Siguiendo unos sencillos consejos,podemos dificultar la acción de virus y programas espia.
Asegúrese que su ordenador permanece actualizado comprobando que tiene instaldos todos los parches de Microsoft.
Abra Internet Explorer, visite http://update.microsoft.com y deje explorar su ordenador personal para asegurar que contiene todos los parches.
Instale y actualize Antivirus y Cortafuegos(firewall) . Estas son las líneas esenciales de defensa para cualquier usuario de windows. Existen Varios productos libres excelentes que están disponibles,Spybot Search & Destroy (www.safer-networking.org), Ad-Aware(www.lavasoft.es) y Microsoft AntiSpyware (www.microsoft.es)
Sea sumamente cauteloso al pinchar sobre enlaces de su correo electrónico. El correo electrónico es el camino más popular de extender virus y gusanos, y muchos parecerán haber sido enviados de alguien usted conoce ( está en su libreta de direcciones). Si alguien le envía un correo electrónico pidiéndole que pinche sobre un enlace, llame antes al remitente para verificar su autenticidad
Sea extremadamente cuidadoso con lo que descarga. Tomar un minuto o dos para investigar el software que descargamos antes de que lo instalemos, puede evitar que instalemos programas que son gratuitos por contener programas espía. También, evite descargar programas por P2P, le recordamos que con programas P2P compartimos TODO incluso virus y malware.
Recuerde que Internet Explorer no es el único navegador web que existe. La mayor parte de spyware de hoy está diseñado para los usuarios del navegador Internet Explorer de Microsoft. Piense que navegar en la Red con un navegador que no es tan acogedor para delincuentes como Firefox u Ópera, los hace menos vulnerables.
PARCHES DE OCTUBRE PARA WINDOWS
6 parches de gravedad crítica, 1 importante, 2 moderados y 1 de gravedad baja
Este mes Microsoft deja de dar soporte a Windows XP SP1. Así que todos aquellos que aun no habían instalado el SP2 ahora deben hacerlo urgentemente. La vulnerabilidad "WebViewFolderIcon setSlice" ha quedado parcheada en el boletín MS06-057.
ASUNTO: Mayor robo de dinero en efectivo en Reino Unido .
Este correo malicioso contiene la siguiente dirección web: http://police-news.net Si visitamos la web nos redireccióna a http://inthost7.com descargando un troyano ejecutando el fichero CPU.EXE, AF.EXE, MI.EXE etc, los nombres de los ficheros se generan de forma aleatoria.
.
El fichero que se descarga es de los conocidos Troyanos “TrojanDownloader” que se ejecuta de forma invisible para el usuario y este a su vez descarga un nuevo troyano para el robo y control de la maquina infectada.
Vea las imagenes del momento en que se instala el troyano, con Internet explorer y Firefox Alertamos que muchos antivirus no detectan, por ahora, este troyano. La alerta es máxima y la mejor recomendación es no visitar la página web trampa.
Posiblemente en estos momentos muchas máquinas estén afectadas por este troyano y sus variantes de nuevas descargas.
Más información en: http://seguridad.internautas.org/html/1/928.html
LUCHA CONTRA EL FRAUDE
Netcraft aporta herramienta gratuita muy útil para defenderse de sitios fraudulentos sofisticados.
La herramienta Netcraft Toolbar busca URLs sospechosas dentro de una dirección de Internet, mientras usted navega.
Si escribe http://www.google.com/url?q=http://www.pcworld.com en su navegador, puede ser que piense que su destino sería Google, pero ésa es solamente la primera parada. Este URL llama a un script anfitrión en Google que le dice al motor de búsqueda que acaba de hacer clic en un vínculo resultado de la búsqueda que señala al sitio Web de PC World. Y así Google le dice a su navegador, "siga adelante al lugar que va".
