Seis boletines; tres de gravedad "crítico", dos "importantes" y un último está calificado como "moderado".
Microsoft ha publicado seis boletines de seguridad (MS07-036 al MS07-041) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible.
MS07-036:Vulnerabilidad en Microsoft Excel(Crítico)
MS07-037:Vulnerabilidad en Microsoft Office Publisher(importante)
MS07-038:Vulnerabilidad en Windows Vista Firewall(moderado)
MS07-039:Dos Vulnerabilidades en Active Directory de Microsoft Windows Server 2003 y 2000(Crítico)
MS07-040:Tres vulnerabilidades en .NET Framework 1.x y 2.x,(Crítico)
MS07-041:Vulnerabilidad Internet Information Services (IIS) 5.1 en Windows XP Professional Service Pack 2(Importante)
Detienen en Valencia al primer creador español de virus para teléfonos móviles.
Según ha informado la Policía en un comunicado, los virus difundidos estaban basados en los famosos 'CommWarrior' y 'Cabir', que afectaron a cientos de teléfonos móviles en los mundiales de atletismo de Helsinki en 2005.
El primer artículo que www.visa-club.com publicó con fecha 01-04-06 y que le abría camino en esto de la seguridad informática, trataba precisamente de un virus que se extendía entre dispositivos móviles usando tecnología bluetooth y decía..;"ATENCION UN VIRUS PARA MOVILES SE EXTIENDE POR ESPAÑA SYMBOS/COMMWARRIOR.D"
El código del virus, está basado en los de SymbOS/Cabir (considerado el primer gusano de teléfonos móviles) y SymbOS/Commwarrior, ambos capaces de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian.
El autor dedicaba todas las variantes del mismo (más de veinte), a su novia "Leslie", y por ello la policía española denominó con ese nombre clave la operación, que finalmente terminó con la captura en Valencia, de un joven de 28 años.
Cuando un teléfono movil se infecta con este virus, el mismo puede propagarse a otros a través de la norma Bluetooth adoptada por los dispositivos afectados. Bluetooth posibilita la conexión inalámbrica de corto alcance de voz y datos entre ordenadores de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible.
El virus también puede enviarse como mensaje multimedia (MMS, Multimedia Messaging Service). Este tipo de mensaje permite el envío de texto, imagen y/o video a los teléfonos de otros usuarios. Para ello utiliza los números de la agenda de los usuarios infectados, y los que se encuentran en las listas de llamadas y mensajes recibidos.
Los mensajes se disfrazan de atractivas imágenes, ringtones, noticias, o incluso un supuesto antivirus para móviles.
Otra forma de propagación, ha sido como copia pirata de una conocida utilidad de navegación GPS para celulares, distribuida a través de redes de intercambio P2P.
14/05/07 TROYANOS BANCARIOS, SILENCIOSOS E INDETECTABLES.
El sentido común...la mejor arma ante un troyano bancario.
Abres tu navegador, escribes la dirección de tu banco la cual comienza por https:// aparece el dominio correcto https://www.bbva.es compruebas el candado del certificado de seguridad, sin embargo es otro ataque más de un terrible troyano bancario que te pedirá todas las claves de tu tarjeta de coordenadas.
Desde hace unos días nos vienen comunicando desde sitios como www.hispasec.com donde (según admiten) han detectado de forma "residual/colateral" troyanos bancarios de la "escuela brasileña", donde nos advierten del peligro que supone ser infectados por este tipo de troyanos, hablamos de troyanos bancarios a los que de 27 firmas de empresas antivirus solo los "huelen" 5 firmas.
Por desgracia no podemos confiar al 100% en nuestro flamante antivirus pero el sentido común nos puede echar una mano en este tipo de troyanos, en este caso del BBVA el troyano modifica la ventana de nuestro navegador al visitar la web del BBVA y nos solicita TODAS las claves de nuestra tarjeta de coordenadas, algo que con poco sentido común que se tenga, nunca debemos hacer.
Por otro lado desde la Asociación de Internautas nos avisan de el envio masivo de una tarjeta postal que invita a hacer click sobre ella, se trata de un troyano bancario que afecta a CAJA MADRID, BBVA, LA CAIXA, BANCO POPULAR, OPENBANK. Este es el origen de este tipo de troyanos, una vez instalados en nuestro PC si visitamos la web de los bancos afectados modifican el aspecto de nuestro navegador con la única diferencia donde el sentido común es imprescindible, nos piden todas las claves de nuestra tarjeta de coordenadas.
