Archivo de la etiqueta: eset

Troyano en Skype: también se propaga por Gtalk usando bit.ly y otros acortadores

Esta mañana reportabamos un gusano informático que se está propagando por Skypedesde el día de ayer, y ahora los actualizo con algunos de los hallazgos más importantes de la investigación hasta el momento: la amenaza también se propaga por Gtalk y está utilizandonuevos acortadores de URL como bit.ly, ow.ly y fur.ly, entre otros. Paso a resumirles y mostrarles los datos que hemos obtenido en el transcurso de la mañana. La amenaza es detectada por la firma genérica win32/Gapz.E, ya que la misma utiliza el mismo dropper (Power Loader) para ejecutar las amenazas en el sistema.

En primer lugar, en las últimas horas los usuarios infectados volvieron a enviar enlaces y esta vez dejaron de utilizar el acortador de URL de Google (goo.gl) y comenzaron a utilizar otros servicios, entre los que ya hemos identificado:

  • bit.ly
  • ow.ly
  • urlq.d
  • is.gd
  • fur.ly

Asimismo, en el análisis realizado por el Laboratorio de ESET Latinoamérica, ya pudimos confirmar que la amenaza también se propaga por Gtalk, tal como habíamos anunciado en el post anterior. En el mismo análisis pudimos observar como funciona en el equipo infectado, si el usuario se loguea en Skype, la ventana se cierra y el usuario pierde control de la misma, no pudiendo acceder a la aplicación.

Finalmente, con estos nuevos enlaces, podemos seguir confirmando que la amenaza se sigue esparciendo a velocidades poco frecuentes, obteniendo cientos de clics por segundo en sus nuevos enlaces. En la siguiente imagen se puede observar cómo tan solo uno de los enlaces de bit.ly que se estuvieron propagando obtuvo más de 10 mil clics en unas pocas horas, a un crecimiento de más de 100 clics por minuto:

También podemos confirmar que usuarios que ya se han infectado, pueden ejecutar ESET Online Scanner (en modo seguro con funciones de red) y así eliminar la amenaza de forma gratuita. Seguimos investigando para conocer más en profundidad la amenaza, y los mantendremos informados.

Fuente: ESET LABS

Sebastián Bortnik
Gerente de Educación y Servicios  (ESET)

 


Linux/Cdorked.A: nuevo backdoor Apache utilizado masivamente para propagar Blackhole

La semana pasada, nuestros amigos de Sucuri nos enviaron una versión modificada de un servidor web Apache que redirigía algunas de las peticiones hacia el paquete de exploitsBlackhole. Detectado por los productos de ESET como Linux/Cdorked.A, el análisis de estemalware reveló que se trata de un sofisticado backdoor (troyano de puerta trasera) que implementa técnicas de ocultamiento, y cuyo objetivo es redirigir el tráfico hacia sitios maliciosos. Considerando esto, recomendamos encarecidamente a los administradores de sistemas web comprobar que sus servidores se encuentren libres de esta amenaza. Las instrucciones para realizar este procedimiento se detallarán al final de este post.

Linux/Cdorked.A es uno de los backdoor para Apache más sofisticados que hemos observado. Pese a que aún continuamos procesando los datos, nuestro sistema de alerta temprana, ESET Live Grid, reporta cientos de servidores comprometidos, incluidos algunos en América Latina. Por otro lado, el troyano casi no deja rastros en el disco duro del sistema infectado. Lo único que queda es el binario httpd modificado, lo que dificulta cualquier análisis forense. Toda la información relacionada a este backdoor es almacenada en un área de memoria compartida. Asimismo, la configuración es enviada por el atacante a través de peticiones HTTP ofuscadas que no son registradas en el log de Apache. Esto significa que no se almacena ninguna información del Centro de Comando y Control en el sistema afectado.

Ampliar  su Análisis y la información.. Fuente: Eset


ESET NOD32 España – Blog de laboratorio » Nuevas variantes del virus de la policía incluyen imágenes de pedofilia

http://blogs.protegerse.com/laboratorio/2013/04/10/nuevas-variantes-del-virus-de-la-policia-incluyen-imagenes-de-pedofilia/


El Virus Falso de la “Policia Nacional” La amenaza principal del mes de Marzo

Según un informe elaborado por la compañía ESET,  durante el mes de marzo ha habido muchos incidentes en materia de seguridad informática, quizá el menos importante tecnológicamente es el que más efectos secundarios ha desencadenado: el falso ‘virus de la policía’. Se han registrado durante el mes de marzo numerosos casos reales de usuarios afectados que han visto cómo su ordenador era bloqueado bajo amenaza de denuncia a los cuerpos de seguridad del Estado si el usuario no hacía un pago de una cantidad que ronda los 100 euros.

   ESET ha explicado en su informe mensual que los usuarios afectados se encuentran con su ordenador bloqueado y una aplicación les indica que han sido “pillados” visitando sitios pornográficos o de pedofilia y pirateando material. Dicho ‘ramsonware’ (falso software) tiene la imagen de la Guardia Civil o de la Policía y los usuarios llevan a cabo el pago de la cantidad exigida. Una de sus variantes ha conseguido colarse en el top 10 de malware más distribuido en marzo.

Fuente: Portaltic/EP