Camuflados como cracks en
páginas de warez, capaces de robar claves de acceso a cuentas bancarias.
Andrea se conecta ansiosa al eMule para descargar el último capítulo
de Prison Break que se estrenó hace una hora en Estados Unidos.
"¡Perfecto termina la descarga!"qué
extraño, Windows Media Player solicita la descarga de un codec, bueno,
estará codificado con algo nuevo, no pasa nada, aceptar". A las pocas
semanas Andrea se encuentra en una comisaría poniendo una denuncia
porque le han sacado todos los ahorros de su cuenta bancaria.
¿Has reproducido con Windows Media Player algún archivo de audio o
video últimamente? Podrías estar infectado.
A finales de Julio hubo bastante revuelo con la aparición de un nuevo
troyano que afectaba a archivos multimedia. Este malware, que muchas
casas antivirus han denominado GetCodec, emplea una técnica de infección
que no había sido vista hasta el momento.
El troyano se ha detectado propagándose encubierto como cracks en
páginas de warez y cracks. Es totalmente silencioso, lo cual induce a
pensar que tan sólo se trata de otro crack corrupto más. Tras su
ejecución, el troyano busca todos aquellos archivos con extensiones
.MP2 .MP3 .WMA .WMV .ASF. El formato ASF es un formato propietario de
Microsoft empleado por Windows Media Player que permite introducir
secuencias ejecutables en flujos de audio/video. El troyano aprovecha
esta propiedad para introducir en los archivos multimedia de la
víctima una secuencia que solicita la descarga de un codec falso desde
un Sitio Web. Éste codec es a su vez otro troyano, aunque la técnica
podría emplearse para servir cualquier tipo de contenido.
Este método de infección también funciona con los archivos MPx porque
el troyano los convierte primero a formato ASF para después
inyectarles el código malicioso. De forma que un archivo con extensión
.MP3 puede estar infectado.
El espécimen modifica la configuración del usuario de tal forma que
este nunca llega a notar que sus archivos multimedia han cambiado, sin
embargo, todo aquel que no esté infectado e intente reproducirlos sí
notará el cambio. Cuando se reproduce un archivo multimedia infectado,
en una máquina limpia, Windows Media Player despliega una ventana
solicitando la descarga de un codec falso. Este codec puede ser
cualquier otro tipo de malware. Al aceptar la descarga se produce la
infección.
Tal y como se puede intuir, estas características lo hacen ideal para
la propagación vía redes P2P, unidades compartidas e intercambio de
medios de almacenamiento. Tomando como ejemplo las redes P2P,
cualquier usuario infectado estará actuando como servidor del malware.
Otro usuario que descargue sus archivos multimedia se verá infectado
si no es lo suficientemente cuidadoso.
Desde www.hispasec.com, Marcin Noga ha realizado un análisis
de ingeniería inversa del troyano con el fin de detallar su mecanismo
de infección. El documento se puede encontrar en las siguientes URLs:
De igual forma, Marcin ha desarrollado una herramienta para limpiar la
infección en todas aquellas máquinas que se han visto afectadas,
eliminando el código malicioso de los archivos multimedia infectados.
La herramienta puede ser descargada desde:
Hasta el momento los archivos de audio y video habían sido relativamente
inofensivos a no ser que estuvieran intencionadamente malformados para
causar la explotación de un reproductor vulnerable. Los usuarios de a
pie parecen seguir teniendo la idea equivocada de que tan sólo los
archivos ejecutables son peligrosos, como siempre, todo se resume a una
cuestión de concienciación. Esperamos que los documentos producidos por
el laboratorio de Hispasec ayuden en esta labor de concienciación y
educación.
Según "G Data" España se encuentra novena del mundo en número de ordenadores zombi
Según G Data somos grandes productores de Spam, una de las funciones más importantes de los sistemas secuestrados, ocupamos el noveno puesto mundial en número de ordenadores zombi, casi en empate técnico con Estados Unidos y Rusia
El informe está realizado por G Data según la geolocalizacion de las direcciones IP. El número de zombis utilizados cada día ronda una media de 350.000, con momentos en los que se utilizan hasta 700.000 ordenadores para los distintos fines de estas botnets.
De los diez países más infectados, la mayoria pertenece a Europa. Según el informe, es el continente que goza de líneas de conexión más rapidas y mayor numero de ordenadores. Los países con más ordenadores zombi se reparten asi: Alemania: 10 % Italia: 10 %
* Brasil: 8 %
* Turquía: 8 %
* China: 6 %
* Polonia: 6 %
* Estados Unidos de América: 5 %
* Rusia: 5 %
* España: 5 %
* India: 4 %
Alf Benzmüller, de los laboratorios de seguridad de G Data, achaca la culpa a la falta de cortafuegos y a los sistemas antivirus desactualizados. Desde luego los cortafuegos no son la (única) solución. El código malicioso es colocado preferentemente por sus desarrolladores en sitios web atacados o falsificados. Basta tan sólo con entrar a estas webs para que el PC del visitante se transforme en zombie. Por desgracia, la utilizacion de cortafuegos y antivirus no está generalizada entre todos los usuarios, lo que facilita que los atacantes controlen un numero elevado de PCs y que sus ataques tengan exito con rapidez. Casi cada segundo, un usuario aleman navega por la red con una proteccion antivirus no actualizada, constituyendo de dicha forma una presa facil”.
Llama la atención que las recomendaciones de higiene en la navegación válidas (o 'suficientes') hace varios años, sigan perpetuándose sin modificaciones. Todavía se sigue aconsejando un cortafuegos y un antivirus como panacea contra el problema del malware, algo válido hasta 2004, pero completamente insuficiente a día de hoy. Sin embargo, el mensaje sigue repitiéndose, inamovible, una y otra vez, de forma que los usuarios de Windows acaban preguntándose, entre el desconcierto y la desconfianza, cómo pueden estar infectados o haber sido estafados (o robados) si "tienen su antivirus actualizado y un buen cortafuegos".
Aunque estas cifras haya que tomarlas siempre con pinzas, quizas no se alejen demasiado de la realidad. Las botnets son cada vez mayores, tanto en numero como en volumen. Symantec declaro hace un año que Madrid era la capital mundial de sistemas zombis.
El fondo del asunto, las botnets: el ejército guerrillero en la web
Los criminales recurren a las botnets no solo para enviar spam, correos electrónicos con phishing o ataques de denegación del servicio. Los ordenadores zombies tambien se utilizan para almacenar paginas de phising y malware y para explorar servidores de correo electronico. En los dos ultimos años, el numero de bugs especiales (backdoors o puertas traseras) que permiten a los atacantes controlar remotamente los PCs infectados y entonces alimentarnos con código malicioso adicional se ha multiplicado casi por cinco.