Seis boletines de seguridad según Microsoft; 4 de gravedad crítica, 1 importante y 1 moderada
Microsoft ha publicado seis boletines de seguridad (MS07-030 al MS07-035) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible.
MS07-030:Vulnerabilidad en Microsoft Visio (Importante)
MS07-031:Vulnerabilidad en Windows Schannel (Crítico)
MS07-032:Vulnerabilidad en Windows Vista (Moderado)
MS07-033:Actualización acumulativa para IE (Crítico)
MS07-034:Actualización para OE y Windows Mail (Crítico)
MS07-028:Vulnerabilidad en la API de Win32 (Crítico)
12/06/07 LOS DATOS DE 120.000 USUARIOS ESPAÑOLES EN MANOS DE HACKERS
"Hackers" atacan una empresa de Internet y obtienen claves personales y bancarias de clientes
Arsys ubicada en La Rioja, una de las empresas líder del sector reconoce ser víctima del ataque informático que, según EL PAÍS, propició que se sustrajeran los datos personales de 120.000 usuarios .-Sin embargo, afirma que sus datos no se han visto comprometidos. Estos datos serían las contraseñas de FTP de unos 4.000 usuarios, según fuentes de la propia empresa consultadas por ELPAIS.com.
A primera hora de la tarde de ayer, la noticia corría como la pólvora entre los internautas españoles.
El mayor ataque se produjo un sábado del mes de mayo, cuando la vigilancia en la empresa era más reducida. Fueron algunos clientes los que dieron la voz de alarma. Tenían páginas web contratadas con esa firma y, al abrirlas, observaron que alguien había entrado ilegalmente en ellas y las había modificado a su antojo. A la vez, se toparon con otra sorpresa: al entrar en sus web, aparecía una ventana que les llevaba a otra página de Internet ubicada en un servidor extranjero. La página, en realidad, era un peligroso virus de los llamados troyanos. La web original del cliente quedaba bloqueada. La empresa logró en cuestión de horas restablecer las web originales de sus clientes y eliminar los virus. Pero había una preocupación: que el virus se extendiese por España.
Arsys se vio impotente en un principio para detener el ataque. Por ello, contrató a una empresa informática especializada en seguridad, que logró bloquear los accesos y detectar el agujero por el que habían entrado los piratas. Pero la fechoría ya se había producido.
Los técnicos descubrieron que al menos uno de los hackers se había dado de alta como cliente de la empresa semanas antes para ir preparando el ataque. Debía buscar los agujeros del sistema e informar de ellos a sus otros compinches para robar los datos personales de los clientes: claves de correo electrónico, movimientos y pagos bancarios, documentos de identidad, direcciones de los usuarios... En cerca de 10.000 casos, los hackers han hecho uso de datos de carácter personal de usuarios o firmas españolas que tenían contratado su servicio con esta empresa.
Los últimos artículos que hemos publicado no auguran nada bueno para las empresas de hosting, hackers que consiguen contraseñas de FTP aprovechando fallos de seguridad.. para subir o modificar las páginas a su antojo...¿Una empresa como Arsys, nº 1 en España? Si han entrado en Arsys, nada les detiene..hemos tenidos suerte hasta ahora... asi que ¡¡ cruzemos los dedos ¡¡ Más información: El Pais www.internautas.org Comunicado de Arsys kriptopolis
04/06/07 TROYANOS BANCARIOS
Un correo que distribuye una falsa actualización de Java, contiene un troyano bancario.
Desde www.internautas.org nos alertan del envío masivo de correos electrónicos que bajo la inofensiva apariencia de una actualización la conocida plataforma java de Sun Microsystem intenta colarnos un peligroso troyano que afecta a entidades bancarias de brasil. Entidades afectadas: www.unibanco.com.br www.nossacaixa.com.br
www.santanderbanespa.com.br www.bradesco.com.br
En la imagen de la izquierda vemos el comportamiento del correo electrónico recibido, vemos que aparenta ser una actualización de java pero realmente esconde algo muy peligroso.
Una vez ejecutado el troyano que nos ha llegado "install_javav6up2.exe" de 188 KB. (comprimido), se inicia la descarga de un segundo troyano ; "source.exe" de 961 KB. (comprimido), realizando una modificación en el registro para que el troyano se ejecute al iniciar windows: "\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"
Tras realizar las acciones anteriores avisa al delincuente que alguien "ha sido infectado" enviandole un correo a overalltheam@gmail. com con los datos de la máquina afectada así como su dirección IP.
