Ante la duda, he tomado las medidas oportunas… ¿El posible malware?: JS/Agent.NDM Troyano

Valencia, 29/11/2011, G.B.
Hoy me he encontrado con un aviso del antivitus ESET NOD32 indicándome que uno de los archivos de WordPress estaba infectado por un troyano, en concreto el archivo query.js. La amenaza era la siguiente: JS/Agent.NDM Troyano y la ruta del archivo infectado wp-includes/js/jquery/js=?vers=1.4.2. Lógicamente he supuesto que era el archivo antes mencionado, el jquery.js, un archivo bastante importante, por cierto…

He buscado en forospyware (excelente web de recursos, por cierto) y no he encontrado nada determinante, aunque sí una solución general en caso de infección. Tengo que seguir investigando al respecto.

En cuanto a cómo afecta la falta del archivo jquery.js, comentaros que ahora mismo estoy escribiendo esto en modo HTML en vez del Visual, ya que se han desactivado bastantes características que te hacen la vida más fácil y cómoda a la hora de escribir un post. pero no quiero arriesgarme a que Knowhow caiga otra vez, como ya lo hice en su día. Lo que he tenido que hacer (mientras escribía este post) ha sido descargarme la última versión de jquery.js del sitio oficial (jquery.com) y subirla a su sitio, eliminado el antiguo archivo jquery.js (tras haber hecho las comprobaciones oportunas). ahora vuelve a funcionar todo como toca. Los permisos del nuevo archivo jquery.js son más restrictivos ahora y la versión es la 1.7.1. Voy a ver si con esto lo tengo todo solucionado. Esperaré unos días a ver cómo se comporta el blog. Reportaré.

Todavía no sé si la amenaza del tal JS/Agent.NDM Troyano es real o simplemente una ‘exageración’ del antivirus ESET NOD32. Eso sí, ante la duda, he tomado las medidas oportunas, un tanto drásticas lo sé, pero creo que acertadas, al menos hasta que descubra realmente si la amenaza es real o no y cómo afecta. YA TENGO ALGUNAS MALAS EXPERIENCIAS AL RESPECTO!

Informaré al respecto si logro averiguarlo.

Enlaces:
Descargar archivo jquery.js (sin comprimir, versión 1.7.1).
JQuery.com

Por lo que a mi respecta, está muy bien encaminado…

Valencia, 21/02/2011, G.B.
Hoy he vuelto a sufrir un ataque, aunque esta vez a otro blog. Lo he cortado rápidamente, a pesar de mi ignorancia, al menos por ahora. He cambiado permisos y borrado un archivo .js del tema del blog el cual, muy probablemente, contenía código malicioso.

Parece ser que en las últimas semanas muchos sitios basados en WordPress (que utilizan PHP y MySQL bajo el servidor Apache), principalmente, están siendo atacados. Los usuarios son desviados a sitios que ofrecen falsos antivirus (scaware). Ahora, seguramente serán antivirus para Windows… De todas formas, nadie estamos a salvo mientras no se solucionen las vulnerabilidades en CMS de software libre, así como herramientas de administración de bases de datos.

Mientras tanto, lo que nosotros podemos hacer es tener mucho cuidado, blindar nuestros sitios, cambiar las contraseñas y estar pendientes, muy pendientes. Espero que los expertos en seguridad nos ayuden. No creo que sea una acción contra el software libre, contra eso no pueden, aunque quieran… Lo que pasa, y como ya comenté, es que hay mucho hijo de… suelto por ahí!

En este post de forospyware.com que enlazo, muy interesante y por lo que a mi me consta por la experienca vivida, muy acertado, encontraréis las respuestas: Sitios webs basados en la plataforma WordPress son atacados en forma generalizada. Muchas gracias. Envío trackback.

Por cierto, tengo que comprobar si los temas de WordPress que utilizo disponen de un archivo .js dentro e la carpeta Themes -> js.