Un iframe-javascript malicioso nos envia directamente al sitio malicioso 2117966.net
Más de 10.000 páginas web afectadas, hablamos de páginas víctimas de un ataque usando javaScript SQL Injection (inyección de código javascript), el código malicioso hace que los visitantes sean enviados directamente a 21179 66.net, este sitio aprovecha multiples vulnerabilidades descritas en MS06-014 MS07-004, MS06-067, MS06-057. Ni decir que quién no disponga de un pc actualizado, será víctima de un programa malicioso que usando un exploit tratará de robar contraseñas de sitios web y juegos on-line.
En la imagen de abajo observamos como con una simple búsqueda en google aparece la línea de codigo inyectada y los mas de 10.000 sitios web afectados a fecha de hoy.
Recomendamos NO VISITAR EL SITIO WEB y bloquear el acceso de vuestro navegador web al sitio malicioso: 2117966.net, para los administradores de sitios web aconsejarles un vistazo a los logs de su servidor para observar si aparece el sitio 2117966.net, la línea de código inyectada usa el archivo http://www.2117966.net/fuckjp.js para tratar de afectar a aquellos visitantes de sitios los miles de sitios web que han sido víctima de la inyección de código
Advertimos del peligro que supone abrir correos Spam y más aún descargar ficheros adjuntos que bajo una simple carta postal instalan malware en nuestro ordenador. En este caso el archivo que disfraza al troyano "FunnyPostCard" lo denominan como e-card.exe con un tamaño de 118785 bytes
Una vez que hemos accedido a la web-trampa se realizará la descarga automática del troyano e-card.exe, en caso de no tener nuestro pc actualizado la descarga será automática y sin avisarnos de la descarga del archivo. Aquí una captura de la web-trampa
Una vez analizado el archivo observamos lo peligroso que es instalar la falsa postal:
La delincuencia en la red ha hecho su aparición en la campaña electoral atacando a la web de Izquierda Unida. Quienes entraran el sábado por la noche en www.izquierdaunida.es se encontraron con una gran foto de los candidatos de PP y PSOE sobre una bandera preconstitucional
Los autores del sabotaje informático no han dudado en firmar su obra y se identifican bajo los seudónimos de "ka0x, an0de, xarnuz, y piker". Los cuatro forman un grupo de piratas cibernéticos que se hace llamar "D.O.M. Team 2008".
En el montaje realizado por los 'hackers' se ve a Zapatero y Rajoy dándose la mano sobre una bandera española preconstitucional. La foto está retocada, y mientras el líder del PSOE aparece con un largo cigarro en la boca, al candidato del PP le han colocado unas orejas enormes. Pero la 'broma' no termina ahí. Bajo la foto se puede leer la siguiente frase: "Tenemos algo en común, le dijo un presidente a un embustero...".
Detectado un envío masivo de correos electrónicos que suplantando la identidad de Ibercaja tratan de enviar a clientes de la entidad financiera a una web falsa que imitando al banco intentará robar sus claves de acceso a su cuenta de Ibercaja. Link que aparece en en correo-trampa que suplanta a Ibercaja: http://0xD3.0x23.0x31E6/.clientes.ibercaja.es/Login_asp.htm
14/02/08 ACTUALIZACIONES WINDOWS -FEBRERO 2008-
Once boletines; seis de gravedad "crítico", cinco "importantes".
Microsoft ha publicado once boletines de seguridad (MS08-003 a MS08-013) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible ya que en 3 vulnerabilidades existen exploits publicados.
MS08-007:Una vulnerabilidad en el miniredireccionador WebDAV podría permitir la ejecución remota de código (946026)(Crítica)
MS08-008:Una vulnerabilidad en la automatización OLE podría permitir la ejecución remota de código (947890)(Crítica)
MS08-009:Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (947077)(Crítica)
MS08-010:Actualización de seguridad acumulativa para Internet (944533)(Crítica)
MS08-012:Una vulnerabilidad en Microsoft Office Publisher podría permitir la ejecución remota de código (947085)(Crítica)
MS08-013:Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (947108)(Crítica)
MS08-003:Una vulnerabilidad en Active Directory podría permitir la denegación de servicio (946538)
(Importante)
MS08-004:Una vulnerabilidad en TCP/IP de Windows podría permitir una denegación de servicio (946456)(Importante)
MS08-005:Una vulnerabilidad en Internet Information Services podría permitir la elevación de privilegios (942831)(Importante)
MS08-006:Una vulnerabilidad en Internet Information Services podría permitir la ejecución remota de código (942830)(Importante)
MS08-011:Vulnerabilidades en el convertidor de archivos de Microsoft Works podrían permitir la ejecución remota de código (947081)(Importante)
Detectamos un envío masivo de correos (Spam) con asunto: Crazy Britney does it again!. El correo nos invita a hacer click en la imagen para instalarnos un troyano con el nombre de archivo: play.exe
Como vemos en la imagen los delincuentes aluden a una falso video sobre la conocida Britney Spears.
Una vez que pulsamos con el ratón sobre la imagen somos objeto de la descarga del archivo play.exe cuyo archivo instala un troyano desde la web http://hahne.id.au/play.exe//FSG detectado por kapersky como Trojan-Downloader.Win32.Tiny.ahx.
Es muy importante eliminar todo el correo Spam sin tan siquiera abrirlo, por ejemplo hace pocos días detectamos uno similar y que aludíendo a Paris Hilton intentaba descargar otros troyanos, en concreto los archivos eran player.exe o trailer.exe detectados ambos por kapersky como Trojan-Downloader.Win32.Exchanger.b
Recomendamos eliminar el panel de vista previa y la lectura de correos con código html para tratar de evitar la descarga silenciosa de archivos aprovechando alguna vulnerabilidad de nuestro sistema operativo.
Se estima que hay unas 80.000 páginas web infectadas
Miles de páginas web han sido comprometidas y modificadas de forma automática para infectar a sus visitantes, el atacante se hace con un servidor web legítimo, incrustando código en él, normalmente Iframes. El código aprovecha habitualmente vulnerabilidades del navegador (o componentes adicionales no actualizados del visitante) para infectarlo.Se estima que hay unos 80.000 páginas infectadas. Todo tipo de webs se han visto afectadas por este problema. Gubernamentales, grandes empresas, bancos...
¿De qué manera "alguien" ha podido modificar tantas páginas legítimas para que redirijan a sus visitantes hacia la infección? En otras ocasiones, los atacantes entran en un servidor de hospedaje, y una vez bajo su control, modifican las miles o cientos de páginas que aloja. Sin embargo este ataque posee una característica que ha permitido su rapidísima difusión. Es capaz de buscar automáticamente páginas web vulnerables y aprovechando problemas de inyección SQL, llegar a la base de datos e incrustar su código en ellas.
En la inyección SQL ha tenido en cuenta la estructura de bases de datos del servidor SQL de Microsoft, y se ayuda de páginas web programadas de forma insegura para acceder a la base de datos y modificarlas. Lo que permite el asalto a las webs es la pobre programación de las páginas y no la infraestructura que las soporta, por lo que en cualquier momento los atacantes podrían cambiar el objetivo hacia páginas con MySQL o cualquier base de datos.