Advertimos que este troyano modifica nuestro navegador al visitar cualquiera de las entidades mencionadas, pensando que visitamos la web auténtica de nuestro banco, solo estamos ante una web que es copia exacta de la entidad afectada, enviando con ello todas las claves que introduzcamos.
Avisamos que aún no está totalmente controlado por muchos antivirus.
Más información en: http://seguridad.internautas.org/html/4238.html
31/05/07 FIREFOX
Actualizador de extensiones en firefox, vulnerable.
"Slight Paranoia" nos avisa de una vulnerabilidad relacionada con el mecanismo de actualización utilizado por numerosos complementos para Firefox; Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us Extension, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar, LinkedIn Browser Toolbar, Netcraft Anti-Phishing Toolbar y PhishTank SiteChecker, entre otras
Una nueva versión de firefox está disponible, Firefox 2.0.0.4 Linux,
Firefox 2.0.0.4 Windows, Firefox 2.0.0.4 Mac.
Prácticamente horas después de la última actualización aparece una vulnerabilidad que también afecta a los usuarios de Google Pack, el cual incluye Google Toolbar para Firefox.
Cada extensión incluye una dirección IP que Firefox consulta cada vez que arranca, para comprobar si existen actualizaciones. Como consecuencia, un atacante podría engañar al ordenador de la víctima haciéndose pasar por uno de esos sitios, para instalar cualquier software malicioso en lugar de la extensión. El problema sólo puede darse cuando la extensión se descarga mediante el protocolo http:// en lugar de https://, por lo que las extensiones alojadas en el servicio add-ons de Mozilla son seguras.
Todos los usuarios con Firefox son propensos a ser víctimas de ataques, incluyendo la instalación de software malicioso sin su conocimiento. Sin embargo, para que ello ocurra deben estar conectados a una red inalámbrica pública, o a routers domésticos en un equipo comprometido, además, deben descargar complementos que no se encuentren en https://addons.mozilla.org
26/05/07 TEST DE FUGAS
Compruebe si su firewall hace bien su trabajo.
La función básica de un cortafuegos consiste en cotrolar el tráfico entrante y
saliente de nuestro PC. El problema comienza cuando un sofware malicioso que haya logrado entrar a nuestro PC intenta conectarse a internet y dicho tráfico se escapa al control de nuestro flamante firewall
El video podéis verlo aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Gracias a aplicaciones como la que mostramos en el video, es posible detectar si existen fugas de información en nuestro cortafuegos.
Hemos seleccionado la aplicación Pc Flank la cual afirma que solo dos cortafuegos personales para Windows eran capaces de superarlo a finales de 2006: OutPost Pro y Tiny.
Debemos ser realistas y aceptar que no existe el cortafuegos perfecto, pero no debemos dejarnos llevar por el más caro, si vemos la lista vemos incluso que !! algunos gratuitos pasan el test sin fugas !!.
Tampoco debemos decantarnos por el que más protección nos brinde ante "fugas", otros pueden tener otras características que los hagan más efectivos en otro aspecto de seguridad.
18/05/07 PAGINAS ATACADAS POR DELINCUENTES INFORMATICOS
Web víctima de ataques informáticos
Este caso es muy similar a otro que relatamos aquí: Una web que presenta alguna vulnerabilidad en su servidor es hackeada por delincuentes informáticos para instalar páginas fraudulentas que roban claves de acceso, en este caso a clientes del famoso portal de pagos www.paypal.com.
Página atacada y que contiene el directorio fraudulento: hxxp://www.viajaraegipto.com/www.PaYPaL.C0m% 20(New%20In%20One%20InDex)
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Hace poco más de 24 horas, mostrabamos el caso de una web de amantes de la Poesia con un kit phishing instalado por delincuentes informáticos en uno de sus directorios. Este caso es muy similar ya que contiene en uno de sus directorios un kit listo para el robo de claves de acceso y de datos personales a clientes del famoso portal de pagos on-line www.paypal.com.
Cada vez son más frecuentes los casos en los que aprovechando servidores no parcheados ante las últimas vulnerabilidades, algunos hackers logran subir páginas fraudulentas a servidores vulnerables para el robo de información personal ( datos de tarjetas de crédito, etc) y de claves de acceso a cuentas de clientes.