Y ahora, un vídeo sobre la prueba de cómo han podido ‘hackear’ fácilmente los servidores de Network Solutions:

Valencia, 13/02/2011, G.B.
Tenía preparados unos cuántos posts para Know-how, así como para otras webs que llevo, pero me he encontrado con la sorpresa negativa de que habían hackeado mis sitios, no todos, pero los principales. Desde luego, con los alojados en Blogger no han podido…

Bien, ya he contactado con mi hosting y estoy a la espera de explicaciones (hoy es domingo). Lo que he hecho ha sido conectarme por FTP a mis sitios y borrar los archivos index.htm, index.html e index.php que habían sustituido por su código y subido al servidor esta misma tarde, sin mi permiso, por supuesto. Los he sustituido por el index.php correcto de cada uno de los blogs que me habían hackeado. Desde luego, esto no es suficiente, porque imagino que me lo pueden volver a hacer. Lo que si quiero dejar constancia es mi enfado (ya van dos marrones seguidos de este tipo) y dejar la ‘firma’ del que lo ha hecho. Tal vez indague un poco más, quien sabe. Por lo pronto, dejo captura de pantalla y datos. Debo decir que la gracia la tiene en el mismísimo culo, el muy hijo de su madre… Construye en vez de destruir. Pero veo que te falta imaginación. Romper es mucho más fácil ¿verdad? No pongo todo lo que pienso por si hubiera niños que leyeran esto…

El que lo ha hecho, que seguro que le gusta saberlo, es un tal GHos61. Ya te buscaré…

Lucha activa contra el spam, el malware, los hoaxes y toda la demás basura que está intentando hacerse con la web!!

Ya está dicho.

Salu2,

Guillermo Beltrán (sí, aquí si que firmo…)

P.D. Acabo de enterarme que no he sido el único, y que es por un fallo de seguridad en servidore Linux (mis sitios están alojados en servidores Linux). Esta es la noticia al respecto: http://www.entreclick.com/el-hacker-ghost61-ataco-con-exito-mas-de-18-200-sites-por-un-fallo-en-linux/

NOTA A POSTERIORI IMPORTANTE: No accedo a las categorías ni a las páginas de un par de blogs, incluido este. Voy a ver el archivo .htaccess, a ver si van por ahí los tiros

En casa del herrero…  De paso bloqueo el acceso a sitios web que lo propagan

Valencia, 31/10/2010, G.B.
Anoche, iniciando Windows para una de las dos tareas que todavía no he conseguido hacer en Linux – probablemente por pereza, no por imposibilidad del sistema, casi seguro –  me encontré que el sistema iba más lento que ‘el caballo del malo’. También observé algún que otro proceso ‘sospechoso’, como poco. Tras ejecutar  regedit y eliminar algunos valores en el registro del sistema correspondientes al arranque de Windows (Run), así como eliminar un .exe de la carpeta Windows, los acentos dejaron de funcionar: lagarto, lagarto…  Inserté un USB y ví que estaba infectado con el gusano Conficker (gusano Downadup): carpeta RECYCLER o RELYCLED y una carpeta sospechosa. Además, el antivirus dejó de funcionar y ninguna de las opciones de desinfección y/o consulta a servidores de antivirus funcionaba: denegación de servicios. Claro como la luz del día. Eso me pasa por no revisar de vez en cuando el sistema; estoy ya acostumbrado a la velocidad y fiabilidad de mi Ubuntu (ahora mismo estoy utilizándolo) y mi Kubuntu. Pero a mi familia no les parece una opción válida, lo entiendo. Debes convencerte por ti mismo. Y lo que pasa, lo vas dejando hasta que te encuentras el ‘empastre’.

Con ‘dos cojones y un palo‘, y por no complicarme más la vida, me cargué los diiez primeros cilindros del disco duro e instalé en limpio. Una solución drástica, puede que matar moscas a cañonazos, lo sé, pero eficaz y que consiguió que me quedara tranquilo. De todas formas, ya le tocaba al sistema: sabemos que el registro de Windows se va ensuciando a medida que vamos instalando-desinstalando aplicaciones, sobre todo, si no estás detrás para echar un vistazo a los procesos. Es muy fácil que la infección haya venido por alguna memoria USB de álguien que haya ido a un cibercafé y haya insertado el USB en el PC. Casi seguro…

