Valencia, 19/02/2010, G.B.
Hoy ha habido un pequeño ‘festival’ en mi departamento: se ha encontrado en todos los ordenadores el troyano copyex.exe. En primera instancia parecía que la solución era sencilla: seguir las instrucciones del siguiente post del foro de INTECO.

Lo malo ha sido que tras ejecutar dichas instrucciones al pie de la letra, al iniciar el PC el problema persistía, es decir, al visualizar las tareas en ejecución de Windows XP SP3 (Service Pack 3 en este caso con antivirus actualizado, firewall activo y todas las actualizaciones automáticas al día, entre otras medidas de seguridad), seguía estando el proceso copyex en marcha.

En principio (sólo en principo), parece que lo único que hace es consumir recursos del sistema, pero como todo troyano, existe la muy plausible posibilidad de que abra ‘puertas’ a otros tipos de malware mucho más agresivos. ¿La solución? Ejecutar las instrucciones en cada uno de los usuarios activos del sistema. Paso a detallarlas:

- Desconectar el cable de Red o deshabilitar la conexión inalámbrica
- Iniciar el PC en modo Prueba de fallos (pulsando la tecla F8 mientras arrancas el sistema)-> Elije Modo seguro (sin funciones de red)
- En el icono Mi PC, botón derecho,  pestaña Restaurar sistema-> deshabilita la opción
- Elimina todos los archivos temporales de windows (c:/Windows/temp
- Ejecuta el comando  regedit -> botón Inicio -> escribe regedit
- Accederás al registro de Windows (hasta aquí son tareas comunes para eliminar cualquier troyano)
- Busca la clave copyex y elimina todas las entradas. Lo encontrarás en las zonas del registro de Windows HKEY LOCAL MACHINE y HKEY LOCAL USER
- En la carpeta system32 -> Recycled, elimina el programa copyex.exe
- Descárgate cualquiera de las utilidades que te proporciona la página de INTECO y ejecútalas(*). Puedes hacerlo antes de eliminar las claves del malware en el registro de Windows, pero es mucho mejor hacerlo después de haber realizado los passo anteriores
- Por seguridad, vuelve a visualizar las tareas de Windows: teclas control + Alt + suprimir. No debe aparecerte ya el proceso copyex
- Reinicia el PC y comprueba si la tarea copyex persiste. Si has seguido todos los pasos, no debiera visualizarse
- Repite esta operación en cada uno de los usuarios que tengas activos en tu sistema
- Consejo: navega con sensatez y no descargues cualquier cosa que te encuentres. Con sentido común te ahorrarás muchos problemas. En el último párrafo, justo antes de los enlaces, te doy otra solución, aunque este consejo se aplicaría igualmente…

Recuerda que para seguir estos pasos debes tener permiso de administrador y visualizar todos los archivos ocultos y de sistema.

¿Para que no te vuelva a suceder esto? Ten mucho cuidado con lo que te descargas de Internet; asegúrate de que los pendrives que insertas en tu PC estén límpios de malware; mantén actualizado en todo momento tu sistema con las actualizaciones de seguridad pertinentes; ten un firewall o cortafuegos activo; utiliza un antivirus que se actualice diáriamente… ¿Otra opción? Utiliza otro sistema operativo…

Enlaces:
- Sobre los troyanos
- Red Alerta Antivirus
- Avast Antivirus Personal Edition (antivirus gratuíto)
- Windows Update
- El registro de Windows
- Blog sobre troyano

(*) Programas para eliminar el troyano (Fuente: Foros INTECO)
Descarga e instala Malwarebytes-AntiMalware: http://www.malwarebytes.org/mbam.php
Descarga e instala Ccleaner: http://www.ccleaner.com/download/downloading
Descarga, si fuera necesario, KillBox: http://www.downloads.subratam.org/KillBox.exe
Descarga Flash Disinfector, utilidad para evitar o limpiar infecciones a través de pendrives : http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

¿Y qué es eso del ‘scareware’? Scare, como probablemente sepas, significa asustarse (to scare), asustado (scared). Scareware es  un nuevo tipo de estafa online que pretende convencerte de que tu ordenador está infectado y te vende una solución (falsa) para desinfectarlo de inmediato, previo pago, claro. Por ejemplo, estás navegando tranquilamente por Internet cuando de repente te aparece un mensaje advirtiéndote que tu ordenador está infectado por  un importante númenro de virus y demás malware (otra vez terminología en inglés). En el mismo mensaje, te dan la opción de descargar una solución antivirus inmediata por una ‘módica’ cantidad de dinero. Si te dejas engañar y te la descargas, una vez finalizado el proceso de instalación y ‘desinfectado’ , te aparecerá un mensaje informánote que tu PC ya está  a salvo, fuera de peligros, limpio como una patena. Lo que realmente ha hecho el programa es nada, al menos en ese sentido, ya que los virus detectados eran completamente falsos.