Actuando sobre servidores que no son propiedad del delincuente, hacen más difícil su identificación.
No disponemos del correo-trampa que originaría el ataque phishing, pero con total seguridad habrán sido ya distribuidos de forma masiva posiblemente a internautas de otro idioma ya que el dominio que aloja las páginas fraudulentas no sería el más apropiado para un ataque a internautas de lengua hispana.
NOTA ACLARATORIA IMPORTANTE 08/08/07
Existen miles de casos como el que desgraciadamente ocurrió a la web www.viajaraegipto.com, esa página fue víctima de un ataque por terceras personas no teniendo su administrador relacción alguna con el caso y no afectando a cliente alguno ni de www.paypal.com ni realizándose estafa alguna, ni existiendo denuncia alguna ni robo de datos etc.
www.visa-club.com web se dedica a la seguridad informática y al ser la web atacada víctima de un ataque informático fue publicado el caso como muchos casos que por desgracia ocurren cada día, en momento alguno se nombró dato alguno sobre donativos o relacionado con ello.
Tras comprobar la sección de donativos en la web: http://www.viajaraegipto.es/index.php hemos comprobado que esa sección de donativos corresponde con la web correcta no teniendo relacción alguna con el caso que originó la realización del video y del artículo en fecha de 18/05/07.
Tras esta aclaración espero que los que hayan donado alguna cantidad apoyando a la web tengan la tranquilidad para seguir haciendolo.
13/05/07 MICROSOFT CORRIGE PROBLEMA SVCHOST.EXE
Puede consumir el 100% de los recursos de CPU
El problema se puede producir si antes ud. instaló otro parche no automático (http://support.microsoft.com/kb/916089/es), que solucionaba un problema cuando se ejecutaba Microsoft Windows Update para buscar o instalar actualizaciones para cualquier aplicación que utilice Microsoft Windows Installer (MSI) 3.1 junto con Windows Update.
Ese primer problema también producía el uso del 100% de los recursos del procesador, además de mostrar el siguiente mensaje en el visor de sucesos:
Menú emergente de aplicación : : svchost.exe
Error de aplicación la instrucción en "0x745f2780"
hizo referencia a memoria en "0x00000070". No se
podría "leer" la memoria.
Los síntomas del nuevo problema son muy similares. Básicamente se produce el congelamiento o enlentecimiento del sistema cuando se intenta instalar una actualización desde Windows Update o Microsoft Update. Esto ocurre porque el proceso SVCHOST relacionado con Windows Update deja de responder, consumiendo el 100 por cien de los recursos del procesador. El nuevo parche (que corrige el problema del parche anterior), está disponible para su descarga desde el jueves 10 de mayo, y será enviado como actualización automática a través de los servicios normales (Windows Update y Microsoft Update), próximamente.
Puede descargarlo manualmente en el siguiente enlace: Actualización para Windows XP (KB927891) http://www.microsoft.com/downloads/details.aspx? displaylang=
es&FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a
Recuerde que solo debe instalarlo si usted experimenta alguno de los síntomas mencionados.
09/05/07 ACTUALIZACIONES WINDOWS -MAYO 2007-
Siete boletines de seguridad, según Microsoft todos de gravedad crítica
Microsoft ha publicado siete boletines de seguridad (MS07-023 al MS07-029) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible.
MS07-023:Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (934233)
MS07-024:Vulnerabilidades en Microsoft Word podrían permitir la ejecución remota de código (934232)
MS07-025:Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (934873)
MS07-026:Vulnerabilidades en Microsoft Exchange podrían permitir la ejecución remota de código (931832)
MS07-027:Actualización de seguridad acumulativa para Internet Explorer (931768)
MS07-028:Una vulnerabilidad en CAPICOM (Cryptographic API Component Object Model), podría permitir la ejecución remota de código (931906)
MS07-029:Una vulnerabilidad en RPC en el servidor DNS de Windows podría permitir la ejecución remota de código (935966)
No caiga en la trampa, nunca introduzca sus claves fuera de MSN o www.hotmail.com
Un mensaje Spam le invita a ver quien no le ha admitido en su cuenta de MSN, para ello le pide su cuenta de usuario y su contraseña. Su cuenta de hotmail será robada y su identidad se verá comprometida. El mensaje es similar a este: " Hola, mira que puntazo http: // www. noadmitido. net Descubre quien te tiene en NO ADMITIR en el MSN! "
El texto que se observa en la página mostrada en el enlace es el siguiente: No almacenamos su contraseña
Al aceptar usted acepta los Términos y Condiciones
DETECTOR DE NO ADMITIDOS
¡¡Averigua quien te tiene NO ADMITIDO en su MSN!!