Debo decir que mi sistema era Windows Home XP original, con las actualizaciones activadas y al día, así como el Firewall y el antivirus AVAST Home Edition, el cual dejó de funcionar por causa de la infección.  Bien, he vuelto a instalar el sistema (los datos siempre los tengo aparte, en un disco duro externo, así como las configuraciones de correo pop, que yo ya no utilizo). Revisé un post que escribí en este mismo blog hace algunos meses buscando Confinker, que por cierto, se escribe Conficker (ya está corregido en dicho post).  Ví que en uno de los enlaces que mencionaba estaba la opción de desactiva la reproducción automática de CDs y memorias USB o pendrives, los más que posibles responsables de la infección de mi sistema ‘completamente legal, actualizado y protegido, al menos en teoría). Pues bien, ahora he desactivado dicha reprodución automática y me instalado otro antivirus (lo siento, AVAST).  No es que yo utilice mucho Windows en casa, pero mi familia sí. Intentaré correr los menos riesgos posibles, pero parece ser que con Windows eso es casi una utopía. Es posible que me equivoque, pero tengo esa sensación.

Y para finalizar, y por si vuelve a suceder, dejo estas líneas para no olvidarme de cómo deshabilitar la reproducción automática y bloquear así los archivos autorun.inf, en donde suele esconderse el ‘peligro’:

Vamos a Inicio -> Ejecutar, escribimos gpedit.msc y pulsamos Aceptar.

1. Aparecerá el editor de directivas de grupo de nuestro sistema operativo
2. Nos  dirigirnos a Configuración del equipo->Plantillas administrativas->Sistema
3. Seleccionamos la opción Desactivar Reproducción automática; doble clic sobreesta opción
4. En el cuadro de diálogo que aparece, seleccionamos Habilitar. Estaremos así habilitando la desactivación, aunque suene confuso o contradictorio

Haremos exactamente lo mismo con Configuración del equipo->Plantillas administrativas-> Usuario
Realizaremos el proceso descrito arriba, los cuatro pasos

Con ello, cuando insertemos un CD o una memoria USB o pendrive, ya arrancará automáticamente, tendremos que hacerlo de forma manual, evitando así la inyección de código a través del archivo autorun.inf.

Dejaré captura de pantalla (ahora mismo estoy con Ubuntu…)

Enlaces de interés al respecto:
- Eliminar gusano Conficker (para no hacer lo que yo he hecho)
- El gusano Conficker
- Una guía para conocer el gusano Conficker
- Soporte Microsoft
- Código malicioso de autorun.inf
- El registro de Windows

P.D. Uf, menos mal! arece que la partición de Windows XP de mi portátil no está infectada con el gusano Conficker. Me he encontrado con este interesante post que informa de cómo eliminar el gusano Conficker. No lo he probado, pero sí que voy a dekar constancia d elos sitios web que nos comenta que debemos bloquear. Son los siguientes, aunque seguramente debe haber muchos más sitios:

hgetmyip.org
getmyip.co.uk
checkip.dyndns.org
whatsmyipaddress.com
ahayw.info
ajcminmqpeu.com
anosb.biz
aqgcurmt.net
bdfbobhuls.com
bjmqxoxbmyq.org
bszeu.info
cfcpreiwtgx.net
cpfgbuwqv.biz
cukpubgb.net
dconkp.com
dpxzsrjhsn.org
dtyqryfi.biz
dviwvh.net
dwmpveim.info
dxnlypjjxp.biz
eaguzulxdr.org
ekrohmqa.info
eoblibwqaig.info
epvzvuah.info
ethogxkt.net
euwqeixq.biz
exxcpxm.net
eyjayqmwxxo.org
ezhvnjlvuk.org
fdzwsak.net
gatkcy.org
gceqy.info
ggcnqnr.info
gkmdbporqmp.biz
gmtgpb.org
guiahproe.info
gxepchol.net
gztql.net
haqrcz.com
hkqrhqev.com
hndrijmu.org
hvxmlcc.org
idahdfyojhz.com
ipbdwihw.info
iquvtfhm.net
irhtphctgn.com
ivouyvxaf.net
jfvyipo.info
jhhwydtk.com
jjbuafs.info
jptplynb.org
jutsyu.com
kagvjo.com
kfzksydrct.org
khvdkdjnrhr.biz
ktivtbse.net
lbori.com
ltxbrwfosrg.net
mhjhb.com
mtqcpiwod.biz
nsjmewgdb.com
ntshnjyxfh.net
nxphotp.com
ocykqj.biz
oenjrcaly.net
oororgpkbp.com
ozlqvnkiq.net
palrw.org
pmotqmf.com
pvuxb.info
qffszcfgyzn.org
qfoilcqp.com
qjafgfp.net
rfduzjbztg.biz
riuvunis.info
rlbidexd.org
rntbogfz.biz
rtkrhxsp.biz
ruolomicarp.org
rxytvgkapvw.biz
safxg.net
sdxkcnzcvhd.org
shbyxebiec.biz
srsoeggve.org
tbkmloh.net
tezjm.net
tilazlfn.com
tqlxquy.org
trxho.org
uiiwmmgr.com
upyuqxpmlxt.net
vdunf.net
vtewiyny.info
vuahzmvf.biz
vweoof.org
wkjhjr.com
xehlydgan.net
xmmzcsqm.biz
xtjejduc.org
xxwoteojg.biz
xytbvkrqhu.info
ybhufq.net
yenhbrt.biz
yfczve.info
ylfamhcgn.net
ylzbgyorfy.org
ysxbkquj.info
ythekdrar.net
yudxsol.org
yzbvrteij.biz
yzpjvpkdtq.biz
zjxuw.org
zpqhr.biz
zuuroktw.biz
zzkjecmf.com

