MyGeekSide

Aug 9

Infección masiva a través de Medios removibles a través de Accesos Directos ( archivos LNK y PIF )

Leído 2,098 veces

Amigos, resulta común ultimamente que muchas soluciones antivirus no eliminen completamente los rastros de cualquier malware detectado.

Peor aún, una de las últimas vulnerabilidades de Windows que permiten la ejecución automática de código arbitrario con el solo hecho de que un archivo .LNK o .PIF (archivos de accesos directos ) sean visualizados por el explorador de Windows. Esto significa que ni siquiera hay que hacer ya doble click sobre el acceso directo para que el malware se ejecute, sino que el mismo explorador de windows lo hace por nosotros!

Eso se debe a que el Explorador de Windows no manipula correctamente la visualización del ícono del acceso directo y si el archiv .LNK o .PIF ha sido diseñado por alguien malicioso permite que el mismo explorador de Windows ejecute el malware.

Esta vulnerabilidad fue aprovechada casi un mes atrás por un malware que afectó a las Redes SCADA que son redes usadas para controlar maquinaria industrial en plantas de poder y fábricas.

Imáginense cuánto malware puede estar aprovechando esta vulnerabilidad, recuerden nomás por ejemplo que el malware que se descargaba de nuevaq.fm creaba accesos directos con el nombre de nuestras carpetas…

Lo peor de todo es que esta vulnerabilidad también puede ser explotada a través de la visualización de los accesos directos por medio de carpetas compartidas en red.

Hace una semana Microsoft ha puesto a disposición un parche que podría corregir la vulnerabilidad y lo puedes descargar de aquí:

Leer el resto de este post »

May 13

Eliminar malware de Nuevaq.fm

Leído 15,987 veces

Amigos, buenos días, después de un buen tiempo sin postear. Ya entenderán posiblemente que ando muy atareado con temas de la U y el trabajo, pero siempre tratando de estar al tanto del sitio y sus aportes y comentarios.

Hace unos días mi amigo Iván Chávez ( jeje, no recuerdo si quedamos en que iba a divulgar su nombre :$ ) me comentó que tenía una amiga que estaba en problemas. Su PC andaba lenta, se cerraban los programas y otros programas no podían ejecutarse, el messenger auto-enviaba mensajes a sus contactos invitándolos a visitar un sitio web que supuestamente debía contener música cumbia online:

www.nuevaq.fm

Síntomas más comunes:

Página de inicio de Internet Explorer: www.nuevaq.fm
No se ejecuta el cmd, msconfig, regedit, mozilla firefox, google chrome, programas antivirus, etc…
Se envían mensajes por el messenger a los contactos invitando a visitar el sitio www.nuevaq.fm
Lentitud en la PC.

Si eres de los apurados y solamente quieres la solución, puedes descargar el Script que diseñé.
La vacuna elimina el malware y restaura el registro en un máximo de 10 segundos aproximadamente, también es compatible con Windows XP, Vista y Windows 7.

Una vez descargado el archivo lo descomprimen en una carpeta y ejecutan el archivo “Vacuna nuevaq_fm.vbs” y el Script se encarga del resto. Luego de algunos segundos tu Equipo estará limpio.

Los que quieran un poco más de cómo es que funciona este malware pueden seguir leyendo…

Leer el resto de este post »

Jan 18

Cómo fue el ataque a Google por parte de China

Leído 1,217 veces

Hace una semana aproximadamente, una noticia sacudió los medios de comunicación.

El motivo de la Noticia: Un supuesto ataque dirigido por parte del gobierno chino hacia Google, Adobe, Juniper y otras 29 empresas con sucursales en China.

El objetivo principal del ataque: supuestamente por parte del gobierno chino era obtener información confidencial de activistas de los Derechos Humanos en China.

Vector de ataque: Explotación de vulnerabilidad desconocida en Internet Explorer del Lado de Cliente ( Client-Side Exploitation).

Vunerabilidad explotada: Referencia a puntero inválido en Internet Explorer 6, 7 y 8 que permite ejecución remota arbitraria de código.

Nombre asignado al ataque: Aurora IE Exploit

Se llegó a identificar equipos y cuentas de usuarios que laboraban en estas empresas con información confidencial comprometida. Pero según Google no fueron más de 2 ó 3 cuentas comprometidas.

El equipo de Metasploit en tiempo récord ya ha logrado reproducir las condiciones de ataque y el correspondiente código de explotación - que según describe McAffee - es el mismo que se identificó en la investigación.

Y gracias a los amigos de http://praetorianprefect.com que han hecho un video que muestra cómo inicialmente los crackers consiguieron acceso a las redes corporativas de Google y los demás afectados.