Descubre todo lo que desea saber sobre su lista de contactos.
En la lista verá todos los contactos que lo hayan eliminado o bloqueado.
Observe ahora de forma segura que "amigos" lo han eliminado!!
Como averiguar si un contacto me bloqueó del MSN Messenger?
Al ingresar tu dirección de email y contraseña, NoAdmitido .net comprobará con los servidores de MSN Messenger si los usuarios de tu lista te tienen no admitido o eliminado.
Los que te tengan en No Admitido serán indicados con un icono del MSN en color rojo.
De esta forma obtendrás una lista de todos los contactos que te bloquearon y los que te eliminaron del MSN Messenger. Ahora podrás saber quienes son realmente tus amigos y quien te engaña.
Tu seguridad
NoAdmitido .net te asegura que tu información no será Compartida ni tu contraseña almacenada. Puedes usar NoAdmitido .net con la seguridad de un respaldo profesional.
Ni hemos de comentar que nada de lo que indica la web es cierto, recuerde que su introduce su cuenta y contraseña su identidad se verá comprometida. Recomendamos: En Internet, todos somos extraños: http://www.vsantivirus.com/23-06-05.htm
08/05/07 SPAM/MALWARE
Falso Internet Explorer 7.0 Beta descarga troyano
Un peligroso correo electrónico que dice provenir de "admin@microsoft.com" contiene una imagen que simula ser la descarga del navegador Internet explorer 7. La supuesta descarga del navegador consiste en un archivo contenedor de un peligroso troyano; update.exe
Aquí mostramos los enlaces que descargan el troyano (a la hora de redactar el artículo), recomendamos bloquearlas inmediatamente: httx://xoozee. cd/update.exe
httx://merzingo. cd/update.exe
httx://endfriends. cd/update.exe
httx://netdesks. cd/update.exe
httx://pleasedostock. hk/update.exe
httx://wordcasts. cd/update.exe
httx://abyssrecycling. co.uk/images/update.exe
httx://accentstaffing. com/images/update.exe
httx://bcweblist. com/images/update.exe
httx://actorsandactresses. co.uk/images/update.exe
httx://mikelike .cd/update.exe
El pasado 31/03/07 se publicó un artículo en www.visa-club.com donde otro correo Spam distribuía otro troyano bajo el mismo aspecto y cuyo origen era el mismo "admin@microsoft.com"
Recomendamos bloquear la dirección "admin@microsoft.com" ya que es poco probable que reciba un correo de microsoft de esa dirección.
Recomendamos activar la lectura del correo electrónico en modo "solo texto" de esa forma evitamos la tentación de hacer click en "imágenes cebo", vea aquí como hacerlo; En Outlook Express (Windows 9x, ME, NT, 2000, 2003 y XP) y en Windows Mail (Windows Vista), siga las siguientes instrucciones:
1. Seleccione el menú Herramientas, Opciones, lengüeta "Leer"
2. Marque la casilla "Leer todos los mensajes como texto sin formato". También desactive el panel de vista previa de la siguiente manera:
1. Seleccione el menú Ver, Diseño
2. Desmarque la casilla "Mostrar panel de vista previa"
En Thunderbird, abra el menú "Herramientas", "Preferencias", y en "Avanzadas", "Privacidad", "General", podrá hacer los cambios necesarios.
Más información en el magnífico articulo de La Asociación de Internautas: http://seguridad.internautas.org/html/4197.html
El 
Desde hace unos días nos vienen comunicando desde sitios como www.hispasec.com donde (según admiten) han detectado de forma "residual/colateral" troyanos bancarios de la "
En la imagen de la izquierda vemos el comportamiento del correo electrónico recibido, vemos que aparenta ser una actualización de java pero realmente esconde algo muy peligroso.
Una nueva versión de firefox está disponible, 
Ese primer problema también producía el uso del 100% de los recursos del procesador, además de mostrar el siguiente mensaje en el 
El texto que se observa en la página mostrada en el enlace es el siguiente:
Aquí mostramos los enlaces que descargan el troyano (a la hora de redactar el artículo), recomendamos bloquearlas inmediatamente:
