Malware

Troyano DNSChanger redirige a páginas maliciosas

El troyano DNSChanger, puede afectar a los sistemas Windows, Mac y Linux. Entre las acciones que realiza, modifica la configuración DNS de los equipos logrando que éstos utilicen servidores DNS no legítimos y sean controlados por los atacantes. En un primer momento, el troyano modifica la configuración DNS del equipo infectado para cambiar los servidores DNS legítimos por servidores DNS manipulados. A partir de ahí, intenta acceder al router al que está conectado el equipo utilizando las credenciales por defecto. Si consigue el acceso, cambia los servidores DNS utilizados por el mismo por los servidores DNS no legítimos. Con este último cambio, incluso equipos que no se encuentren infectados por el troyano pero que tengan su asignación de dirección IP de forma dinámica en la LAN a través del servicio DHCP proporcionado por el mismo router comprometido, también tendrán manipulada la resolución DNS. 

Actualmente el FBI controla todos los servidores DNS que fueron utilizados por este virus. Dichos servidores van a ser deshabilitados el próximo día 8 de Marzo de 2012, por lo que a partir de dicha fecha, los equipos que continúen utilizando estos servidores DNS no tendrán acceso a Internet. Esto hace que sea importante que los equipos infectados sean identificados y desinfectados correctamente antes de esta fecha.

A través de la siguiente página web es posible comprobar si una IP está infectada: http://www.dnschanger.eu/ sin registro y sin dar ningún tipo de datos del usuario, esta web valida si la dirección IP del ordenador donde se está haciendo la consulta ha realizado peticiones DNS a los servidores maliciosos en las últimas 4 horas y además chequea si el equipo está actualmente usando los DNS maliciosos o no, informando al usuario de si está infectado por el troyano DNS Changer o no.  

Si el equipo está infectado se pueden llevar a cabo las siguientes acciones para su desinfección:

Desinfección para equipos con Windows

Desinfección para equipos con Mac

Desinfección para equipos con Linux

Si además el equipo se encuentra conectado a un router y éste utiliza las credenciales por defecto, también debería comprobar la configuración DNS de dicho dispositivo, si es así se recomienda sustituirlos por los que proporciona su ISP. Este listado puede ser consultado en:

http://www.adslayuda.com/dns.html

 

Vulnerabilidad 0-day en ASP.NET

 En la conferencia de seguridad informática de Ekoparty en Argentina se dio a conocer una vulnerabilidad 0-day en ASP.NET que podría permitir la divulgación de información del usuario. Según los desarrolladores del exploit, afecta al 25% de los sitios web aunque Microsoft desconoce ataques que puedan aprovecharse de esta vulnerabilidad como explica en un documento informativo. Microsoft ha pubilicado soluciones provisionales para mitigar este fallo de seguridad.

Más información en:

http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx

El dia 28 de Septiembre, debido a la importancia de esta vulnerabilidad, Microsoft ha publicado un Boletín de seguridad fuera de ciclo en el que la soluciona. La actualización se puede descargar mediante Windows Update o directamente en el boletín MS10-070

Soluciones a la vulnerabilidad de accesos directos en Windows

Hace unos días fue descubierta una vulnerabilidad crítica en la interfaz de usuario de Windows (CVE-2010-2568). Este fallo de seguridad se puede encontrar detallado en el boletín informativo de Microsoft.

Una vez fue publicada esta vulnerabilidad, se empezaron a difundir por la red todos los detalles necesarios para aprovechar este fallo de seguridad, el cual afecta a TODOS los sistemas Windows.

Al inicio, este malware fue diseñado para atacar sistemas SCADA al comprobarse que contenían código para inyectar en ciertos procesos correspondientes a estos sistemas, reportado en la vulnerabilidad CVE-2010-2772 contra sistemas SCADA Siemens WinCC. A raíz de esta vulnerabilidad también se escribió un artículo sobre sistemas SCADA que se puede consultar aquí.

Esta vulnerabilidad es causada porque el shell de Windows no valida correctamente determinados parámetros del acceso directo (archivos LNK) y está relacionada con el malware Stuxnet. A causa de esta vulnerabilidad, un usuario al introducir un dispositivo extraíble, en el que se encuentra un archivo binario especialmente diseñado para explotar esta vulnerabilidad, se ejecutará al intentar cargar el icono asociado al acceso directo, sin la necesidad de que el usuario haga clic sobre él, eludiendo todas las medidas que se hubieran podido tomar a priori para inhabilitar la ejecución automática de los dispositivos extraíbles. Esta vulnerabilidad es de gran impacto ya que un atacante podría incluso tomar el control total del sistema, además de poderse propagar fácilmente el malware mediante pendrives.

