Flame: Bunny, Frog, Munch y BeetleJuice…

Como ya hemos mencionado en la anterior entrada de este blog sobre Flame, el volumen de su código y su funcionalidad es tan grande que llevaría meses analizarlo por completo.

Eliminar el Virus del "Doble Tilde"

Este malware comúnmente conocido como virus del Doble Tilde, Doble Acento o Doble Comillas, realmente se trata de una variante del Troyano ZBot (ZeuS).

Los virus podrán también destruir nuestros equipos en 10 años

Los virus informáticos serán capaces en diez años de destruir equipos también físicamente, sostuvo este lunes el fundador y consejero delegado de la firma de seguridad informática Kaserpky Lab,

Pendrives USB infectados paralizan plantas de energía estadounidenses

Sistemas informáticos de dos plantas de energía de Estados Unidos se infectaron con software malicioso a través de unidades de memoria flash portátiles USB,

Ocultando entornos virtuales a malware y atacantes

 

En este post vamos a ponernos en la piel de quién tiene que realizar un análisis de un software malicioso. En este caso el entorno va a engañar al malware  y le hará creer que está en un ordenador de una víctima inocente.

Virus Smilebox

 

Smilebox es una aplicación legítima que se puede usar para realizar presentaciones de diapositivas, libros de recuerdos, invitaciones y otras creaciones multimedia, compatible con Windows y Mac OS. Sin embargo, muchos usuarios lo han catalogado como software molesto ya que tiene características de virus secuestrador de navegador o ransomware por redirecciones a sitios web comerciales, realentizar nuestro ordenador, cambiarnos sin permiso la página de inicio del navegador por Mystart.smilebox.com.

Virus Sweetim.com

El virus Sweetim sería una típica infección que ataca mediante un hackeo al navegador redireccionándote a dominios no deseados. Algunos de los dominios a los que redirige son inofensivos, (como Search.Sweetim.com), pero algunos de ellos pueden ser llenados de anuncios y pop-up’s engañosos ofreciendo a los usuarios a instalar varios programas.En algunos casos es capaz de modificar la página principal del navegador e instala una barra de herramientas propia.

CAUSAS DE INFECCION DE SWEETIM.COM

El motivo principal de su infección puede ser por negligéncia del usuario que acepta su instalación. Es muy común que durante la instalación de algun programa freeware, pueda estar en la lista de componentes. Por eso es de vital importancia que nos leamos detenidamente cada uno de los pasos de la instalación de este tipo de software porqué a veces nos instalan cosas que no queremos. Después de esto, el programa hace modificaciones en la configuración del navegador, del proxy y en configuraciones de archivos anfitriones que resultan en constante redirección. El usuario entonces encuentra dificultades para trabajar con normalidad desde su navegador.

COMO ELIMINAR SWEETIM.COM?

 Lo que tenemos que hacer para empezar es eliminar cualquier programa antispyware o programa P2P sospechoso que tengamos instalado.

Luego realiza los siguientes pasos:

• Descargar los siguientes programas: SpyBot, Ad-Aware Personal, Ccleaner, Spyblaster.
•   Deshabilitar Restaurar Sistema (System Restore) Solo en Win ME y XP. (Ten en cuenta que ya no podrás restaurar el sistema a un punto anterior).
•  Mostrar todos los archivos ocultos y del sistema del pc.
• Iniciar el sistema en Modo a Prueba de Fallos (modo seguro)
• Ejecutar las herramientas Spybot, Ad-Aware Personal y eliminar los intrusos que estos encuentren.
• Utilizar CCleaner para limpiar cookies y temporales, y reparar el registro.
• Reiniciar el sistema en modo normal.
• Instalar el Spyblaster.
• Pasarle el antivirus: Kaspersky

Primeros virus en Windows 8

 No es extraño que aunque haya mejorado en seguridad, ya han aparecido los primeros malwares en Windows 8.  Uno de los primero ha sido un falso antivirus llamado Win 8 Security System, que en realidad es un troyano llamado TROJ_FAKEAV.EHM. Este troyano nos informa de falsas amenazas y nos ofrece la solución de eliminarlas si pagamos para adquirir este antivirus. 