Para bloquear estos sitios que propagan el gusano y así que no se puedan abrir con ningún navegador, modifica el archivo hosts de Windows, ubicado en windows/system32/drivers/etc. Escribe los sitios que quieras bloquear antecediéndoles la dirección IP local 127.0.0.1. Abre el archivo con el block de notas o un editor de texto plano. Quedaría así:

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.

#

#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo “#”

#

# Por ejemplo:

#

#      102.54.94.97     rhino.acme.com          # servidor origen

#       38.25.63.10     x.acme.com              # host cliente x

127.0.0.1       localhost

# 31/10/2010, G.B.: Bloqueo sitios que propagan el gusano Conficker:

127.0.0.1 hgetmyip.org

127.0.0.1 getmyip.co.uk

127.0.0.1 checkip.dyndns.org

127.0.0.1 whatsmyipaddress.com

127.0.0.1 ahayw.info

127.0.0.1 ajcminmqpeu.com

127.0.0.1 anosb.biz

127.0.0.1 aqgcurmt.net

127.0.0.1 bdfbobhuls.com

127.0.0.1 bjmqxoxbmyq.org

127.0.0.1 bszeu.info

127.0.0.1 cfcpreiwtgx.net

127.0.0.1 cpfgbuwqv.biz

127.0.0.1 cukpubgb.net

127.0.0.1 dconkp.com

127.0.0.1 dpxzsrjhsn.org

127.0.0.1 dtyqryfi.biz

127.0.0.1 dviwvh.net

127.0.0.1 dwmpveim.info

127.0.0.1 dxnlypjjxp.biz

127.0.0.1 eaguzulxdr.org

127.0.0.1 ekrohmqa.info

127.0.0.1 eoblibwqaig.info

127.0.0.1 epvzvuah.info

127.0.0.1 ethogxkt.net

127.0.0.1 euwqeixq.biz

127.0.0.1 exxcpxm.net

127.0.0.1 eyjayqmwxxo.org

127.0.0.1 ezhvnjlvuk.org

127.0.0.1 fdzwsak.net

127.0.0.1 gatkcy.org

127.0.0.1 gceqy.info

127.0.0.1 ggcnqnr.info

127.0.0.1 gkmdbporqmp.biz

127.0.0.1 gmtgpb.org

127.0.0.1 guiahproe.info

127.0.0.1 gxepchol.net

127.0.0.1 gztql.net

127.0.0.1 haqrcz.com

127.0.0.1 hkqrhqev.com

127.0.0.1 hndrijmu.org

127.0.0.1 hvxmlcc.org

127.0.0.1 idahdfyojhz.com

127.0.0.1 ipbdwihw.info

127.0.0.1 iquvtfhm.net

127.0.0.1 irhtphctgn.com

127.0.0.1 ivouyvxaf.net

127.0.0.1 jfvyipo.info

127.0.0.1 jhhwydtk.com

127.0.0.1 jjbuafs.info

127.0.0.1 jptplynb.org

127.0.0.1 jutsyu.com

127.0.0.1 kagvjo.com

127.0.0.1 kfzksydrct.org

127.0.0.1 khvdkdjnrhr.biz

127.0.0.1 ktivtbse.net

127.0.0.1 lbori.com

127.0.0.1 ltxbrwfosrg.net

127.0.0.1 mhjhb.com

127.0.0.1 mtqcpiwod.biz

127.0.0.1 nsjmewgdb.com

127.0.0.1 ntshnjyxfh.net

127.0.0.1 nxphotp.com