Microsoft comienza el año con dos boletines de seguridad (MS08-001 y MS08-002) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible.
Esta actualización de seguridad crítica resuelve dos vulnerabilidades de las que se ha informado de forma privada en el procesamiento del Protocolo de control de transmisión/Protocolo de Internet (TCP/IP). Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
Esta actualización importante resuelve una vulnerabilidad de la que se ha informado de forma privada en el servicio de subsistema de autoridad de seguridad local (LSASS) de Microsoft Windows. La vulnerabilidad podría permitir a un atacante ejecutar código arbitrario con privilegios elevados. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario
Continúa el ataque Spam, ahora la web ha cambiado y el archivo que se descarga automáticamente lo llaman "happynewyear2008.exe". En la imagen observamos la web maliciosa y el troyano que se descarga al visitar el sitio web, según kaspersky "Email-Worm.Win32.Zhelatin.pr"
Página nueva fraudulenta: uhavepostcard.com (bloquee el acceso de su pc al sitio web y no rogamos no visiten el sitio web)
El asunto del correo Spam que distribuye este troyano puede variar entre estos:
·Blasting new year
·Message for new year
·New Year wishes for you
·Opportunities for the new year
25/12/07 TROYANOS
Cuidado con el Spam también en Navidad
Si hace unos días recordabamos a nuestros lectores que el Spam sigue siendo el reclamo perfecto para que delincuentes informáticos distribuyan troyanos aquí tenemos otra prueba de ello; Zhelatin.pd. En la imagen observamos la web maliciosa y el troyano que se descarga al visitar el sitio web.
Página fraudulenta: merrychristmasdude.com (Recomendamos no visitar el sitio web)
En la imagen observamos una web donde nos envía un correo Spam cuya características son:
Asunto: (uno de los siquientes)
Find Some Christmas Tail
Looking for something hot this Christmas
Merry Christmas To All
Seasons Greetings
The Twelve Girls Of Christmas
Cuando un usuario hace clic sobre el enlace que muestra el correo Spam somos enviados a la web "merrychristmasdude.com" (observe la imagen de la izquierda) realizándose la descarga silenciosa del archivo (observe el código fuente en la imagen): "stripshow.exe"
El archivo de unos 132KB y el correo es detectado por Kaspersky como Email-Worm.Win32.Zhelatin.pd
Recomendamos que deben eliminar cualquier correo Spam sin tan siquiera abrirlo, no visite los enlaces que amablemente les indican y menos aún descarguen y ejecuten archivos adjuntos sin antes cerciorarse personalmente de su procedencia.
Muy importante, actualizado a las 21:00 Horas
El nombre del archivo lo han cambiado, ahora se denomina: happy2008.exe
MD5: 45dde702a9313284fd342d3203f23d85
SHA1: b06138a50254f0255bca506028a5e720bf5ec4d0
Si desea ver el resultado del análisis en Virustotal donde da positivo en 23 motores antivirus, pulse Aquí
21/12/07 EL PHISHING EN CIFRAS
El phishing ha costado 3.200 millones de dólares a Estados Unidos en 2007
Desde que www.visa-club.com comenzó su andadura se han realizado un total de 130 videos de casos reales phishing, donde los afectados son todos prácticamente clientes de bancos españoles. Como pueden observar en la captura de la cuenta de www.youtube.com en total a fecha de hoy viernes 21 de diciembre de 2007 a las 00.20 horas, un total de 20.465 personas han visionado los videos. Creo que queda suficientemente demostrado que www.visa-club.com es una de las páginas web españolas que más lucha contra el phishing.
Un informe de la empresa de investigación de mercado Gatner habla de unas pérdidas de 3.200 millones de dólares por culpa del phishing en 2007. El informe pone cifras al phishing "tradicional", contabilizando desde agosto de 2006 a agosto de 2007 y centrado en Estados Unidos.
Son 3.6 millones de usuarios los que han perdido los más de 3.000 millones de dólares. En 2006, según el informe, fueron solo 2.3 millones de personas los que se vieron afectados.
La cantidad media estafada por robo serían unos 866 dólares, bastante menos que los 1.244 del año anterior. Sin embargo esto no significa que los atacantes hayan renunciado a mayores ganancias, pues el número de usuarios afectados ha aumentado. Quizás el robo de una cantidad menor permite que la estafa pase inadvertida en cierta forma para los bancos (nunca para el usuario) e incluso podría reducir la pena en el hipotético (y lamentablemente improbable) caso de que el estafador sea cazado.
En 2005, el coste estimado del fraude online(todo incluido) según el FBI era de 67.000 millones de dólares en Estados Unidos. Esto da una idea de lo que representa el phishing tradicional en el cómputo total del fraude en la Red.
Se desprende también del informe que hasta el 64% de los afectados recuperaron el dinero perdido en 2007. Bastante más que en 2006. Pero sin duda lo alarmante es que el ratio de "éxito" de cada ataque ha subido. El 3.3% de los usuarios que recibieron correos de phishing perdieron dinero, mientras que en 2006 fueron "sólo" el 2.3%.
Y Gatner concluye además que durante 2008 y 2009 este tipo de estafas no parará de crecer. Resulta demasiado sencillo y lucrativo para los atacantes.
Si bien el informe se centra en Estados Unidos, en España la situación puede ser parecida. En Hispasec han detectado un repunte de ataques phishing contra entidades bancarias españolas en los últimos meses. Incluso, como ya comentan en otros boletines, varios ataques de phishing con intento de troyanización del sistema.
Si estas cifras se manejan con el phishing tradicional, ¿qué podemos esperar de los sofisticados troyanos que tienen el mismo fin y que forman parte del malware 2.0? Estos son mucho más eficaces, y el ratio de "éxito" en caso de infección es mucho mayor que ese 3.3% de usuarios que introducen sus datos en páginas fraudulentas. La mayoría de esos troyanos roban las contraseñas sin necesidad de que el atacado observe ningún comportamiento anómalo en el sistema o en la página web del banco y además pasan inadvertidos también para muchos antivirus.
Teniendo en cuenta los elevados índices de infección actuales, a las mafias rusas y brasileñas creadoras de este tipo de malware deben parecerle irrisorias las ganancias obtenidas con el phishing tradicional, una técnica mucho más primitiva.
18/12/07 SPAM Y TROYANOS
Oleada de correo Spam el pasado fin de semana
Este pasado fin de semana ha sido detectado un correo Spam que bajo el supuesto reclamo sexual de unas fotos nos invita a abrir el archivo adjunto "card.zip". El adjunto "card.zip" contiene el archivo card.scr con un tamaño de 20,480 bytes y cuyo Hash MD5 es "536bfc077fbad247fa5ea67adf1dca7d" que es el troyano detectado por www.f-secure.com como Trojan-Downloader.Win32.Agent.gbu
Ni hemos de recordarle que NUNCA debe abrir adjuntos a mensajes de correo electrónicos por muy sugerentes que puedan ser sin antes cerciorarnos personalmente de quién lo ha enviado y recuerde que el reclamo sexual es el más usado por delincuentes informáticos para distribuir troyanos de forma masiva.