Virus XP Antivirus 2013

XP Antivirus 2013 es un malware que se espera que infecte a muchos usuarios. Es un malware que se adapta a su entorno, y por lo tanto significa que puede cambiar su nombre dependiendo del sistema operativo del ordenador afectado. En esta familia hay muchos pícaros, y todos ellos Windows 7, Windows Vista y Windows XP equipos de destino. Por lo tanto, sólo puede coger Vista Antivirus 2012 si tiene sistema operativo Windows Vista. Por ahora son solo avisos e imágenes lo que hemos recibido, pero esta entrada es para advertir!! Lo que pretende el programa es lo mismo que hizo XP Defender, que el usuario se registre y pague dinero por el. El método usado por este falso antivirus es mostrarnos mensajes de infecciones falsas e escáneres del sistema para informar que nuestro sistema está al descubierto. Nos ofrecerá adquirir la licencia para eliminar las amenazas detectadas. NO caiga en la trampa y no se registre, es un timo! Debemos comprobar que nuestro equipo tiene un anti-malware válido instalado y asegurarnos de que estamos limpios de malware. Es evidente que tenemos que eliminar XP Antivirus 2013 de nuestro equipo cuando lo detectemos.

El retorno del virus de la policía

Parece que el virus de la Policía Nacional ha vuelto, siendo muchos los usuarios a quienes les ha aparecido el aviso en pantalla de la Policía Nacional. Recordemos que este virus nos informa que nuestro ordenador ha sido bloqueado porque se ha cometido una infracción de uso de Internet y debemos pagar una multa, y el ordenador se nos queda inoperativo aunque lo reiniciemos.

Este aviso es falso!! Es una estafa, un delito, dentro de los que clasificamos dentro del tipo Ransomware, o sea, un secuestro de nuestro ordenador con petición de rescate.

Virus 5N (5 de noviembre)

Un nuevo virus llamado 5N, podría manifestarse el 5 de noviembre en los ordenadores infectados, para recopilar información o impedir su funcionamiento.

Podríamos detectar la infección, si entrando con el usuario habitual pulsamos las teclas “Shift” + “Ctrl” + “Alt” + “F7″ y nos aparece una ventana solicitándonos contraseña. Esta la pide el virus, y permite introducir una contraseña para detener las acciones del mismo en el sistema. Si introducimos 3 veces la contraseña incorrecta se apaga el equipo. 

También lo podríamos detectar haciendo lo siguiente: iniciar símbolo del sistema (Inicio > Ejecutar > cmd) y ejecutar los siguientes comandos :

• dir %SystemDrive%\ /a /b /s | findstr -i drmvclt.exe
• dir D:\ /a /b /s | findstr -i drmvclt.exe 

EReadingSource.com redirect virus

Se está discutiendo mucho sobre las redirecciones de EReadingSource.com. En su presentación dice que es un lugar donde venden libros, pero parece que se basa en la estrecha ereadingsource.com. Es un secuestrador de navegador, que se nos instala sin permiso y nos altera la configuración. Al estar infectado, no puede dejar de visitar este dominio ya que se nos redirige. Puede cambiarnos la página de inicio, mostrarnos notificaciones, rastrear los visitantes y usar la información del usuario, y nos ralentice el sistema. El virus es de los llamados de infección suave, pero aun así debemos quitarlo de inmediato.

Nos infectamos con este virus junto con archivos freeware o shareware que instalemos en nuestro ordenador. Una vez infectado nos hackea los navegadores y empieza a redireccionarnos. Puede cambiarnos la página de inicio e interrumpirnos nuestras búsquedas con anuncios, mensajes u otras redirecciones.

Para eliminarlo deberemos actualizar nuestros antivirus y antimalware que nos ayudará a eliminar el secuestrador del navegador. Le recomiendo que utilice AntiMalwareBytes para eliminarlo con éxito. Para volver a la configuración original del navegador haremos:

• En Google Chrome: Icono de llave -> Configuración -> “Al inicio” sección -> Set “páginas” -> eliminar las líneas de EReadingSource.com
• En Mozilla Firefox: Herramientas -> Opciones -> pestaña ‘General’ -> ‘Inicio’ / área “Página de Inicio” -> “Restaurar a los valores predeterminados” o cambiar la dirección URL -> ‘OK’.
• En Internet Explorer. Herramientas -> Opciones de Internet -> pestaña ‘General’ – área> ‘Página de Inicio’ -> “Use default” o cambiar la URL -> ‘Aceptar’.

Con el fin de reparar los motores de búsqueda proporcionados ir:

• En Google Chrome: Icono de llave> Configuración> Administrar motores de búsqueda
• En Mozilla Firefox: Herramientas> Buscar Icon (Magnify Glass, Arrow)> Administrar motores de búsqueda
• En Internet Explorer: Herramientas> Administrar complementos> Buscar Proveedores

Nuevo virus que se hace pasar por actualización de windows

Ha aparecido un nuevo virus que amenaza la seguridad de nuestros ordenadores simulando una actualización del sistema operativo Windows.