La mayoría de las herramientas antiphishing validan solamente el primer nombre de dominio en un URL;(http://www.google.com/url?q=http://www.pcworld.com); lo cual lo puede dejar vulnerable si el segundo es el sitio falso de un criminal; (http://www.google.com/url?q=http://www.pcworld.com). Los expertos han publicado alertas sobre el problema cross-site scripting, que afecta a 300 o más sitios Web importantes... hasta ahora.
Lance James, jefe científico en Secure Science, compañía que sigue las pistas de los cibercriminales que se dedican a robar información financiera, recomienda el uso de la herramienta Netcraft Toolbar
"TR/Spy.Bancos.YT.2 - Trojan" Troyano creado para robar información de acceso a Banca On-line de determinados Bancos.
No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del Troyano. Las características están descritas a continuación:
Afecta a los siguientes sistemas operativos: • Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Como efectos secundarios destacamos su propio motor propio para enviar mensajes de correo y justo después de ejecutarse muestra el mesaje que observamos en la foto de este artículo.
Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL: • www2.bancobrasil.com.br
• https://www2.bancobrasil.com.br/aapf/saldos/006.jsp?codT=0
• https://www2.bancosbrasil.com.br/aapff/aaii/principal
• internetcaixa.caixa.gov.br
• \BancoBrasil\officeIE\index.html
• https://bankline.itau.com.br/GRIPNET/gracgi.exe
• bankline.itau.com.br
Este troyano nos avisa mostrándonos un mensaje de error, pero la mayoría de troyanos bancarios se caracterizan por pasar desapercibidos hasta para el más experto en seguridad informática, por lo que debemos tener precaución con lo que descargamos en programas P2P o al visitar sitios con reclamos sexuales. No olvidemos el correo malicioso (Spam), considerado fuente de troyanos.
Para ampliar información: http://www.avira.com/es/threats/section/fulldetails/id_vir/2939/tr_spy.bancos.yt.2.html
PHISHING A CLIENTES DE PAYPAL
Ataque muy peligroso a clientes del Portal de pagos on-line "Paypal"
Descubierto un servidor Phishing que dependiendo del navegador con que se visualice, es capaz de modificar la caja del navegador
modificando con ello la barra de dirección visible de la web-trampa.
Como podemos comprobar en el Video realizado por www.visa-club.com, si utilizamos Internet Explorer observamos como la caja de nuestro navegador es modificada para tratar de mostrar la dirección real de Paypal. Hemos de avisar de la perfección a la que llegan estos ataques Phishing, modificando la caja de nuestro navegador podemos ser víctima de estos ataques en cualquier momento.
Si visualizamos la web fraudulenta con el Navegador Mozilla Firefox podemos comprobar que no es vulnerable a la ofuscación de la dirección real de la web.
Las direcciones web fraudulentas son: http://82.215.71.22/sysdll.php
http://82.215.71.22/primapagina.htm
DESCUBIERTO SERVIDOR PHISHING QUE AFECTA A VARIAS ENTIDADES
Servidor situado en china aloja páginas Phishing que simulan a PayPal y HFS Federal Credit Union
Todo empieza con un un correo falso en inglés que simula ser de Paypal recibido en una cuenta Gmail desde un "Paypal Security Center" que nada tiene que ver realmente con Paypal.
En el video aquí mostrado podemos comprobarlo.
Como observamos en el video que hemos realizado, en el correo falso que simula provenir de PayPal, leemos una dirección que no tiene nada que ver con la dirección real donde nos lleva el link del correo falso.
El link del correo nos lleva a una web que es un redireccionador;
la cual nos reenvía a la web-Phishing que simula a Paypal:
http://211.90.191.89/icons/pie5.prg/%20/paypal.com/Security-Accounts/ UsingSsl/prdata/custserv/paypal/WebTeller/developer/us/index.php
El servidor está situado en China y en sus directorios vemos una carpeta llamada "www.ebay.com" donde posiblemente se esté planeando una web-Phishing para atacar a clientes del portal de subasta Ebay y otra carpeta web que está realizada para robar datos de acceso a clientes del Banco: HFS Federal Credit Union.