12/12/07 ACTUALIZACIONES WINDOWS -DICIEMBRE 2007-
Siete boletines; tres de gravedad "crítico", cuatro "importantes".
Microsoft ha publicado siete boletines de seguridad (MS07-063 y MS07-069) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible.
MS07-064:Vulnerabilidad en Microsoft DirectX(Crítico)
MS07-068:Vulnerabilidad Windows Media Format(Crítico)
MS07-069:Actualización acumulativa para Microsoft Internet Explorer(Crítico)
MS07-063:Vulnerabilidad en Server Message Block Version 2 (SMBv2)(Importante)
MS07-065:Vulnerabilidad en Message Queuing Service (MSMQ)(Importante)
MS07-066: Vulnerabilidad en el kernel de Windows que podría permitir a un atacante tomar el control total de los equipos afectados.
(Importante)
MS07-067:vulnerabilidad en Microsoft Windows Macrovision Driver (secdrv.sys)(Importante)
Adquirir un ordenador con capacidad de conexión a Internet
Los beneficiarios de este préstamo a interés 0% y sin comisiones de ningún tipo son los residentes en territorio español que dispongan de conexión a internet en banda ancha o que contraten una alta nueva en ese servicio.
Los requisitos de los beneficiarios son: Adquirir un ordenador con capacidad de conexión a Internet. Opcionalmente incluirá también sofware de ofimática y otro software, antivirus, dispositivo lector de tarjeta electrónica, periféricos y alta en servicio de conexión a internet en banda ancha.
El importe del crédito que se solicite servirá para cubrir en parte o en su totalidad la compra del ordenador de sobremesa o portátil. En el caso de que este importe supere el del valor del ordenador, el excedente podrá servir para financiar la conexión a Internet de banda ancha, o también destinarse a otros fines, siempre que estén incluidos entre los que se indican a continuación: Software antivirus, paquete de ofimática y otro software. Dispositivo lector de certificado electrónico y periféricos. El importe máximo será hasta el 100% de la inversión incluído el IVA, con un importe máximo de 3.000 € por beneficiario final.
El plazo máximo de devolución del crédito será de 36 meses, con un máximo de 3 de carencia y liquidaciones lineales y mensuales. El tipo de interés fijado para el crédito será del 0% durante el plazo de amortización.
Estos prestamos están en vigor hasta diciembre de 2010 o hasta que se agoten los fondos.
El listado de entidades financieras suscritas lo puede consultar aquí.
Se ha detectado un envío masivo de un correo electrónico (Spam) invitándonos a visitar una página web para ver un video de youtube, precísamente un video del famoso incidente entre el Rey de España y el Presidente con el objetivo de instalar un troyano bancario.
El remitente del correo electrónico es "youtube@you-tube.com.mx" y el asunto "Esto causa sensacion" Al abrir el mensaje observamos un correo en código HTML el cual nos indica la imagen que mostramos a la izquierda.
Una vez el usuario pincha en alguno de sus enlaces, en vez del vídeo, comienza la descarga del ejecutable "ultimovideo.exe". En el momento inicial de la distribución, este malware era detectado por 10 motores antivirus tal y como se puede apreciar en el siguiente informe de VirusTotal:
http://www.virustotal.com/resultado.html? e755c2e0709e9b90aa7f01043a7bf559
El método que utiliza el troyano no está basado en keyloggers ni en la captura de los datos transmitidos a través del navegador, sino que crea un formulario/aplicación de autenticación con una pequeña ventana que se superpone justo encima del navegador tapando el formulario auténtico. De esta forma el troyano recoge directamente los datos introducidos por el usuario y se los envía al atacante por e-mail.
Desde www.visa-club.com no cesamos en el intento de que nuestros lectores no olviden que nunca deben abrir mensajes spam y menos aún pulsar sobre los enlaces de dichos correos por muy sugerentes que sean y también aconsejamos desactivar el formato html en la lectura de correos electrónicos, así como el panel de vista previa donde se previsualiza el contenido del correo.
Fuente: http://www.hispasec.com/unaaldia/3315
15/11/07 LUCHA CONTRA SPAM Y MALWARE
Una falsa actualización de windows instala un troyano en su PC.
Detectado un peligroso correo electrónico con asunto: "Boletn de seguridad de Microsoft MS07-055 – Crtico" que tratando de pasar como una actualización de windows (MS07-055), nos envía a una web-trampa que suplantando a la web auténtica de Microsoft tratará de instalar un troyano en nuestro ordenador. Dominio fraudulento que suplanta a Microsoft: http://postform.maxiesub.com
El video podéis verlo en tamaño óptimo pinchando YouTube donde podéis ver todos los videos realizados por www.visa-club.com
La supuesta actualización que soluciona el problema "Kodak image viewer" concrétamente la actualización de Microsoft "MS07-055" y que nos indica el correo-trampa contiene información real sobre la actualización pero solo es una excusa para instalar en nuestro ordenador un troyano, concrétamente "Bck/Bandok.BO
A continuación mostramos los datos de los archivos de la actualización auténtica y la fraudulenta que contiene el troyano:
Actualización de Microsoft Oficial y auténtica:
MS07-055 WindowsXP-KB923810-x86-ENU.exe
MD5: a2d27a703f93c860e842af732ff3d93f
Falsa actualización de Microsoft que descarga el troyano:
MS07-055 WindowsXP-KB923810-x86-ENU.exe
MD5: b59d788bc907d9aecb15375abe09c606
14/11/07 ACTUALIZACIONES WINDOWS -NOVIEMBRE 2007-
Dos boletines de seguridad según Microsoft; 1 de gravedad crítica, 1 importantes
Microsoft ha publicado dos boletines de seguridad (MS07-061 al MS07-062) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows inmediatamente.
MS07-061:Vulnerabilidad en el tratamiento de URI de Windows(Crítico) Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que lo visite. Sitios web vulnerables o sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario también podrían ser utilizados.
MS07-062:Vulnerabilidad en DNS podría permitir ataques de suplantación (Importante)
Un atacante podría aprovecharse de esto para obtener información acerca de los identificadores de transacción del servidor DNS y usar dicha información para enviar respuestas malintencionadas a solicitudes DNS, redirigiendo el tráfico de Internet desde ubicaciones legítimas a una dirección que elija el atacante
Se ha detectado un envío masivo de un correo en español que dice provenir de Symantec y que contiene una falsa actualización de su antivirus. La falsa actualización que nos indica el correo es en realidad un troyano, capaz de infectar nuestro sistema en caso de ejecutarlo.