Los creadores del scareware intentan engañar a los usuarios utilizando nombres parecidos a soluciones de seguridad de renombre. En fin, otro tipo de ingeniería social que juega con el miedo en la Red. ¿No se cansarán, esos malditos bastardos…?

Aquí dejo unas cuantas definiciones y noticias sobre el ‘scareware’:

- http://en.wikipedia.org/wiki/Scareware (en inglés)
- Una noticia al respecto del periódico online británico BBC News: http://news.bbc.co.uk/2/hi/8313678.stm (también en inglés)
- Y una noticias en español, en la que se comenta la lucha de Microsoft contra los ?Scareware’: http://www.bits20.com/489/microsoft-contra-los-scareware.html (realmente Microsoft debe ser uno de los más afectados -probablemente el más afectado- por este tipo de software: http://www.bits20.com/489/microsoft-contra-los-scareware.html
- Esto ha costado ya esta estafa, según el FBI: http://www.itespresso.es/es/news/2009/12/14/el-fbi-advierte-sobre-el-scareware
- Y en este enlace una búsqueda de imágenes en Google Images sobre ‘scareware’.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Valencia, 14/11/2009, G.B.
Para los ‘iPhoneros’ han llegado las relativamente ‘malas noticias’: los iPhones y iPods ‘crackeados’ son vulnerables al malware. Una muestra de ello es el nuevo gusano iPhone/Eeki.A. El síntoma visible es que te aparece una foto del cantante  Rick Astley como fondo de pantalla de tu iPhone. No sé si hay más ‘daños colaterales’. Para algunos/as puede que eso sea más que suficiente…

En fin, esto posiblemente demuestre que los sistemas pirateados de Apple son también vulnerables, de la misma forma que los de Microsoft, aunque estos últimos tengan mucha más ‘experiencia’ en ello.

Tal vez si las aplicaciones de la empresa de la manzana fueran más baratas o hubiera más gratuitas, todo esto podría evitarse. es sólo una opinión.  Pero cada cual tiene su política comercial ¿no? Adjunto un recorte del boletín de seguridad de Pandalabs (ver página web).

Fuente: PandaLabs
Un gusano para iPhone: el iPhone/Eeki.A

iPhone/Eeki.A como síntoma más visible muestra la imagen del cantante Rick Astley en los iPhone infectados.

En primer lugar, este ejemplar de malware comprueba que no se esté ejecutando ya en el terminal. Para ello comprueba si existe cierto fichero

Este ejemplar intenta propagarse en la subred a la que esté conectado el teléfono, y a continuación lo intenta generando un rango aleatorio, para finalizar probando con unos rangos preestablecidos que corresponden a direcciones IP´s de determinadas compañías.

Una vez generada la IP, intenta acceder de manera remota al termina iPhone jailbreakeado, estableciendo una conexión SSH, y usando la clave por defecto de root, común a todos los dispositivos iPhoneOS (Iphone e ipod touch, las tres generaciones de ambos). Si el acceso es denegado vuelve a intentar generar una IP aleatoria de nuevo y repite el proceso hasta que consigue una IP válida de una víctima vulnerable.
Una vez encontrada la víctima, con las credenciales anteriores, obtiene una sesión remota, y se copia a si mismo en el teléfono afectado.

Finalmente detiene el demonio del SSH que ha causado la infección. Por último, copia una fotografía de Rick Astley, y la usa como imagen de fondo en el terminal.

iPhone/Eeki.A ha puesto de manifiesto la debilidad de este tipo de dispositivos cuando han sido pirateados (jailbreakeados) para poder descargarse y usar aplicaciones no oficiales.

PandaLabs, el laboratorio de Panda Security, ha elaborado un vídeo explicando cómo funciona este ejemplar de malware. Puede verse aquí: http://pandalabs.pandasecurity.com/archive/This-way-works-the-worm-for-iPhone.aspx

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

La forma de infección de estos códigos maliciosos es a través de la modificación del fichero autorun.inf alojado en dichas unidades USB. El fihero autorun es el responsable de que se auto-ejecuten los ficheros,  y/o programas instalados en los dispositivos y memorias USB. y que fácilmente podemos ‘llevar’ de un PC a otro, aumentando así el ratio de infección de forma rápida e incosnciente.
 