Por otra parte, el boletín también informa que estos mismos componentes malintencionados podrían ser ubicados en sitios web o en recursos compartidos, por lo que un usuario que visite una página web mediante Internet Explorer o visitar un recurso compartido también podría infectarse.

A pesar que Microsoft publicó un parche para mitigar esta vulnerabilidad, disponible aquí, todavía no existe un parche definitivo. Este parche una vez instalado, soluciona el problema pero se pierden las imágenes en los iconos de accesos directos.

La empresa Sophos por su parte, ha liberado una herramienta gratuita para bloquear automáticamente esta vulnerabilidad al conectar un dispositivo extraíble con malware, sin el efecto secundario de perder las imágenes de los accesos directos. El programa es compatible con todos los antivirus y funciona en Windows Xp/Vista/7.

La herramienta se puede descargar aquí:

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html

El 27 de Julio G Data por su parte también publicó una herramienta para solucionar esta vulnerabilidad. El software se puede descargar aquí:

http://www.gdatasoftware.co.uk/support/downloads/tools

El día 2 de Agosto, Microsoft ha publicado un parche definitivo para solucionar esta vulnerabilidad en un boletín especial fuera de plazo. A causa de la gravedad del fallo de seguridad, Microsoft no ha esperado a publicarlo junto a las actualizaciones de Agosto y se recomienda a todos los usuarios con sistemas Windows que apliquen el parche. Esta actualización se puede encontrar aquí según el sistema operativo o en Windows update:

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

 

Falsa descarga IE7

Bajo el asunto 'Internet Explorer 7.0 Beta'se incita al usuario a instalar una actualización de la última versión del navegador de Microsoft.

El correo se acompaña por una imagen, que linkea un ejecutable, update.exe. Se trata de un troyano downloader, que descarga y ejecuta posteriormente otro troyano sin el consentimiento del usuario.

El troyano añade la siguiente entrada al registro de Windows.

Windows:\HKCU(NOMBREMAQUINA)SoftwareMicrosoftWindowsCurrentVersionRun Firewall auto setup winlogon.exe

Se ejecuta cada vez que la máquina del usuario se inicia, siendo posible que el antivirus no logre detectarlo.

Más información.

http://www.internautas.org/html/4258.html

Consejo esCERT

Es importante ser consciente de los correos que se puedan recibir, informarse antes de su origen antes de abrir el correo si se trata de un correo no solicitado. Sobretodo si el correo

Más información en nuestra sección de abuse:

http://escert.upc.edu/index.php/web/es/abuse.html

Versiones ilegales de Windows Vista están infectadas por troyanos

El martes 30 de enero Microsoft pondrá a la venta su producto más ambicioso, Windows Vista.

No obstante un gran número de usuarios optan por descargar versiones ilegales de este software con sus respectivos cracks a través de redes destinadas a la distribución de ficheros (P2P).

Esta situación ha sido aprovechada por los programadores de virus y troyanos para infectar tanto las versiones de Windows como los cracks. De este modo cualquier usuario que ejecute el crack o se instale una versión ilegal de Windows Vista puede poner en riesgo la seguridad e integridad de sus datos.

Consejo escert:

No descargar versiones ilegales de Windows, ni ejecutar ningún software que no sea de confianza.

Condenados por Zotob

Farid Essebar y Achraf Bahloul han sido condenados a 2 y 1 año de prisión, respectivamente, por la creación y difusión del gusano Zotob en agosto de 2005. El gusano explotaba la vulnerabilidad de seguridad MS05-039 en ordenadores con Windows 2000, aparecida el 9 de agosto del mismo año. En él insertaron sus nick's: Diabl0 y Coder.

La infección llegó a empresas como CNN, ABC, Financial Times y New York Times.

Los sospechosos fueron detenidos 12 días después del primer ataque. Con este gusano tenían intenciones económicas, tras hacerse el control de los ordenadores infectados podían obtener información confidencial, difundir spam y lanzar ataques de denegación de servicio.

Más información.

http://www.securityfocus.com/brief/301