Desde INTECO(el Instituto Nacional de Tecnologías de la Comunicación) se alerta de este virus Katusha.BK, propagándose a través de redes P2P o páginas maliciosas. Una vez infectados, se nos puede robar información personal del equipo, almacenarnos otro tipo de malware o contenido para que el ciberdelincuente pueda tomar el control del sistema para realizar ataques. Cada vez que arranca el sistema se ejecuta, guardando una copia de si mismo en  %Application Data%\KB00954719.exe y creando entradas y claves en el registro de windows.El virus crea los siguientes procesos en el sistema:

c:\Documents and Settings\test user\application data\kb00954719.exe c:\windows\system32\cmd.exe

Para eliminar este virus que simula ser una actualización de Windows, debemos realizar un examen del sistema con nuestro antivirus actualizado. Si carecemos de uno puedes usar los siguientes: AVAST, AVG, Avira que además son gratuitos), pasar Malwarebytes Antimalware, todo ello en modo seguro y hacer una limpieza de registro con CCleaner.

En caso de que no podamos solucionar con estos softwares, podemos hacer una restauración del sistema a un punto anterior de la infección.

Si aun así no lo conseguimos, deberemos tratar el tema personalmente.. 

Incredibar.exe, un archivo peligroso.

Incredibar.exe es un archivo ejecutable de la barra de herramientas Incredibar, que ha estado molestando a los usuarios que lo tienen instalado con redirecciones a otras webs, con resultados de búsqueda distintos y sin una función de desinstalar.

Este archivo puede estar etiquetado como spyware y lo debemos parar, ya que se carga cada vez que iniciamos windows. Una vez cargado, nos consume memoria en windows, puede cambiar su comportamiento y monitorizar las sesiones de Internet.  

El ratio de suguridad técnica es un 58% de peligroso.

Cuando lo detectemos, tenemos que parar el proceso y seguidamente realizar un escaneo con nuestro antivirus actualizado y analizar el sistema con los programas antispyware y antimalware que tengamos instalados.

Un programa que aconsejo para este tipo de cosas es AT-Destroyer. Este programa está desarrollado por la gente de Infospyware y es muy bueno para eliminar barras de herramientas difíciles de eliminar. 

Como usarlo:

• Desactivamos el antivirus o antispyware temporalmente para realizar la operativa.
• Ejecutamos el AT-Destroyer (en modo administrador si tenemos Windows Vista o Windows 7)
• Presionamos la opción 1 de buscar y destruir para empezar con el escaneo.
• AT-Destroyer desconectará el escritorio momentánea mente.
• En caso de estar infectado, AT-Destroyer lo indicará con lineas rojas donde se haya encontrado la infección, sino, serán lineas verdes.

Shakira, el virus preferido por los piratas informáticos

Es constante el que los piratas informáticos usen nombres de personas, cosas o productos conocidos para ocultar malware. En este caso es Shakira, que usando su gran interés que suscita entre la gente, puede provocar un disgusto a sus fans porqué lleva un tiempo circulando por la red un virus oculto que usa su nombre.

Procede del Reino Unido, y se llama accidentesshakirabarcelona.exe, contiene un peligroso troyano que cuando nos infectamos se nos apodera de nuestro sistema operativo, autoejecutándose cada vez que iniciomos el ordenador.

En los últimos años Shakira ha sido el punto de mira de los piratas informáticos ya que es la séptima persona más buscada en los buscadores de todo el mundo. No es la primera vez que es protagonista de esto, ya que por ejemplo hace un mes, más o menos, corría un video erótico del canal PlayBoy con el que salía con su pareja Gerard Piqué, y que además de falso te podía dañar gravemente el ordenador. Otra vez salía junto a otro jugador del Barça, Alexis Sanchez, y también nos podíamos infectar con un malware.

Estemos atentos a todo este tipo de cosas por que los piratas informáticos están al acecho y aprovechan cualquier oportunidad para infectar nuestros ordenadores.

¿Para que puede servir un pc hackeado o infectado?

En la imagen que muestro podemos observar de que modo se obtienes beneficios económicos de los PC's hackeados. Podemos ver de una manera sencilla y visual, el proceso de infección y los objetivos de esta.

En el gráfico podemos ver el uso más frecuente de ordenadores hackeados, incluidos el ransomware, robo de identidad  social, ingeniería social, etc..

La idea es que en casi todos los aspectos de un ordenador hackeado y la vida en línea de un usuario son y han sido mercantilizados. Si la infección tiene valor y se puede revender, podemos estar seguro de que puede ser vendido en el mundo ciberdelincuente para obtener beneficios.

Spam con enlaces maliciosos

El tema de los spams no para y hay alguien en algún lugar que no para de enviar nuevos correos spam cada día. Puedes recibir spam que se hacen pasar por facturas, faxes digitales, avisos de Facebook o de Linkedin, esta vez va de mensajes desde los foros.

Se nos proporciona un enlace que pertenece a una web a la que se le ha inyectado código. Esta vez, pero no pasa siempre, no se han molestado en ofuscar el código y el enlace nos descarga el fichero infectado. Podemos ver el mismo código en la misma web sin tener que ver el código fuente.

En el momento de pulsar el enlace, se nos pide autorización para la descarga de un archivo con un nombre como perfil, factura, transacción, etc.. esto es lo que a muchos usuarios les da curiosidad y abren el fichero.
Cuando hemos caido en la trampa y hemos descargado el fichero y lo descomprimimos, en una extensión camuflada como pdf hay un archivo ejecutable. Este método es antiguo pero muy efectivo..

El malware es detectado por los antivirus como Win32/Injector, como los que últimamente se van detectando tienen la misma base pero con pequeñas modificaciones.

Así que mucho cuidado con este tipo de spam. Cuando recibamos emails con muchos enlaces, con remitente conocido o no, no dudemos en borrarlos y eliminarlos totalmente del ordenador. Esta práctica es muy habitual y constantemente la gente cae en la trampa y clica en los enlaces.. mucho cuidado!!

Lo que es www3.directrdr.com

Se ha detectado que la web www3.directrdr.com es un dominio peligroso que tiene fines malintencionados.

Si entra en esta web contra su voluntad puede infectarse, y si es así se te puede quedar secuestrado el navegador y que te redirijan a otras webs involuntariamente. También puede modificarte varios ajustes del equipo, mostrarte notificaciones molestas, etc..

 

Como puedo infectarme por www3.directrdr.com? 

Puedo infectarme con descargas de archivos, instalaciones de falsos códecs, programas freeware, etc.. Cuando nos infectamos el virus nos altera la configuración de navegador, y no nos deja buscar nada porqué nos redirije en cada búsqueda. Afecta a todos los navegadores clásicos: Mozilla Firefox, Google Chrome, Safari, Internet Explorer..

Como puedo eliminar www3.directrdr.com?

 El método de eliminación podríamos definirlo como el habitual. En estos casos deberemos ir al panel de control y mirar si tenemos instalado algún Toolbar y desinstalarlo.

Posteriormente podemos descargar, instalar y actualizar Malwarebyte, y hacer un análisis completo..cuando termine seguir el asistente de eliminación.

Ejecutar actualizado SpyHunter para eliminar virus www3.directrdr.com desde tu PC.

Eliminación Infraestructura Phishing Bankinter

Esta noticia ya tiene unos meses, pero me parece interesante por el vídeo explicativo que os muestro. Hace unos meses salió la noticia de un correo Phishing de Bankinter. En su momento ya se procedió a su destrucción para evitar que más personas continuaran enviando sus datos bancarios al conocido banker Thund3rC4sH.

Hay un vídeo de youtube en el que se muestra el proceso de eliminación de la infraestructura creada por la misma persona, enviando phishing del banco de Santander. En ambas ocasiones se aprovecho de viejas debilidades conocidas en Frontpage para atacar los diferentes servidores que ha usado para el envío de mails para phishing así como para la recepción de los datos robados a los clientes.

Muy interesante esta noticia porqué podemos observar un caso real con el que nos podemos encontrar algún día.. que no nos pille desprevenidos. Acordaros que nunca una entidad nos pide nuestro nombre de usuario ni la contraseña, ni por email ni por ningún tipo de aviso..

Virus informáticos: una amenaza a la tecnología médica

Los expertos en salud advirtieron en Estados Unidos que hay equipos médicos de alto riesgo que están infectados o por virus informáticos y por algún tipo de malware. Y se teme porqué estos dispositivos médicos puedan acabar formando parte de lo que llamamos botnets (redes de ordenadores que son interceptados, y que entre otras cosas los usan para enviar spam).

La culpa de todo esto vendría por que muchos equipos médicos están anticuados y esto podría acabar afectando hasta los pacientes. Constantemente están eliminando virus de máquinas de hospitales.
Las advertencias se produjeron como parte de una discusión en Washington, Estados Unidos, y fueron recopiladas por la publicación Technology Review del Instituto de Tecnología de Massachusetts (MIT, por sus siglas en inglés).

Poca actualización

El problema de todo esto es porqué hay gran cantidad de equipos médicos que funcionan con versiones viejas de Windows, provocando así que haya fallos en estos ordenadores que en versiones superiores quedarían solucionados.

La justificación está en que no están actualizados por temores de que una renovación violaría las regulaciones de la Administración Federal de Alimentos y Drogas (FDA, por sus siglas en inglés).
La FDA aprueba el uso de cierta tecnología tras comprobar su seguridad, más no su invulnerabilidad, es decir que no se considera cualquier exposición potencial a ciberamenazas.