Ejemplos de ficheros autorun.inf:

1)
[AutoRun]
open=auto.bat

2)
[AUTORUN]
ICON=goo.ico
OPEN=Setup.Exe

3)
[autorun]
OPEN=shelexec \index.htm (Aquí escribe el nombre del fichero html que utilizaras para navegar por el CD)
icon=pct.ico (Nombre del fichero de imagen que utilizarás para el CD. No es necesario)

4)
[autorun]
icon = Autorun.exe, 1
open = Autorun.exe

5)
[autorun]
open=AutoPlay.exe -c
icon=Autoplay\Pr6cd.ico 

Otras soluciones antivirus gratuitas para dispositivos USB: 

- Mx OneAntivirus 3.8: http://mx-one-antivirus.programas-gratis.net/
- USB Disk Security: http://usb-disk-security.programas-gratis.net/
 

Enlaces relacionados: 

- Página principal de Panda USB Vaccine: http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/
- Evitar infecciones de virus USB: http://es.answers.yahoo.com/question/index?qid=20090207100148AA3kOrd
- Autorun en la Wikipedia: http://es.wikipedia.org/wiki/Autorun
- Cómo desinfectar una unidad extraible  afectada por el gusano Autorun.ZY : http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8750
- Iniciar Windows XP a prueba de fallos: http://www.vsantivirus.com/faq-modo-fallo.htm
- Código malicioso que utiliza Autorun.inf. http://www.vsantivirus.com/inf-autorun.htm

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

El nuevo Panda Cloud Antivirus

Valencia, 03/05/2009, G.B.
La companía de seguridad informática Panda Software acaba de lanzar un nuevo antivirus basado en tecnología Thin-Client, el cual es capaz de procesar y bloquear malware de forma más eficaz que los tradicionales antivirus y con un consumo de procesamiento del PC mucho menor, según constata Panda.

El nuevo antivirus traslada todo el proceso de análisis e identificación del malware a la denominada ‘nube‘ , aplicando técnicas de interceptación no intrusivas. El análisis y bloqueo de malware se realiza en el servidor de forma eficiente y transparente para el usuario, por lo que apenas se consume recursos del PC. “Es el primer y único antivirus ligero (Thin-Client) basado en la nube con un 50% menos de impacto en el rendimiento del PC que la media de la industria“… , afirma la empresa.

La página web de Panda Cloud Antivirus está disponible en inglés, alemán  y español, desde donde se puede descargar la versión beta del nuevo antivirus: http://www.cloudantivirus.com/default.aspx?lang=spa

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

  Vídeo sobre el ataque de Black Hat SEO a Ford

Valencia, 18/04/2009, G.B.
En el último boletín de seguridad informática Oxygen, he leído que Pandasoftware  ha encontrado 1,2 millones de resultados maliciosos en los buscadores cuando se realizan búsquedas sobre la conocida marca de coches Ford Motor Co. 

Los resultados en los buscadores apuntan a dominios maliciosos en los cuales se ofrece la visualización de un vídeo relacionado con nuestra búsqueda sobre Ford y que aparentemente es completamente normal. 

Cuando el usuario intenta visualizarlo, se le insta a descargarse un software para poder hacerlo, como si fuera un plugin de vídeo.  Este software no es ni más ni menos que un falso antivirus, el cual acabará robándonos información confidencial y en especial, toda la información relacionada con las claves y/o cuentas bancarias que tengamos almacenadas en nuestro ordenador, con el claro objetivo de robarnos ‘físicamente’ el dinero de nuestras cuentas.

Según la compañía de seguridad informática, este es uno de los pocos ataques Black Hat SEO que han afectado a una sola marca. 

Black Hat SEO: técnicas maliciosas que utilizan el posicionamiento web para atrernos a sititios maliciosos y descargar programas tales como falsos antivirus para robarnos información principalmente bancaria.  Obviamente, es todo lo contrario a las técnicas White Hat SEO. 
Una muy buena explicación la podemos encontrar en este post o artículo del sitio seotalk.es: http://www.seotalk.es/black-hat-seo/.

Enlaces relacionados (fuente: Pandasoftware):
- Leer toda la noticia del boletín Oxygen de Pandasoftware: http://www.pandasecurity.com/spain/emailhtml/oxygen/180409_ESP_interior.htm
- Ver un vídeo explicativo (en inglés) del proceso de infección aquí: http://vimeo.com/4143942
- Obtener información adicional sobre esta infección en el blog de PandaLabs: http://pandalabs.pandasecurity.com/archive/Targeted-Blackhat-SEO-Attack-against-Ford-Motor-Co_2E00_.aspx

Sobre SEO: 
- Información sobre SEO: http://www.joomla-seo.com/

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.