionaje cibernético que hemos visto hasta ahora. Llega a lugares donde otros programas espía no llegan, roba información que otros no pueden, y pasa casi desapercibida”, explican desde BitDefender Labs.

De ahí la necesidad de contar con herramientas de desinfección como la publicada por Bitdefender para sistemas Windows de 32 y 64 bits y que puedes descargar gratuitamente desde el enlace:

http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/

Fuente: MuySeguridad
La ONU emitirá una advertencia sobre el viurs Flame


La agencia de las Naciones Unidas, prevé emitir una advertencia rigurosa sobre el riesgo del virus Flame, recientemente descubierto en Irán y otras zonas de Oriente Medio.

“Es la advertencia más seria que hemos emitido”, dijo Marco Obiso, coordinador de ciberseguridad de la Unión Internacional de Telecomunicaciones de la ONU. La advertencia confidencial comunicará a los países miembros, que el virus Flame es una peligrosa herramienta de espionaje que podría ser usada potencialmente para atacar infraestructuras críticas.

La evidencia sugiere que el virus podría haber sido desarrollado para el mismo país o países que encargaron el gusano Stuxnet, virus que atacó al programa nuclear de Irán en el 2010, según Kaspersky Lab, el fabricante ruso de programas de seguridad informática que dijo haber descubierto el virus.

Por su parte, Kaspersky Lab dijo que halló a “Flame” después de que la agencia de la ONU le solicitó investigar los recientes reportes de Irán de que un misterioso virus era el responsable de la pérdida masiva de datos en algunos sistemas informáticos.

Fuente: MuySeguridad
Actualización de emergencia para certificados fraudulentos de Microsoft


Microsoft ha detectado varios certificados emitidos por Microsoft, firmados por un certificado CA de Microsoft, que están siendo utilizados en ataques informáticos.

Parece que Microsoft ha descubierto esta vulnerabilidad a través del análisis del virus Flame, que contiene varios módulos firmados por certificados de CA intermedios de Microsoft. Microsoft ha identificado una vulnerabilidad en un algoritmo criptográfico antiguo que permite firmar código con certificados intermedios de CA de Microsoft. Lo que en la práctica, a la hora de instalar el software firmado de esta manera, supone que se informe al usuario de que el programa procede o ha sido verificado por Microsoft.

En concreto, el servicio de licencias de Terminal Server (Terminal Server Licensing Service), que permite autorizar servicios de escritorio remoto, utilizaba ese algoritmo antiguo e incluía certificados que permitían firmar código.

La vulnerabilidad está calificada de riesgo máximo y afecta a todos los sistemas operativos Windows por lo que se recomienda el parcheo inmediato.

Puede hacerse de alguna de las siguientes maneras:
A través de la web Microsoft Update.
Mediante la actualización automática para que, siempre que surja una actualización, se instale sin intervención del usuario.

Fuentes: INTECO, MuySeguridad
147 respuestas
1, 2, 3