(Pulse sobre la imagen para ampliarla) Recordamos a nuestros lectores que el correo electrónico sigue siendo prácticamente el método más utilizado por delincuentes informáticos para infectar sistemas, en el caso que nos ocupa nos invitan a descargar un archivo que es realmente un troyano, el nombre del archivo es Symantec.exe.
Recomendamos no descargar archivos adjuntos de correos electrónicos sin comprobar antes su lícita procedencia y menos aún ejecutarlos directamente.
Igualmente recomendamos desactivar el formato html en la lectura de correos evitando con ello la descarga de archivos mediante "iframes" ocultos en el código html del mensaje.
08/11/07 -ACTUALIZACION CRITICA A QUICKTIME 7.3-
Afectados tanto Mac OS X, Vista y Windows XP SP2
Recomendamos a usuarios del conocido reproductor propiedad de Apple actualizarse inmediatamente a la nueva versión de Quicktime 7.3 ya disponible para su descarga pública. La nueva versión soluciona varias vulnerabilidades aprovechadas por sitios web maliciosos para instalar malware tan solo con ver una película o imagen.
No voy a extenderme en detalles técnicos, sin embargo si quiero recomendandar a usuarios del reproductor actualizarse lo antes posible ya que existen sitios web maliciosos capaces de obtener información personal e incluso ejecutar código en nuestro ordenador.
Software afectado:
- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5
- Windows Vista
- Windows XP SP2
Delincuentes informáticos aprovechan días señalados como el día de Halloween para instalar troyanos tan solo con visitar un sitio web con aquellos equipos que no estén totalmente actualizados.
Si ud. tiene la mala suerte de visitar los sitios web que mostramos en la imagen, no estando su sistema totalmente parcheado, su ordenador será objeto de la descarga automática de un archivo malicioso, en este caso y aprovechando la cercanía de la festividad, el archivo "halloween.exe" será descargado y ejecutado pudiendo llegar a tomar el control total del equipo afectado.
Advertimos del peligro que conlleva abrir correos Spam, considerados como culpables de la proliferación de sitios web como el aquí mostrado. Elimine todo el correo Spam y nunca acceda a los sitios web donde apuntan sus enlaces, su información personal está en juego. Le recordamos también que es imprescindible seguir ciertas normas mínimas de seguridad como eliminar cualquier correo spam sin tan siquiera abrirlo.
Ni hemos de recordarle que en caso de acceder con un sistema totalmente parcheado será necesario hacer click en el mensaje que nos invita a la descarga de un supuesto juego que en realidad es el archivo malicioso Halloween.exe
Desde www.f-secure.com ya detectan el archivo malicioso como "Email-Worm.Win32.Zhelatin.lj.
27/10/07 -ATAQUES SPAM-
Nueva oleada de correos Spam con adjuntos en PDF, descargan troyanos.
Recomendamos a usuarios de Adobe Reader actualizar cuanto antes a "Adobe Reader 8.1.1 update - multiple languages." Se están reportando envíos masivos de correos electrónicos (Spam) usando archivos adjuntos PDF, si abrimos el archivo pdf adjunto seremos objeto de la descarga silenciosa de malware, concrétamente un troyano detectado por kaspersky como: "Trojan-Clicker.Win32.Agent.mt.".
Recordamos que la actualización que soluciona la vulnerabilidad descrita requiere tener instalado Adobe Reader 8.1.0. Los usuarios con la versión 8.0 en español, deberán instalar la versión 8.1 desde el siguiente enlace antes de instalar este parche: http://www.adobe.com/products/acrobat/readstep2.html
El tamaño de los últimos archivos PDF reportados y que utilizan la vulnerabilidad es de 3.8KB, detectándolos Kaspersky como Exploit.Win32.AdobeReader.k.
Cuando el pdf malicioso es abierto ejecutará el comando CMD.EXE para realizar la descarga de otro .EXE via FTP.
El archivo descargado tiene un tamaño de 3,121 bytes comprimido con FSG, Kaspersky lo detecta ya como Trojan-Clicker.Win32.Agent.mt.
18/10/07 DELINCUENCIA EN LA RED -TROYANOS-
Aplicaciones atractivas como reclamo para instalar malware
Mostramos un correo Spam que nos invita a una web de origen chino para descargar una supuesta aplicación, advertimos del peligro que ello supone ya que solo el hecho de visitar la web sin tener nuestro sistema operativo actualizado, seremos objeto de la descarga de un archivo malicioso: "krackin.exe".
Si ud. en cambio tiene su sistema operativo parcheado con todas las actualizaciones, será preguntado por si desea descargar un archivo llamado krackin.exe ejecutándolo a la vez.
La página web es ya detectada al menos por http://www.kaspersky.com/ como Trojan-Downloader.JS.Agent.KD mientras que el archivo de unos 120k es detectado como Packed.Win32.Tibs.cn..
Un peligroso troyano se disfraza de aplicación para aumentar la seguidad en Skype
Alertamos a usuarios de Skype ante un peligroso troyano que se disfraza como falsa utilidad (65404-SkypeDefenderSetup.exe) que supuestamente potencia la seguridad del servicio que ofrece Skype, diseñado para de robar los datos de usuario y contraseña además de todas las contraseñas almacenadas en el registro de windows
Skype ha alertado sobre esta falsa aplicación, la cuál ha sido distribuida manualmente mediante spam, programas de mensajería instantánea como MSN, ICQ, AOL y YAM, y a través del propio Skype.
Si ejecutamos la falsa utilidad, el archivo llamado 65404-SkypeDefenderSetup.exe nos aparecerá la imagen que mostramos arriba donde nos indican que la falsa utilidad está instalada, en realidad el troyano está ya instalado y le recordamos que no solo nos roba las credenciales de usuario de skype, también todas las contraseñas de correo electrónico y de acceso via web a todos los sitios donde nos hayan solicitado nombre y contraseña guardadas en el registro de windows, para enviarlas a un servidor remoto.
Una vez instalado el troyano prácticamente no podemos advertir de la presencia del mismo hasta que no hayamos ingresado nuestro usuario y contraseña, entonces un mensasje de error (imagen izquierda) nos pide que la introduzcamos nuevamente.
Recuerde que no debe hacer clic en mensajes no solicitados así como en clientes de mensajería instantanea ni en correos Spam, su seguridad está en juego.
Hace unos días hablábamos de una posible vulnerabilidad con Acrobat Reader y posiblemente otros lectores PDF que puede comprometer nuestro sistema windows por completo, tan solo haciendo clic en un enlace al archivo .PDF malicioso. Ya hay una prueba de concepto.
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Aunque no constituya prueba irrefutable, hemos publicado un vídeo donde se muestra el efecto de su prueba de concepto (ejecuta la calculadora con solo abrir un PDF). Su descubridor dice no haber publicado más detalles del asunto porque realmente supondría una seria amenaza. Y no le falta razón.
El formato PDF se ha convertido en un sistema de intercambio muy utilizado entre usuarios, más aún entre organizaciones y empresas, tanto como los documentos ofimáticos en los que se suele confiar ciegamente.
Hasta ahora, parece que el secreto sigue a salvo, y que la vulnerabilidad no está siendo utilizada de forma masiva para infectar sistemas. Su descubridor quiere revelar los detalles cuando exista un parche eficaz, en el que se supone que Adobe debe estar ya trabajando
Por ello recomendamos no abrir ficheros .pdf adjuntos en correos electrónicos, recomendamos usar otras alternativas a Adobe al menos hasta que exista el parche que solucione la vulnerabilidad, personalmente he probado el archivo pdf modificado y efectívamente, abre la calculadora de windows (calc.exe). Vea el video demostrativo.
11/10/07 ACTUALIZACIONES WINDOWS -OCTUBRE 2007-
Seis boletines de seguridad según Microsoft; 4 de gravedad crítica, 2 importantes
Microsoft ha publicado seis boletines de seguridad (MS07-055 al MS07-060) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows inmediatamente.
MS07-055:Vulnerabilidad en Microsoft Kodak Image Viewer (Crítico)
MS07-056:Actualización para Outlook Express y Windows Mail(Crítico)
MS07-057:Afecta a Internet Explorer 5.01, 6 y 7(Crítico)
MS07-058:Vulnerabilidad en Remote Procedure Call (RPC)(Importante)
MS07-059:Actualización para Microsoft Windows SharePoint Services 3.0 y Microsoft Office SharePoint Server 2007(Importante)
MS07-060:Afecta a Microsoft Office 2000, 2002, XP y Microsoft Office V. X for Mac.
(Crítico)
26/09/07 VULNERABILIDAD EN WINDOWS LIVE MESSENGER 8.1
Por el momento no existen parches para el problema
Según afirma Lostmond, la opción de "Carpetas compartidas" agregada en Windows Live Messenger la cual permite compartir documentos, archivos y fotos con nuestros contactos puede ser utilizada para explotar esta vulnerabilidad.
Lostmon confirma que son vulnerables todas las versiones de Windows XP y Windows Live Messenger 8.1 (Windows MSN Live). Otras versiones también podrían ser afectadas.
Lostmon recomienda no compartir ninguna carpeta en Windows Live Messenger, hasta que se publique la correspondiente actualización, la vulnerabilidad puede ser explotada a partir de un archivo malformado con formato JPG, WMF, GIF, DOC o ICO.
Adobe Acrobat/Reader PDF y posiblemente otros lectores
Alertamos a nuestros lectores ante una posible vulnerabilidad con Acrobat Reader y posiblemente otros lectores PDF que puede comprometer nuestro sistema windows por completo, tan solo haciendo clic en un enlace al archivo .PDF malicioso.
Se informa que la vulnerabilidad ha sido comprobada en Windows XP SP2 con Adobe Reader 8.1 (última versión). Versiones anteriores y otros sistemas operativos, también podrían ser vulnerables.
Por el momento, no se conocen los planes de Adobe para solucionar este fallo en sus productos. Aún así, otros lectores de archivos PDF también podrían ser afectados.
Se recomienda no abrir archivos PDF no solicitados !!ojo con el correo spam!! o de fuentes desconocidas. Además de Internet, otros posibles escenarios para ataques que se aprovechen de esta vulnerabilidad podrían ser las redes locales.
Media Player Classic (.AVI) VERSION 6.4.9.0 (última a la fecha de esta alerta)
Se ha reportado una vulnerabilidad en Media Player Classic, la cuál podría ser explotada por usuarios maliciosos para comprometer un sistema vulnerable
Media Player Classic es un reproductor gratuito que se caracteriza por el menor gasto de recursos que otros reproductores, y con la capacidad de reproducir (con los códecs necesarios) prácticamente todos los formatos conocidos.
La vulnerabilidad es provocada por un error en la validación de entrada al procesar archivos .AVI, que ocasiona un desbordamiento de búfer. Un atacante puede crear un archivo malicioso para provocar la ejecución de código, tomando el control del equipo.
Advertimos del peligro de abrir archivos .avi desconocidos, ojo con lo que descargamos de redes P2P, en caso de descarga de archivos desconocidos recomendamos no abrir archivos .avi con el reproductor afectado hasta que sea solucionada la vulnerabilidad.
19/08/07 VULNERABILIDAD CRTICA EN YAHOO! MESSENGER
Recomendamos no aceptar invitaciones por webcam de personas no confiables
La vulnerabilidad afecta a Yahoo Messenger version 8.1.0.413. Un atacante remoto puede lograr ejecutar código arbitrario con privilegios de usuario local, si aceptamos una invitación maliciosa a usar su cámara web. Recomendamos no aceptar invitaciones de Yahoo! Messenger por muy sugerentes que puedan parecer.
Yahoo Messenger es un cliente de mensajeria instantánea para Windows, Mac, Unix, web, incluso dipositivos móviles.
Algunas versiones de Yahoo! messenger como la de windows o para MAC soportan el uso de cámara web.
Cuando Yahoo! Messenger detecta una cámara web realiza una conexión al puerto TCP 5100, dicha conexión pone en riesgo la seguridad del equipo ya que existe un exploit público que actúa ejecutando lo que se conoce como "Heap overflow" un fragmento de código con permisos de usuario local que puede facilitar la descarga por ejemplo de código malicioso.
Recomendamos a todos sus usuarios bloquear el acceso del programa al puerto TCP 5100, hasta que sea público el parche que solucione la vulnerabilidad.
Más información (En inglés) Aquí
15/08/07 RIESGO DE EXPLOSION EN ALGUNAS BATERIAS NOKIA
46 Millones de baterias BL-5C de móviles nokia defectuosas
Nokia se ha ofrecido a cambiar gratuitamente las baterias BL-5C que usan algunos de sus terminales móviles y que se encuentren en el listado de baterias defecuosas
La razón ha sido la existencia de ciertos fallos en estas baterías —concretamente 100 casos— durante el proceso de recarga. Desde la compañía se supone que el problema es debido a un recalentamiento de éstas provocado por un cortocircuito.
Los modelos afectados son los siguientes:
Nokia 1100, Nokia 1100c, Nokia 1101, Nokia 1108, Nokia 1110, Nokia 1112, Nokia 1255, Nokia 1315, Nokia 1600, Nokia 2112, Nokia 2118, Nokia 2255, Nokia 2272, Nokia 2275, Nokia 2300, Nokia 2300c, Nokia 2310, Nokia 2355, Nokia 2600, Nokia 2610, Nokia 2610b, Nokia 2626, Nokia 3100, Nokia 3105, Nokia 3120, Nokia 3125, Nokia 6030, Nokia 6085, Nokia 6086, Nokia 6108, Nokia 6175i, Nokia 6178i, Nokia 6230, Nokia 6230i, Nokia 6270, Nokia 6600, Nokia 6620, Nokia 6630, Nokia 6631, Nokia 6670, Nokia 6680, Nokia 6681, Nokia 6682, Nokia 6820, Nokia 6822, Nokia 7610, Nokia N70, Nokia N71, Nokia N72, Nokia N91, Nokia E50, Nokia E60
Nokia ha colocado en su página web el listado de modelos y un formulario que nos dice al instante si la bateria está afectada, solo hay que introducir el código numérico que se muestra en la bateria para conocer si nuestra bateria Nokia " BL-5C" está afectada.