127.0.0.1 ocykqj.biz

127.0.0.1 oenjrcaly.net

127.0.0.1 oororgpkbp.com

127.0.0.1 ozlqvnkiq.net

127.0.0.1 palrw.org

127.0.0.1 pmotqmf.com

127.0.0.1 pvuxb.info

127.0.0.1 qffszcfgyzn.org

127.0.0.1 qfoilcqp.com

127.0.0.1 qjafgfp.net

127.0.0.1 rfuzjbztg.biz

127.0.0.1 riuvunis.info

127.0.0.1 rlbidexd.org

127.0.0.1 rntbogfz.biz

127.0.0.1 rtkrhxsp.biz

127.0.0.1 ruolomicarp.org

127.0.0.1 rxytvgkapvw.biz

127.0.0.1 safxg.net

127.0.0.1 sdxkcnzcvhd.org

127.0.0.1 shbyxebiec.biz

127.0.0.1 srsoeggve.org

127.0.0.1 tbkmloh.net

127.0.0.1 tezjm.net

127.0.0.1 tilazlfn.com

127.0.0.1 tqlxquy.org

127.0.0.1 trxho.org

127.0.0.1 uiiwmmgr.com

127.0.0.1 upyuqxpmlxt.net

127.0.0.1 vdunf.net

127.0.0.1 vtewiyny.info

127.0.0.1 vuahzmvf.biz

127.0.0.1 vweoof.org

127.0.0.1 wkjhjr.com

127.0.0.1 xehlydgan.net

127.0.0.1 xmmzcsqm.biz

127.0.0.1 xtjejduc.org

127.0.0.1 xxwoteojg.biz

127.0.0.1 xytbvkrqhu.info

127.0.0.1 ybhufq.net

127.0.0.1 yenhbrt.biz

127.0.0.1 yfczve.info

127.0.0.1 ylfamhcgn.net

127.0.0.1 ylzbgyorfy.org

127.0.0.1 ysxbkquj.info

127.0.0.1 ythekdrar.net

127.0.0.1 yudxsol.org

127.0.0.1 yzbvrteij.biz

127.0.0.1 yzpjvpkdtq.biz

127.0.0.1 zjxuw.org

127.0.0.1 zpqhr.biz

127.0.0.1 zuuroktw.biz

127.0.0.1 zzkjecmf.com

Para Windows, claro…

Valencia, 19/02/2010, G.B.
Hoy ha habido un pequeño ‘festival’ en mi departamento: se ha encontrado en todos los ordenadores el troyano copyex.exe. En primera instancia parecía que la solución era sencilla: seguir las instrucciones del siguiente post del foro de INTECO.

Lo malo ha sido que tras ejecutar dichas instrucciones al pie de la letra, al iniciar el PC el problema persistía, es decir, al visualizar las tareas en ejecución de Windows XP SP3 (Service Pack 3 en este caso con antivirus actualizado, firewall activo y todas las actualizaciones automáticas al día, entre otras medidas de seguridad), seguía estando el proceso copyex en marcha.

En principio (sólo en principo), parece que lo único que hace es consumir recursos del sistema, pero como todo troyano, existe la muy plausible posibilidad de que abra ‘puertas’ a otros tipos de malware mucho más agresivos. ¿La solución? Ejecutar las instrucciones en cada uno de los usuarios activos del sistema. Paso a detallarlas:

- Desconectar el cable de Red o deshabilitar la conexión inalámbrica
- Iniciar el PC en modo Prueba de fallos (pulsando la tecla F8 mientras arrancas el sistema)-> Elije Modo seguro (sin funciones de red)
- En el icono Mi PC, botón derecho,  pestaña Restaurar sistema-> deshabilita la opción
- Elimina todos los archivos temporales de windows (c:/Windows/temp
- Ejecuta el comando  regedit -> botón Inicio -> escribe regedit
- Accederás al registro de Windows (hasta aquí son tareas comunes para eliminar cualquier troyano)
- Busca la clave copyex y elimina todas las entradas. Lo encontrarás en las zonas del registro de Windows HKEY LOCAL MACHINE y HKEY LOCAL USER
- En la carpeta system32 -> Recycled, elimina el programa copyex.exe
- Descárgate cualquiera de las utilidades que te proporciona la página de INTECO y ejecútalas(*). Puedes hacerlo antes de eliminar las claves del malware en el registro de Windows, pero es mucho mejor hacerlo después de haber realizado los passo anteriores
- Por seguridad, vuelve a visualizar las tareas de Windows: teclas control + Alt + suprimir. No debe aparecerte ya el proceso copyex
- Reinicia el PC y comprueba si la tarea copyex persiste. Si has seguido todos los pasos, no debiera visualizarse
- Repite esta operación en cada uno de los usuarios que tengas activos en tu sistema
- Consejo: navega con sensatez y no descargues cualquier cosa que te encuentres. Con sentido común te ahorrarás muchos problemas. En el último párrafo, justo antes de los enlaces, te doy otra solución, aunque este consejo se aplicaría igualmente…

Recuerda que para seguir estos pasos debes tener permiso de administrador y visualizar todos los archivos ocultos y de sistema.

¿Para que no te vuelva a suceder esto? Ten mucho cuidado con lo que te descargas de Internet; asegúrate de que los pendrives que insertas en tu PC estén límpios de malware; mantén actualizado en todo momento tu sistema con las actualizaciones de seguridad pertinentes; ten un firewall o cortafuegos activo; utiliza un antivirus que se actualice diáriamente… ¿Otra opción? Utiliza otro sistema operativo…

Enlaces:
- Sobre los troyanos
- Red Alerta Antivirus
- Avast Antivirus Personal Edition (antivirus gratuíto)
- Windows Update
- El registro de Windows
- Blog sobre troyano

(*) Programas para eliminar el troyano (Fuente: Foros INTECO)
Descarga e instala Malwarebytes-AntiMalware: http://www.malwarebytes.org/mbam.php
Descarga e instala Ccleaner: http://www.ccleaner.com/download/downloading
Descarga, si fuera necesario, KillBox: http://www.downloads.subratam.org/KillBox.exe
Descarga Flash Disinfector, utilidad para evitar o limpiar infecciones a través de pendrives : http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Valencia, 20/12/2009, G.B.
He leído en una revista especializada sobre Internet y Tecnología un artículo sobre el ‘scareware‘. No lo había oído nunca. Como siempre, una palabra compuesta en inglés para hablar sobre algún término relativo a la Red…

¿Y qué es eso del ‘scareware’? Scare, como probablemente sepas, significa asustarse (to scare), asustado (scared). Scareware es  un nuevo tipo de estafa online que pretende convencerte de que tu ordenador está infectado y te vende una solución (falsa) para desinfectarlo de inmediato, previo pago, claro. Por ejemplo, estás navegando tranquilamente por Internet cuando de repente te aparece un mensaje advirtiéndote que tu ordenador está infectado por  un importante númenro de virus y demás malware (otra vez terminología en inglés). En el mismo mensaje, te dan la opción de descargar una solución antivirus inmediata por una ‘módica’ cantidad de dinero. Si te dejas engañar y te la descargas, una vez finalizado el proceso de instalación y ‘desinfectado’ , te aparecerá un mensaje informánote que tu PC ya está  a salvo, fuera de peligros, limpio como una patena. Lo que realmente ha hecho el programa es nada, al menos en ese sentido, ya que los virus detectados eran completamente falsos.

Los creadores del scareware intentan engañar a los usuarios utilizando nombres parecidos a soluciones de seguridad de renombre. En fin, otro tipo de ingeniería social que juega con el miedo en la Red. ¿No se cansarán, esos malditos bastardos…?

Aquí dejo unas cuantas definiciones y noticias sobre el ‘scareware’:

- http://en.wikipedia.org/wiki/Scareware (en inglés)
- Una noticia al respecto del periódico online británico BBC News: http://news.bbc.co.uk/2/hi/8313678.stm (también en inglés)
- Y una noticias en español, en la que se comenta la lucha de Microsoft contra los ?Scareware’: http://www.bits20.com/489/microsoft-contra-los-scareware.html (realmente Microsoft debe ser uno de los más afectados -probablemente el más afectado- por este tipo de software: http://www.bits20.com/489/microsoft-contra-los-scareware.html
- Esto ha costado ya esta estafa, según el FBI: http://www.itespresso.es/es/news/2009/12/14/el-fbi-advierte-sobre-el-scareware
- Y en este enlace una búsqueda de imágenes en Google Images sobre ‘scareware’.

Valencia, 14/11/2009, G.B.
Para los ‘iPhoneros’ han llegado las relativamente ‘malas noticias’: los iPhones y iPods ‘crackeados’ son vulnerables al malware. Una muestra de ello es el nuevo gusano iPhone/Eeki.A. El síntoma visible es que te aparece una foto del cantante  Rick Astley como fondo de pantalla de tu iPhone. No sé si hay más ‘daños colaterales’. Para algunos/as puede que eso sea más que suficiente…

En fin, esto posiblemente demuestre que los sistemas pirateados de Apple son también vulnerables, de la misma forma que los de Microsoft, aunque estos últimos tengan mucha más ‘experiencia’ en ello.

Tal vez si las aplicaciones de la empresa de la manzana fueran más baratas o hubiera más gratuitas, todo esto podría evitarse. es sólo una opinión.  Pero cada cual tiene su política comercial ¿no? Adjunto un recorte del boletín de seguridad de Pandalabs (ver página web).

Fuente: PandaLabs
Un gusano para iPhone: el iPhone/Eeki.A

iPhone/Eeki.A como síntoma más visible muestra la imagen del cantante Rick Astley en los iPhone infectados.

En primer lugar, este ejemplar de malware comprueba que no se esté ejecutando ya en el terminal. Para ello comprueba si existe cierto fichero

Este ejemplar intenta propagarse en la subred a la que esté conectado el teléfono, y a continuación lo intenta generando un rango aleatorio, para finalizar probando con unos rangos preestablecidos que corresponden a direcciones IP´s de determinadas compañías.

Una vez generada la IP, intenta acceder de manera remota al termina iPhone jailbreakeado, estableciendo una conexión SSH, y usando la clave por defecto de root, común a todos los dispositivos iPhoneOS (Iphone e ipod touch, las tres generaciones de ambos). Si el acceso es denegado vuelve a intentar generar una IP aleatoria de nuevo y repite el proceso hasta que consigue una IP válida de una víctima vulnerable.
Una vez encontrada la víctima, con las credenciales anteriores, obtiene una sesión remota, y se copia a si mismo en el teléfono afectado.

Finalmente detiene el demonio del SSH que ha causado la infección. Por último, copia una fotografía de Rick Astley, y la usa como imagen de fondo en el terminal.

iPhone/Eeki.A ha puesto de manifiesto la debilidad de este tipo de dispositivos cuando han sido pirateados (jailbreakeados) para poder descargarse y usar aplicaciones no oficiales.

PandaLabs, el laboratorio de Panda Security, ha elaborado un vídeo explicando cómo funciona este ejemplar de malware. Puede verse aquí: http://pandalabs.pandasecurity.com/archive/This-way-works-the-worm-for-iPhone.aspx

Valencia, 06/05/2009, G.B.
Panda Software ha diseñado una solución antivirus gratuita específicamente preparada para bloquear el fichero autorun.inf de dispositivos y memorias USB, evitando así que puede propagarse malware como el gusano Confinker (Conficker, mejor dicho), que infecta rápida y ‘silenciosamente’ dichas unidades o dispositivos. Se llama Panda USB Vaccine (descargar).

La forma de infección de estos códigos maliciosos es a través de la modificación del fichero autorun.inf alojado en dichas unidades USB. El fihero autorun es el responsable de que se auto-ejecuten los ficheros,  y/o programas instalados en los dispositivos y memorias USB. y que fácilmente podemos ‘llevar’ de un PC a otro, aumentando así el ratio de infección de forma rápida e incosnciente.