En el video se muestra a Metasploit configurar una sessión a la escucha, y configurar un servidor web que hospeda el código malicioso, espera la visita inocente del usuario hacia el sitio web, lanza el ataque que explota la vulnerabilidad de Internet Explorer y abre una conexión hacia la computadora del atacante. Una vez obtenida la sesión, el atacante ya tiene el control de la máquina, puede listar procesos, terminarlos (en el video de ejemplo se cierra el proceso del Notepad.exe). Se usa Internet Explorer versión 6, ya que Microsoft referencia que éste fue usado en los ataques sobre estas compañías. Tampoco se descarta la explotación exitosa de esta vulnerabilidad sobre las versiones posteriores como lo son Internet Explorer 8 y 9.

Este ataque puede haber llegado por medio de correos electrónicos incitando al usuario a visitar ciertos sitios web que alojaban el código malicioso en javascript, y éste apuntaba a un puntero inválido e inyecta la shellcode que contiene el código arbitrario a ser ejecutado.

Lección repetida: La seguridad en el lado del cliente necesariamente requiere la ecuación: (Conocimiento+Entrenamiento)+Sentido común.

Leer el resto de este post »

Posted in In(Seguridad), Noticias, Software Malicioso, Videos de hacking | 9 Comentarios »
Leído 1,217 veces

Nov 23

Identificando al enemigo:
Qué es un verdadero virus informático
y cómo actúa
Leído 3,021 veces

Amigos, el término virus en nuestros días se ha hecho tan común que ahora lo usamos para describir a casi todo el software malicioso que conocemos: troyanos, backdoors, spyware, bots, keyloggers, rootkits, etc.

En realidad el término más adecuado para todo lo que acabamos de describir es: MALWARE ( que viene de MALicious softWARE) o Software malicioso.

Software malicioso es todo aquel que contiene código hostil e intrusivo y que sin consentimiento informado del usuario se ejecuta sobre el ordenador. Cuando digo consentimiento informado hablo de aquel en el que el usuario tiene plena conciencia de los efectos, implicaciones y consecuencias de lo que sucederá si decide ejecutar determinado programa.

Considero que es bueno poder diferenciar a todo el Software Malicioso, ya que puede ayudarnos a identificarlos, analizarlos y de acuerdo a esto, incluso podamos escoger el método más adecuado de eliminación y/o desinfección.

Con este post inicio la saga que denominaré: ” Identificando al Enemigo”, y como tema inicial: Qué es un virus informático.

Posteriormente, los temas serán:

Identificando al enemigo: Qué es un gusano.
Identificando al enemigo: Qué es un troyano.
Identificando al enemigo: Qué es Adware y Spyware.
Identificando al enemigo: Qué es un backdoor.
Identificando al enemigo: Qué es una BotNet.
Identificando al enemigo: Qué es un Bug y un Exploit.
Identificando al enemigo: Qué es un Rootkit.
Identificando al enemigo: Qué es una Bomba Lógica.
Identificando al enemigo: etc…

Cada tema contendrá ejemplos reales y muestras de cómo funcionan.

Empecemos ahora definiendo e identificando a los verdaderos virus.
Leer el resto de este post »

Posted in In(Seguridad), Software Malicioso | 17 Comentarios »
Leído 3,021 veces

Oct 17

Kavo, una historia que no tiene fin…
Leído 2,535 veces

Les traduzco algo que encontré muy interesante de la página de www.blog.avast.com.

Amigos, la historia del virus Kavo es una de las historias exitosas de un Software Malicioso.

Por qué exitosa? Porque estableció una nueva forma de propagarse algún tiempo atrás y principalmente porque siempre ha estado bien posicionado en las estadísticas de Software Malicioso detectados. Y ¿qué es Kavo? Es un nombre derivado de los nombres de archivos de algunos binarios usados por el la familia de Software Malicioso (kavo0.dll, kavo1.dll, etc).

La familia de este Software Malicioso es también conocida bajo diferentes nombres tales como Oliga, Kavos, OnLineGames, Taterf, etc.

Bueno, la historia de Kavo comienza hace casi 2 años atrás como un programa hecho con la intención de robar claves de juegos en línea y fue casi al mismo tiempo en que los Rootkits se hicieron populares. Así que el autor escribió un rootkit y un binario en modo usuario con la intención de esconder el rootkit y hacer cambios adicionales al sistema (que serán descritos después). El autor también escribió su primer ofuscador para proteger el ejecutable e instaló un servidor que hacía polimórficos los binarios.

Listo, el payload está listo, pero ahora ¿cómo propagarlo? La forma más eficiente fue probablemente la explotación de la debilidad jamás considerada del Sistema Operativo. El autor de Kavo se decidió por los autoruns. Esta función está habilitada por defecto en todas las unidades (nunca entenderé porque algo debería ser autoejecutado desde el Disco Duro o de las Memorias USB con la configuración por defecto del Sistema Operativo), así que ¿por qué no abusar de eso?
Leer el resto de este post »

Posted in In(Seguridad), Software Malicioso | 12 Comentarios »
Leído 2,535 veces

« Entradas anteriores

Sitios Amigos

Sígueme en Twitter

Posts más leidos

Posts Recientes

Categorias

Archivos

Auspiciador Oficial