VULNERABILIDAD CRITICA (WebViewFolderIcon)
Herramienta para protegerse de la vulnerabildad de Internet Explorer "WebViewFolderIcon"
Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft Windows, la cuál puede ser explotada para la ejecución de código de forma remota.
H. D. Moore, miembro del grupo Metasploit Project , publicó en Julio el proyecto Month of Browser Bugs (MoBB) donde ponía en evidencia fallos en varios navegadores. Publicó una vulnerabilidad que afectaba a algún navegador por cada día del mes.
Uno de esos días, precisamente el día 18 de Julio publicó el fallo MoBB #18: WebViewFolderIcon setSlice y en ese momento se le tildó como un overflow con la posibilidad de ejecución de código remoto.
El problema ahora es la aparición de un exploit que utllizando este fallo en el control Active X "WebViewFolderIcon" consigue la ejecución de código remoto, o sea que cualquier troyano o malware puede aprovecharse de esa vulnerabilidad e incluso una página web o un correo electrónico con formato HTML.
Son afectadas todas las versiones de Windows actualmente soportadas, menos Windows Server 2003 y Windows Server 2003 SP1 con la configuración por defecto y el problema es que ahora no hay parche oficial.
Para protegerse de la vulnerabilidad el "El SANS" Institute Internet Storm Center ha habilitado una herramienta protege de la vulnerabilidad:
Herramienta para habilitar el kill bit de WEBVW.DLL
Para usarla, descargue el archivo siguiente y ejecútelo en su PC: http://handlers.sans.org/tliston/WEBVW.DLL_KillBit.exe
Al ejecutarlo, un mensaje del tipo "No se puede comprobar el fabricante, ¿Está seguro que desea ejecutar este software?" podría ser mostrado. En ese caso, a pesar de la advertencia, pulse el botón "Ejecutar".
Si el kill bit no ha sido activado (sería la situación normal la primera vez que use esta herramienta), una ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is currently UNSET. Do you want to set it?" le será mostrada. Pulse en "Si" para activarlo (esto protegerá su PC de un exploit para esta vulnerabilidad).
Si por el contrario, el kill bit ya ha sido activado, una ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is currently SET. Do you want to remove it?" le será mostrada. Pulse en "Si" para desactivarlo (si por alguna razón deseara hacerlo).
Recuerde, su PC estará protegido si ACTIVA el kill bit de WEBVW.DLL (SET killbit).
El SANS también publicó la misma herramienta para ser ejecutada desde línea de comandos.
Más información: Setslice Killbit Apps
http://isc.sans.org/diary.php?storyid=1742
TAN SOLO UNAS HORAS DESPUES.....
......De que Microsoft publicara su parche oficial que corrige la vulnerabilidad VML...
Ha aparecido una nueva forma de ejecutar código arbitrario de forma inadvertida para el usuario de Internet Explorer. Por si fuera poco, simultáneamente Microsoft ha confirmado una grave vulnerabilidad en PowerPoint
Hace ya meses que Microsoft no hace más que tapar agujeros (más o menos a tiempo, siempre discutible) para que se abran otros que permita nuevos ataques. Parece como si los atacantes esperasen pacientemente a que se corrija una vulnerabilidad, aprovechándola al máximo, para echar mano de otra y volver a infectar sistemas.
En estos momentos, para Microsoft existen cuatro vulnerabilidades más o menos recientes y que permiten ejecutar código (y además se está haciendo). Una en Word (conocida públicamente desde el día 5 de septiembre), dos en Internet Explorer y una en PowerPoint (también recién descubierta), para ésta última la solución pasa por no abrir documentos en PowerPoint
En realidad, no existe parche oficial para ninguna de estas vulnerabilidades. Para Internet Explorer, se recomienda desactivar la ejecución de componentes ActiveX en el navegador, si es posible usar alternativas (cada vez más necesario) o utilizar la aplicación con mínimos privilegios(Cuentas de usuario limitadas). Para PowerPoint, igualmente cabe la posibilidad de usar alternativas (OpenOffice.org se presenta como perfecta candidata), la edición Viewer de PowerPoint para abrir documentos no solicitados o sospechosos o también protegerlo con mínimos privilegios. En ambos casos siempre es necesario mantener un sistema antivirus actualizado.
CRECE EL NUMERO DE PORTATILES LLAMADOS A REVISION POR CULPA DE INCENDIOS
IBM y Lenovo retirarán más de medio millón de baterías de portátiles
Lenovo y IBM Corporation, en cooperación con Consumer Product Safety Commission de los EE.UU están retirando de manera voluntaria ciertas baterías de litio iónico de la marca IBM fabricadas por Sony Corporation
IBM y Lenovo vendieron estas baterías Sony en los ordenadores portátiles mencionados abajo entre febrero de 2005 y septiembre de 2006. Los clientes que compraron uno de los siguientes sistemas podrían tener una batería susceptible de ser cambiada:
-ThinkPad Serie R (R51e, R52, R60, R60e)
-ThinkPad Serie T (T43, T43p, T60)
-ThinkPad Serie X (X60, X60s)
Nuevo y peligroso troyano bancario realizado para entidades de varios paises, entre ellos España
Si el Phishing constituye un problema hoy en día, Los Troyanos bancarios son la verdadera amenaza para usuarios de banca on-line. Mientras los primeros pueden detectarse a simple vista, los segundos pueden pasar inadvertidos incluso para el `pmás experto en seguridad informática
El laboratorio de www.hispasec.com ha analizado un nuevo troyano bancario que combina la captura del teclado físico con una técnica optimizada para los teclados virtuales.
Está diseñado específicamente contra los usuarios de diversas entidades de Argentina, Bolivia, Brasil, Cabo Verde, España, Estados Unidos, Paraguay, Portugal, Uruguay y Venezuela.
La principal novedad de este troyano reside en la combinación de la técnica keylogger tradicional con un método de captura de pantalla optimizado para los teclados virtuales. Esta combinación le permite
atacar a una gran variedad de páginas de autenticación de acceso a la banca electrónica, de manera independiente a si utilizan o no teclados virtuales.
En el caso de España afecta a las siguientes entidades:Banca March, Bancaja, BBVA, Fibanc, Banco de Valencia,
Banesto, Banco Finantia Sofinloc, Banco Espirito Santo, Banco Cetelem,
Banco Gallego, Banco Guipuzcoano, Banco Urquijo, Barclays, Banco
Popular, Bankoa, Bansacar, Santander Central Hispano, Bbk,
Caixa Laietana, Caja Castilla La Mancha, Caja de Extremadura,
Caja Granada, Caixa Girona y CajaMurcia.
Como una imagen vale más que mil palabras, aquí los enlaces para ver como actua el troyano en video-flash, cortesía de Hispasec: Vídeo/Flash del troyano en la web de Banesto (técnica keylogger): http://www.hispasec.com/laboratorio/troyano_captura_banesto.htm
El fichero que se descarga es de los conocidos 
Si escribe http://www.google.com/url?q=http://www.pcworld.com en su navegador, puede ser que piense que su destino sería Google, pero ésa es solamente la primera parada. Este URL llama a un script anfitrión en Google que le dice al motor de búsqueda que acaba de hacer clic en un vínculo resultado de la búsqueda que señala al sitio Web de PC World. Y así Google le dice a su navegador, "siga adelante al lugar que va".
Afecta a los siguientes sistemas operativos:
Como podemos comprobar en el 
H. D. Moore, miembro del grupo 
Hace ya meses que Microsoft no hace más que tapar agujeros (más o menos a tiempo, siempre discutible) para que se abran otros que permita nuevos ataques. Parece como si los atacantes esperasen pacientemente a que se corrija una vulnerabilidad, aprovechándola al máximo, para echar mano de otra y volver a infectar sistemas. 
