Virus del msn

Iniciado por ptc, Junio 19, 2007, 07:58:53 AM

« anterior - próximo »

0 Usuarios y 3 Visitantes están viendo este tema.

ptc

Anda circulando un formulario que te pide usuario/contraseña para averiguar quien no te admite. Nunca debeis suministrar vuestra contraseña a ningún formulario que no sea el del propio servicio al que os registrasteis.

bagheera

tambien hay que tener cuidado con un correo que ofrece fotos de la mijita rica de la maura rivera(menos mal que uso linux y paso de los virus).

:P
Arrepentios, Gates es el AntiCristo, recitemos
juntos del libro de C de los profetas Kernigan y Ritchie
capitulo 7 versiculo 8.5 :Las funciones malloc y calloc.

bagheera

 Alerta: Ataque a gran escala contra webs europeas afecta a miles de usuarios
----------------------------------------------------------------------------

La industria del malware ha lanzado una ofensiva a gran escala contra
páginas web europeas. No consiste en una simple acumulación de webs
atacadas, sino que en ellas, manteniendo su aspecto original, han
conseguido encajar código de forma que los usuarios vulnerables que las
visiten serán infectados. El malware, una vez instalado en sus sistemas
les robará (cómo no) sus credenciales bancarias.

Websense ha alertado de que se está usando MPACK web exploit toolkit
como infraestructura para esta ofensiva. Una herramienta PHP alojada en
un servidor que genera exploits e infecta a quien lo visite eligiendo el
fallo adecuado según el software que use la víctima. ¿Cómo conseguir que
las víctimas visiten este servidor y queden infectadas? Lo que se ha
observado es que más de 11.000 páginas legítimas (principalmente
europeas) han sido atacadas y han alojado en ellas enlaces IFRAME que
apuntan al servidor MPACK e infectan así a la víctima. Si ésta es
vulnerable (normalmente a vulnerabilidades relativamente antiguas que
permiten ejecución de código), se descargará y ejecutará de forma
transparente una variante de un troyano bancario de la familia Sinowal
(pieza de malware conocida por su sofisticación).

Las páginas afectadas (que se convierten en "cómplices" sin saberlo ni
quererlo) son legítimas y con todo tipo de contenidos, desde webs de
deportes, hoteles, juegos, medios de comunicación, política, sexo...
Habitualmente, los atacantes que consiguen acceso a una web "popular",
roban datos y causan un "deface" (cambio de su página índice para que
todo el mundo sepa que ha sido atacada). Por el contrario en este caso,
han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las
que más visitas está recibiendo (y por tanto a más víctimas está
infectando) resulta ser la página oficial de una popular y atractiva
presentadora española. Hispasec se está poniendo en contacto con las
principales webs españolas comprometidas para eliminar el código
malicioso y prevenir nuevos infectados.

MPACK dispone de un completo "backend" con datos y estadísticas sobre
sus "progresos". Hemos tenido acceso a esta zona, donde se recogen
estadísticas y datos concretos del "éxito de la operación". El país con
más infectados es Italia (porque a su vez, son mayoría los dominios .it
que están siendo usados para "infectar"), seguido de España y Estados
Unidos.

Las vulnerabilidades que están siendo aprovechadas afectan a Windows,
pero no sólo a los usuarios de Internet Explorer, como es habitual.
También se valen de fallos en los plugins Windows Media y QuickTime de
Firefox y Opera. A pesar del uso minoritario de este último, no han
querido dejar escapar ni una sola oportunidad de infección.

Otro dato interesante es el porcentaje de eficacia de los exploits
utilizados en este ataque. En el caso de España, el 6,04% de los
usuarios que visitan alguna de las 11.179 webs comprometidas resulta
infectado (porque no mantiene su sistema actualizado). A excepción de
Italia con un 13,7%, el resto de países europeos se sitúan por debajo de
España.