11/08/07 AVISO IMPORTANTE A USUARIOS DE GMAIL
Hackean cuentas Gmail.
Recomendamos a usuarios de cuentas de correo electrónico Gmail extremar las precauciones a la hora de identificarse e incluso una vez ya identificados. Se trata de evitar el robo de cookies mediante XSS o a través de ataques "man-in-the-middle en "hotspots" públicos Wifi o mediante el uso de un sniffer con la extensión Edit Cookies para Firefox, por citar un ejemplo
Robert Graham mostró a la audiencia de BlackHat 2007 cómo hackear una cuenta de Gmail. La audiencia estalló en risas y aplausos cuando Graham usó sus herramientas de hijacking (secuestro de información) para hackear una cuenta de correo Gmail registrada por uno de los asistentes al evento.
La demostración fue proyectada ante una audiencia de más de 500 personas. Los primeros ataques los realizó inalámbricamente, usando su laptop con una herramienta llamada Ferret, que él mismo escribió a comienzos de este año y que captura y almacena las cookies y las ID sesion enviadas por el navegador web de la víctima.
La novedad es que ahora todo resulta mucho más fácil, Sobre todo teniendo en cuenta que Graham ha puesto a libre disposición sus herramientas Ferret y Hamster que, junto a a algunas intrucciones, pueden ya descargarse desde su sitio en un solo zip de 470 KB.
Recomendamos una serie de normas en materia de seguridad a la hora de usar Gmail:
En primer lugar, es conveniente que nuestra sesión con Gmail transcurra cifrada de principio a fin. Para ello, en vez de conectarnos a la dirección https://www.google.com/gmail (que nos redirige a direcciones sin cifrar mientras usamos nuestra cuenta) hay que conectarse siempre mediantehttps://gmail.google.com, que mantendrá nuestra sesión cifrada.
En segundo lugar, antes de utilizar Gmail es conveniente cerrar el resto de pestañas o ventanas que tengamos abiertas, así como no pulsar ningún enlace ni navegar a ninguna otra veb mientras continúe abierta nuestra sesión en Gmail.
08/08/07 PAGINAS ATACADAS POR DELINCUENTES INFORMATICOS
Página víctima de ataques informáticos
NOTA ACLARATORIA IMPORTANTE 08/08/07
Existen miles de casos como el que desgraciadamente ocurrió a la web www.viajaraegipto.com y que originó un artículo con fecha 18/05/07 con el correspondiente video, esa página fue víctima de un ataque por terceras personas no teniendo su administrador relacción alguna con el caso y no afectando a cliente alguno ni de www.paypal.com ni realizándose estafa alguna, ni existiendo denuncia alguna ni robo de datos etc.
www.visa-club.com web se dedica a la seguridad informática y al ser la web www.viajaraegipto.com víctima de un ataque informático fue publicado el caso como muchos casos que por desgracia ocurren cada día, en momento alguno se nombró dato alguno sobre donativos o relacionado con ello.
Tras comprobar la sección de donativos en la web: http://www.viajaraegipto.es/index.php hemos comprobado que esa sección de donativos corresponde con la web correcta no teniendo relacción alguna con el caso que originó la realización del video y del artículo en fecha de 18/05/07.
Tras esta aclaración espero que los que hayan donado alguna cantidad apoyando a la web tengan la tranquilidad para seguir haciendolo.
05/08/07 VULNERABILIDAD FIREFOX 2.0.0.6 Y PUEDE QUE ANTERIORES
Alto riesgo phishing a usuarios del famoso navegador Firefox 2.0.0.6
Mozilla Firefox en su última versión 2.0.0.6 y puede que en anteriores también, es propenso a una debilidad que puede permitir a un atacante remoto "tapar" un enlace malicioso, mostrando en la barra de estado una dirección diferente a la que realmente nos envía.
Como siempre el video ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Últimamente el famoso navegador firefox nos está dando alguna que otra sorpresa y en este caso nos sorprende con una vulnerabilidad que ya está siendo explotada por delincuentes informáticos en ataques phishing.
Imagínese que recibe ud. un correo que dice ser su banco y al pulsar sobre el enlace del correo-trampa y ver la dirección en la barra de estado ud. observa que es la dirección auténtica de su banco, habrán muchos usuarios que nunca accedan a su cuenta desde enlaces de correos electrónicos o de otra índole, pero seguro que algún que otro internauta confiado cometerá el error de acceder desde el enlace trampa y introducir sus claves de acceso a su cuenta bancaria.
Recuerde que nunca debe acceder a la web de su entidad bancaria desde enlaces u otros medios, escriba directamente la url de su banco en su navegador y cercíorese que está ud. ante una conexión segura que cifre la información que ud envía.
Si su conexión es inalámbrica cifre la conexión entre su modem y su ordenador, la información que ud envía puede ser capturada y en el caso de no estar cifrada cualquier otra persona puede capturar dicha información y obtener desde contraseñas de su correo electrónico hasta toda la información que ud envíe o reciba.
01/08/07 LOS RIESGOS DE LA TECNOLOGIA BLUETOOTH.
En el video observamos cómo manejan la situación dos teléfonos móviles, concrétamente el Nokia E60 y E90, ante el intento de infección de un tercero usando el gusano "Cabir S60 3rd edition Bluetooth worm". Cuidado cuando estemos en lugares públicos, en el video vemos el resultado.
En el modelo Nokia E60 (el terminal de la izquierda) al recibir el mensaje via bluetooth que contiene el gusano, observamos cómo no es posible rechazar el mensaje bluetooth, quedando inutilizado el terminal ya que no es posible descartar el mensaje, por mucho que intentemos con cualquier tecla del terminal el móvil se queda bloqueado e inutilizable.
En el terminal Nokia E90 observamos un comportamiento diferente, cuando recibimos el mensaje que contiene el gusano, al pulsar "NO" podemos descartar el mensaje y evitar la infección del terminal.
Hemos de destacar que ninguno de los 2 terminales es vulnerable a la infección del "Cabir S60 2nd edition Bluetooth worm, incluso aceptando el mensaje, no afecta al funcionamiento del Nokia E60 o el E90.
La mayoria usuarios de terminales con tecnología bluetooth tienen siempre activado el servicio, por lo que el riesgo de propagación de este tipo de gusanos, por desgracia, es bastante alta.