Ejemplos de ficheros autorun.inf:

1)
[AutoRun]
open=auto.bat

2)
[AUTORUN]
ICON=goo.ico
OPEN=Setup.Exe

3)
[autorun]
OPEN=shelexec \index.htm (Aquí escribe el nombre del fichero html que utilizaras para navegar por el CD)
icon=pct.ico (Nombre del fichero de imagen que utilizarás para el CD. No es necesario)

4)
[autorun]
icon = Autorun.exe, 1
open = Autorun.exe

5)
[autorun]
open=AutoPlay.exe -c
icon=Autoplay\Pr6cd.ico

Otras soluciones antivirus gratuitas para dispositivos USB:

- Mx OneAntivirus 3.8: http://mx-one-antivirus.programas-gratis.net/
- USB Disk Security: http://usb-disk-security.programas-gratis.net/

Enlaces relacionados:

- Página principal de Panda USB Vaccine: http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/
- Evitar infecciones de virus USB: http://es.answers.yahoo.com/question/index?qid=20090207100148AA3kOrd
- Autorun en la Wikipedia: http://es.wikipedia.org/wiki/Autorun
- Cómo desinfectar una unidad extraible  afectada por el gusano Autorun.ZY : http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8750
- Iniciar Windows XP a prueba de fallos: http://www.vsantivirus.com/faq-modo-fallo.htm
- Código malicioso que utiliza Autorun.inf. http://www.vsantivirus.com/inf-autorun.htm

Un nuevo antivirus ligero, seguro y sencillo, según afirma la compañía.

El nuevo Panda Cloud Antivirus

Valencia, 03/05/2009, G.B.
La companía de seguridad informática Panda Software acaba de lanzar un nuevo antivirus basado en tecnología Thin-Client, el cual es capaz de procesar y bloquear malware de forma más eficaz que los tradicionales antivirus y con un consumo de procesamiento del PC mucho menor, según constata Panda.

El nuevo antivirus traslada todo el proceso de análisis e identificación del malware a la denominada ‘nube‘ , aplicando técnicas de interceptación no intrusivas. El análisis y bloqueo de malware se realiza en el servidor de forma eficiente y transparente para el usuario, por lo que apenas se consume recursos del PC. “Es el primer y único antivirus ligero (Thin-Client) basado en la nube con un 50% menos de impacto en el rendimiento del PC que la media de la industria“… , afirma la empresa.

La página web de Panda Cloud Antivirus está disponible en inglés, alemán  y español, desde donde se puede descargar la versión beta del nuevo antivirus: http://www.cloudantivirus.com/default.aspx?lang=spa

Valencia, 18/04/2009, G.B.
En el último boletín de seguridad informática Oxygen, he leído que Pandasoftware  ha encontrado 1,2 millones de resultados maliciosos en los buscadores cuando se realizan búsquedas sobre la conocida marca de coches Ford Motor Co. 

Los resultados en los buscadores apuntan a dominios maliciosos en los cuales se ofrece la visualización de un vídeo relacionado con nuestra búsqueda sobre Ford y que aparentemente es completamente normal. 

Cuando el usuario intenta visualizarlo, se le insta a descargarse un software para poder hacerlo, como si fuera un plugin de vídeo.  Este software no es ni más ni menos que un falso antivirus, el cual acabará robándonos información confidencial y en especial, toda la información relacionada con las claves y/o cuentas bancarias que tengamos almacenadas en nuestro ordenador, con el claro objetivo de robarnos ‘físicamente’ el dinero de nuestras cuentas.

Según la compañía de seguridad informática, este es uno de los pocos ataques Black Hat SEO que han afectado a una sola marca. 

Black Hat SEO: técnicas maliciosas que utilizan el posicionamiento web para atrernos a sititios maliciosos y descargar programas tales como falsos antivirus para robarnos información principalmente bancaria.  Obviamente, es todo lo contrario a las técnicas White Hat SEO. 
Una muy buena explicación la podemos encontrar en este post o artículo del sitio seotalk.es: http://www.seotalk.es/black-hat-seo/.

Enlaces relacionados (fuente: Pandasoftware):
- Leer toda la noticia del boletín Oxygen de Pandasoftware: http://www.pandasecurity.com/spain/emailhtml/oxygen/180409_ESP_interior.htm
- Ver un vídeo explicativo (en inglés) del proceso de infección aquí: http://vimeo.com/4143942
- Obtener información adicional sobre esta infección en el blog de PandaLabs: http://pandalabs.pandasecurity.com/archive/Targeted-Blackhat-SEO-Attack-against-Ford-Motor-Co_2E00_.aspx

Sobre SEO: 
- Información sobre SEO: http://www.joomla-seo.com/