Aunque este ataque a gran escala pueda ser mitigado en los próximos
días, no olvidemos que se trata de un caso más entre un número
indefinido de ataques similares todavía no detectados que se están
llevando a cabo con este mismo kit. Una vez más, advertimos de que
realizar una navegación "responsable" no es suficiente, no previene de
los incidentes de seguridad, puesto que los atacantes están
introduciendo sus códigos maliciosos en todo tipo de páginas webs.
Tampoco el uso de uno u otro navegador (como muchos piensan) solventa
por completo el problema. Ninguna acción "aislada" lo hace. Sólo la
defensa en profundidad (tanto de servidores como de clientes) puede
mantenernos razonablemente a salvo.
Arrepentios, Gates es el AntiCristo, recitemos
juntos del libro de C de los profetas Kernigan y Ritchie
capitulo 7 versiculo 8.5 :Las funciones malloc y calloc.

bagheera

Malware alojado en dominios .hk: Exprimiendo el correo basura (II)
------------------------------------------------------------------

Una vez más, merece la pena detenerse ante un correo basura que está
inundando nuestros buzones (y por extensión, el de algunos millones más
de usuarios) durante estos días. Se trata de un spam que intenta
infectar al que visita un enlace en su interior. Nada nuevo excepto por
la insistencia de variantes del correo (decenas al día) y el método de
direcciones dinámicas que utiliza para alojar el malware. Todo un
sistema que lo hace imposible de localizar en un punto concreto.

Desde hace unos días estamos recibiendo decenas de correos con esta
estructura:

Asunto: "Hello", "Hello, Bud" o "Hello, Pal"
Cuerpo: read it
http://xxxxx.hk

Donde XXXXX oculta dominios cortos, normalmente mezcla de letras sin
sentido. Lo primero que llama la atención es el carácter dinámico de los
dominios. Cuando son resueltos responden cada vez con una dirección IP
distinta, lo que significa que el dominio apunta a un lugar diferente en
cada petición. Esto lo convierte en algo extraordinariamente complicado
de rastrear. Las IP son en su mayoría estadounidenses (muy probablemente
sistemas de usuarios comprometidos) pero se pueden observar de muchos
otros países. El sistema está montado sobre decenas de servidores DNS
cambiantes, y los registros tienen un tiempo de vida (timeout) de cero,
para que nunca queden en caché de quien los consulte y resulte así en
una nueva resolución cada vez que se realiza una petición.

Cuando el usuario visita esta página en el dominio .hk, (aparte de ir a
parar a un IP distinta en cada ocasión) recibe un insistente ataque que
intenta infectarlo por varias vías conocidas. El índice de esta página
contiene JavaScript ofuscado que intenta:

* Aprovechar la famosa vulnerabilidad ANI, conocida y parcheada, que
permite ejecución de código con solo visitar la página.
* Contiene iframes que también intentan aprovechar distintos fallos en
Internet Explorer, todos ya conocidos.
* Independientemente del éxito de las operaciones anteriores, muestra un
mensaje con un enlace a una descarga directa que apunta a
http://yyyyy.hk/fun.exe y pide que sea descargado.

Donde YYYYY es otro dominio con las mismas características. Fun.exe
resulta ser un "downloader". Descarga un nuevo fichero desde
http://12.34.56.78/aff/dir/alt.exe (IP simulada).

Alt.exe es un "spambot" que, si es ejecutado con permisos de
administrador, comienza a enviar correo basura casi inmediatamente.
Además es un cliente de DDoS, o sea, está preparado para lanzar
peticiones contra servidores cuando el master de la botnet se lo ordene.
El sistema víctima se convierte así en un zombie.

Algunos antivirus pueden detectar las páginas con el JavaScript como
peligrosas, aun estando ofuscadas. Fun.exe, el encargado de descargar el
"payload" del ataque, es reconocido por nueve antivirus en
VirusTotal.com, con firma genérica.

Alt.exe sigue a día de hoy perfectamente accesible a través de la web y
los resultados proporcionados por VirusTotal.com a fecha de 16 de junio
de 2007, a las 15:00 hora española son:

TR/Small.DBY.DB (AntiVir), Suspicious (CAT-QuickHeal), Trojan.Small-267
(ClamAV), Trojan.Packed.139 (DrWeb), Suspicious Trojan/Worm (eSafe),
Tibs.gen108 (F-Secure), Tibs.gen108 (Norman), Suspicious file (Panda),
Mal/EncPk-E (Sophos), Trojan.Small.DBY.DB (Webwasher-Gateway)

Los dominios .hk (Hong Kong) son relativamente fáciles de comprar sin
levantar sospechas. Lo sorprendente de este ataque es la infraestructura
empleada. Decenas de dominios .hk, un método de resolución de nombres
complejo y dinámico, un sistema de alojamiento múltiple de payloads y
downloaders, una insistencia enfermiza a la hora de intentar la
infección automática y como última instancia la "manual" (pidiendo
abiertamente la descarga)... toda una inversión de recursos con el fin
de convertir a la víctima en parte de un botnet. Y lo peor, es que las
páginas que intentan aprovechar los fallos parecen estar alojadas en
ordenadores de usuarios ya comprometidos en todo el mundo.
Arrepentios, Gates es el AntiCristo, recitemos
juntos del libro de C de los profetas Kernigan y Ritchie
capitulo 7 versiculo 8.5 :Las funciones malloc y calloc.

Vorgon

Moraleja: dejen de confiar en el weas de Gates y creen salones en el MIRC

El Esbirro del Mal

miar, yo lelvo siglos pidiendo a la peña k entre en el irc, hasta me registraron un canal k ya se desregistro de nuevo ¬¬



podriamos iniciar una campaña de recogida de firmas a favor del irc

:P
Knights of the Dark Age


Si fuera mi vida una escalera me la he pasado entera buscando el siguiente escalón, convencido de que estás en el tejado esperando a ver si llego yo




El Esbirro del Mal

Cita de: El Esbirro del Mal en Junio 30, 2007, 10:46:32 PM
yo llevo siglos pidiendo a la peña k entre en el irc, hasta me registraron un canal k ya se desregistro de nuevo ¬¬



podriamos iniciar una campaña de recogida de firmas a favor del irc

:P
Knights of the Dark Age


Si fuera mi vida una escalera me la he pasado entera buscando el siguiente escalón, convencido de que estás en el tejado esperando a ver si llego yo




Vorgon

Cita de: El Esbirro del Mal en Junio 30, 2007, 10:48:25 PM
Cita de: El Esbirro del Mal en Junio 30, 2007, 10:46:32 PM
yo llevo siglos pidiendo a la peña k entre en el irc, hasta me registraron un canal k ya se desregistro de nuevo ¬¬



podriamos iniciar una campaña de recogida de firmas a favor del irc

:P

?

Geigermen

Esbirro es k no te das cuenta de k no te haemos caso??? xDDDDD
Tu tienes 626 mensaje esperando

Indegraf

Cita de: Vorgon en Junio 30, 2007, 10:55:06 PM
Cita de: El Esbirro del Mal en Junio 30, 2007, 10:48:25 PM
Cita de: El Esbirro del Mal en Junio 30, 2007, 10:46:32 PM
yo llevo siglos pidiendo a la peña k entre en el irc, hasta me registraron un canal k ya se desregistro de nuevo ¬¬



podriamos iniciar una campaña de recogida de firmas a favor del irc

:P

?


jajajajajajajaaaaaaaaaa

en el archi funkaba bastante el canal del irc
ahora no c k paso
se fueron los bots  :wacko: y cago el irc

jajajaja
XD ......................................... :quemate:
"El jugador que habla, no piensa

El jugador que no piensa, no sirve

El jugador que no sirve, no juega"

Wizard

yo estoy siempre en irc.. y mil veces he preguntado en que servidor y canal estan.. pero nunca responden  :quemate:

Indegraf

Cita de: Wizard en Julio 11, 2007, 08:51:56 PM
yo estoy siempre en irc.. y mil veces he preguntado en que servidor y canal estan.. pero nunca responden  :quemate:


hoy no es la ecepcion


jajajajajajajaja :grupito:
spam sorry.................................
"El jugador que habla, no piensa

El jugador que no piensa, no sirve

El jugador que no sirve, no juega"