01/08/07 IMPORTANTE ACTUALIZACION PARA FIREFOX.
Navegador FireFox versión 2.0.0.6 ya está disponible.
Mozilla nos presenta una nueva versión de su navegador firefox. Esta acualización resuelve dos vulnerabilidades conocidas, una de ellas denominada como crítica(Firefox no filtra los datos pasados en ciertas URIs) y otra moderada(Riesgo elevado de ataques phishing)
La vulnerabilidad crítica corregida en la nueva versión permitía que un atacante remoto pueda ejecutar comandos en el equipo del usuario con Firefox instalado, utilizando este navegador como vector de ataque. Se conocen exploit públicos por ello se eleva la vulnerabilidad a crítica.
Para más información sobre esta vulnerabilidad: http://www.mozilla.org/security/announce/2007/mfsa2007-27.html
La vulnerabilidad considerada como moderada ha sido descubierta por el ya conocido "Michal Zalewski", considerandola como "el mejor amigo del phishing". Dicha vulnerabilidad hace posible que un script abra la URL “about:blank”(página nueva) en una nueva pestaña; esta pestaña será abierta con la barra de dirección en blanco. El script puede entonces obrar recíprocamente con este documento como si fuera una página en el mismo dominio, incluyendo la capacidad de inyectar HTML y ...¿cómo no? manipular a voluntad los elementos que conforman la ventana. Para más información sobre la vulnerabilidad: http://www.mozilla.org/security/announce/2007/mfsa2007-26.html
16/07/07 ACTUALIZACIONES PARA SUN JAVA, ADOBE FLASH PLAYER Y QUICKTIME 7.x APPLE
Recomendamos actualizarse a la última versión lo antes posible.
Aconsejamos actualizarse a la última versión del software afectado ya que presentan vulnerabilidades muy graves que pueden ocasionar ejecución de código en aquellos ordenadores vulnerables con solo visitar un sitio web malicioso.
Vulnerabilidad en Sun Java JDK 1.6.x y JRE 1.6.x
La vulnerabilidad ha sido descubierta en las versiones JDK y JRE 6 Update 1 y anteriores. Se recomienda actualizar a las versiones JDK y JRE 6 Update 2 o posteriores, disponibles desde: Este enlace
Aconsejamos antes de instalar la nueva versión del software java, desinstalar siempre la antigua ya que no es eliminada al instalar la nueva versión y puede poner en riesgo nuestra seguridad
Actualización para Adobe Flash Player
Adobe ha publicado una actualización para Flash Player que solventa varias vulnerabilidades que podrían ser aprovechadas por un atacante para inyectar código arbitrario.
Puede descargar la última versión no vulnerable dese estos enlaces: Para Flash Player Aquí y shockwave en Aquí
Actualización de Quicktime 7.x de Apple
Ocho vulnerabilidades corregidas en QuickTime 7.2. La actualización está disponible para Windows Vista, Windows XP SP2, Mac OS X v10.3.9 y Mac OS X v10.4.9 o posterior.
Los formatos afectados son H.264 (video comprimido), .M4V (video MPEG-4) y SMIL (lenguaje de integración y sincronización de archivos multimedia).
Puede descargar QuickTime 7.2 desde Aquí para windows y desde Aquí para Mac
El informe está realizado por G Data según la geolocalizacion de las direcciones IP. El número de zombis utilizados cada día ronda una media de 350.000, con momentos en los que se utilizan hasta 700.000 ordenadores para los distintos fines de estas 
Como vemos en la imagen los delincuentes aluden a una falso video sobre la conocida Britney Spears.
¿De qué manera "alguien" ha podido modificar tantas páginas legítimas para que redirijan a sus visitantes hacia la infección? En otras ocasiones, los atacantes entran en un servidor de hospedaje, y una vez bajo su control, modifican las miles o cientos de páginas que aloja. Sin embargo este ataque posee una característica que ha permitido su rapidísima difusión. Es capaz de buscar automáticamente páginas web vulnerables y aprovechando problemas de 
En la imagen observamos una web donde nos envía un correo Spam cuya características son:
Desde que www.visa-club.com comenzó su andadura se han realizado un total de 
Los requisitos de los beneficiarios son: Adquirir un ordenador con capacidad de conexión a Internet. Opcionalmente incluirá también sofware de ofimática y otro software, antivirus, dispositivo lector de tarjeta electrónica, periféricos y alta en servicio de conexión a internet en banda ancha.
El remitente del correo electrónico es "youtube@you-tube.com.mx" y el asunto "Esto causa sensacion" Al abrir el mensaje observamos un correo en código HTML el cual nos indica la imagen que mostramos a la izquierda.
No voy a extenderme en detalles técnicos, sin embargo si quiero recomendandar a usuarios del reproductor actualizarse lo antes posible ya que existen sitios web maliciosos capaces de obtener información personal e incluso ejecutar código en nuestro ordenador.
Si ud. tiene la mala suerte de visitar los sitios web que mostramos en la imagen, no estando su sistema totalmente parcheado, su ordenador será objeto de la descarga automática de un archivo malicioso, en este caso y aprovechando la cercanía de la festividad, el archivo "halloween.exe" será descargado y ejecutado pudiendo llegar a tomar el control total del equipo afectado.
Recordamos que la actualización que soluciona la vulnerabilidad descrita requiere tener instalado Adobe Reader 8.1.0. Los usuarios con la versión 8.0 en español, deberán instalar la versión 8.1 desde el siguiente enlace antes de instalar este parche:
Si ud. en cambio tiene su sistema operativo parcheado con todas las actualizaciones, será preguntado por si desea descargar un archivo llamado krackin.exe ejecutándolo a la vez.
Skype 
Lostmon confirma que son vulnerables todas las versiones de Windows XP y Windows Live Messenger 8.1 (Windows MSN Live). Otras versiones también podrían ser afectadas.
Se informa que 
Media Player Classic es un reproductor gratuito que se caracteriza por el menor gasto de recursos que otros reproductores, y con la capacidad de reproducir (con los 
La razón ha sido la existencia de ciertos fallos en estas baterías —concretamente 100 casos— durante el proceso de recarga. Desde la compañía se supone que el problema es debido a un recalentamiento de éstas provocado por un cortocircuito.
Robert Graham mostró a la audiencia de BlackHat 2007 cómo hackear una cuenta de Gmail. La audiencia estalló en risas y aplausos cuando Graham usó sus herramientas de hijacking (secuestro de información) para hackear una cuenta de correo Gmail registrada por uno de los asistentes al evento.
La vulnerabilidad crítica corregida en la nueva versión permitía que un atacante remoto pueda ejecutar comandos en el equipo del usuario con Firefox instalado, utilizando este navegador como vector de ataque. Se conocen exploit públicos por ello se eleva la vulnerabilidad a crítica.
Para más información sobre esta vulnerabilidad:
