Se pilla antes a un virus que a un cojo

6 comentarios · 1.807 lecturas · seguridad

Por lo general, hay muchos virus informáticos que me resultan interesantes por la forma en la que han sido programados, las técnicas que utilizan para ocultarse y/o propagarse, etc.

virus traduccion español

Sin embargo, a otros virus, «se los pilla antes que a un cojo»...

  • En primer lugar, el título no tiene coherencia alguna. Fallo de traducción.
  • Observese, que el dominio es erasmas.com intentando simular el de eresmas, el antiguo dominio de Orange.
  • Por norma general, casi todos los virus te los envía una chica desconocida y muy agradecida. La mayoría de los usuarios informáticos parece que son chicos, y este tema es un foco bastante amplio para engañar e infectar.
  • ¿Holla? Fallo de traducción.
  • ¿Por qué lo haces conmigo? Mejor no pregunto.
  • La mayoría del texto se ve a la legua que está traducido (y parece que literalmente) por algún sistema de traducción automático.
  • Se incluye un enlace que envía a una página web (si estuviera adjunto, lo detectarían los antivirus).
  • El enlace parece una foto, pero en realidad en la dirección vemos que la extensión no es una imagen: http://www.ajesevilla.org/uploads/open.php.
  • Si intentamos ir a ese enlace, nos redirecciona a otra página y archivo:

    HTTP request sent, awaiting response... 302 Found
    Location: http://72.1.207.90/imagen2.scr [following]
  • El nuevo archivo está en lo que parece un servidor privado (mail.ggi.ca), probablemente servidores zombie que no tienen conocimiento de estar propagando virus.
  • El fichero descargado está en formato SCR (protector de pantalla de windows) lo que hace que el usuario (sobre todo si no es experimentado) no sospeche de que sea un virus.

Además, si tenemos un buen antivirus actualizado, nos lo detectará sin ningún problema. En este caso, se trata del virus Banload, una nueva variante (FVV).


Dejar comentario (6) · Escrito el 24-Dec-2007 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Virus «Porque no te callas»

17 comentarios · 2.830 lecturas · seguridad

¿Quién -a estas alturas- no ha oído hablar aún del famoso incidente del ¿Por qué no te callas? de Juan Carlos I, Rey de España, al presidente Chavez de Venezuela?

porque no te callas rey españa juan carlos chavez venezuela presidente zapatero

En el artículo ¿Por qué no te callas? Reclamo bancario de Bernardo Quintero (Hispasec) se menciona una curiosa y nueva forma de crear malware.

Aprovechando el tirón social que ha generado este suceso (y el evidente boom de búsquedas en internet) la parte oscura de la informática tampoco ha descansado y ha decidido aprovecharse.

El truco en este caso, se trata de un troyano camuflado en un -aparentemente- inofensivo mensaje enviado desde Youtube, que invita a ver el famoso video del ¿Por qué no te callas?.

Algunos de sus enlaces redireccionan a un fichero con nombre ultimovideo.exe, que es en realidad un troyano:

porque no te callas virus troyano banco

En principio, el troyano va orientado a los usuarios de méxico, ya que crea un pequeño formulario que se superpone sobre el formulario original del acceso a BancaNet Banamex (banco de México), registrando todos los accesos a las distintas cuentas bancarias de la víctima, y enviandolas por email posteriormente.

Como conclusiones podemos destacar que la reacción de los antivirus. Ningúno reconoce el virus, sin embargo, la mayoría (con sus funciones heurísticas para detectar virus desconocidos) antivirus como AntiVir, AVG, BitDefender, Panda o Ikarus los detectan como virus sospechoso.

Remarcar que, anecdóticamente, los que considero mejores antivirus NOD32 y Kaspersky no los detectan aún.

Como siempre, mucho cuidado con las posibles estafas y demás, y como se puede ver, el sentido común es en muchos casos, el mejor antivirus.

Y a los que vayan a decir que con linux están seguros, les hago una pregunta... ¿Por qué existen Antivirus para linux? ;)


Dejar comentario (17) · Escrito el 21-Nov-2007 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Redes de bots, spam, virus y botnets

3 comentarios · 1.776 lecturas · seguridad

Existe un tipo de estrategia que se basa en una infección masiva de ordenadores (en algunos casos servidores, en otros casos usuarios domésticos -entre otros-) de forma transparente e invisible para el dueño de la máquina, de forma que se convierten en los llamados ordenadores zombie.

Los dueños de estas redes de bots, descubren servidores con problemas de configuración o diseño (relays abiertos en servidores de correo, o vulnerabilidades en servidores web) y los aprovechan para conseguir controlar la máquina, realizar infecciones de virus y troyanos en equipos domésticos (clientes zombie de IRC camuflados en programas completos), y tretas de todo tipo con la finalidad de convertir el equipo en un zombie de la red.

Así, van consiguiendo un gran número de equipos que obedecerán cualquier orden del dueño de estas redes, llamadas redes de zombies, botnets o redes de bots.

La potencia de estas redes es inmensa, puesto que utilizan una cantidad ingente de equipos destinados a un mismo fin -como por ejemplo- enviar spam, intentar colapsar servidores, ataques de denegación de servicio (D.O.S.), etc.

botnet zombie spam pcs

Por esta razón es muy importante no delegar la seguridad de nuestros equipos informáticos a un segundo plano, sino tener un buen antivirus (¡actualizado!) y un firewall o cortafuegos (bien configurado).

A continuación, una lista de enlaces interesantes para comprobar la seguridad de nuestro sistema y/o tener en cuenta otras posibles amenazas.

Para servidores:

  • Zombie Detection System: Este sistema te muestra información acerca de la posibilidad de formar parte de una botnet. Se basa en tu IP y puede ser bastante interesante en sistemas que no funcionen con IP dinámica. (Vía Kriptopolis).
  • Open Relay Test: Si tu caso es el de un servidor de correo, puedes hacer este test para saber si tienes un relay abierto. En ese caso, deberás tomar medidas oportunas porque es posible que te estén usando como zombie para hacer spam.
  • Whois DomainTools: Se trata de un sistema de whois, que a parte de darnos información sobre el dominio, nos muestra si dicha IP pertenece a la lista negra del sitio.
  • SpamHaus: De los mejores sitios para comprobar si una determinada IP forma parte de una red de botnet o está en alguna blacklist. Dispone de tres tipos de listas negras: SBL (spamhaus block list), XBL (Exploits block list) y PBL (Policy block list). El link de ejemplo, muestra información acerca de la IP 84.59.117.82, perteneciente a la lista negra PBL.

Para usuarios domésticos:

  • Nanoscan: Se trata de un análisis rápido e instantáneo de posibles amenazas en tu ordenador. Es el primero (que conozco) que no necesita necesariamente ActiveX, por lo que funciona bajo navegadores que no sean IE (sin duda, buena noticia).
  • TotalScan: La versión ampliada de NanoScan. Cuando necesitamos algo más potente que lo anterior, podemos utilizar este sistema.
  • Panda ActiveScan: Otro antivirus online, muy similar a los anteriores, pero mas lento y completo. Necesita Internet Explorer.
  • Kaspersky Antivirus Online: Es la compañía que considero líder en el sector de la detección de antivirus. Necesita Internet Explorer.

Dejar comentario (3) · Escrito el 4-Nov-2007 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

IMG0024.zip, nuevo virus de MSN Messenger

107 comentarios · 143.485 lecturas · seguridad

Una vez más, se propaga por el MSN Messenger un virus que se está extendiendo bastante y es muy similar a anteriores:

  • oye voy a poner esa foto de nosotros en mi myspace :D
  • debes poner esa foto como foto principal en tu myspace o algo
  • oye voy a agregar esa foto a mi blog ya
  • voy a poner esa foto de nosotros en mi blog ya
  • el lol mi hermana quisiera que le enviara este álbum de foto
  • hola esas son las fotos
  • hey i'm going to add this picture of us to my weblog
  • jaja recuerda cuando tuviste el pelo asi
  • lol remember when you used to have your hair like this

Si alguna de estas frases te suenan, es probablemente porque el contacto que te lo escribió está infectado con el virus Backdoor.Win32.SdBot, Trojan.Win32.Agent.axx o alguna de sus variantes.

virus pc boo

Antes de continuar, he hablado de varios virus similares a este:

Sin embargo, si el que vienes buscando tiene relación a nombre de fichero como IMG0012.ZIP, Z058_jpg.zip, F0538_jpg.zip, p0017_jpg.zip, IMG0024.zip o parecidos, acompañados (en algunos casos, no siempre) de frases como las del recuadro anterior gris (enviadas a los contactos en periodos de 10~15 minutos), se trata de este virus.

Por lo general, se tratan de ficheros comprimidos que se envían por MSN después de decir una de las frases anteriores. Ocupan desde los 33Kb (una de las variantes, la más extendida) y otras en torno a los 400~500Kb.

Al abrir el fichero ZIP, nos encontramos con una «supuesta» foto (por ejemplo, IMG033-JPG-www.photobucket.com o www.p0017_jpg-msn.com), donde camuflan con una dirección de página web terminada en com (archivo ejecutable, como .exe) para conseguir que el virus infecte el ordenador.

Como siempre, la herramienta para eliminarlo es bien sencilla. Basta con pasar un antivirus actualizado a nuestro ordenador, y no tendremos ningún problema:

A día de hoy Kaspersky ya lo detecta. Si tienes problemas para abrir alguno de los antivirus-web anteriores, echa un vistazo a el sistema para desactivar el arranque de virus en windows.

ACTUALIZADO: Una excelente alternativa para eliminar estos virus es MSNCleaner, un programa del equipo de ForoSpyware para combatir este tipo de gusanos.


Dejar comentario (107) · Escrito el 10-Sep-2007 · Ver menciones
Recomendar por correo · Meneame · Añadir a del.icio.us

Páginas: 1 ... 2 3 ... 5


Artículo de http://www.emezeta.com/

6 consultas efectuadas / Página generada en 0.079 segundos

Programado íntegramente por José Román (Manz) en XHTML y CSS estándar.

Sindicado bajo Feed RSS. Contenido bajo licencia Creative Commons

Estadísticas de visitas · Términos y condiciones · Contacto · Publicidad · Preguntas frecuentes (FAQ)