sábado, 28 de junio de 2008

Sober.q Ataca a Usuarios Europeos

Una modificación del virus Sober.p ha aparecido en las últimas horas. Se trata del virus Sober.q. Esta versión se autocopia al directorio de sistema de Windows y modifica el registro de tal manera el virus sea activado cada vez que se reinicie la máquina afectada. También descarga una serie de archivos y “cosecha” direcciones de email para enviar mensajes de spam, salvo a las direcciones de fabricantes de antivirus.

Enlaces de Interés

Última Hora
Glosario
Enciclopedia Virus
Virus más Difundidos
White Papers

Relacionados
- Trapeze Networks: Aprobación..
- Gartner IT Security Summit ...
- Seguridad Wireless: La mitad de las empresas ...

--------------------------------------------------------------------------------



El gusano también descarga un mensaje en alemán del autor donde dice que aún no es un spammer, pero que puede serlo. Sober.q envía spam en alemán y en inglés. El spam en alemán se envia a las direcciones.de, . ch, .at, .li y .gmx y contiene textos de contenido derechista y links a webs de tendencia derechista. Los demás receptores reciben mensajes en inglés.

Al igual que otras versiones previas de Sober, Sober.q se conecta a un número de servidores NTP y monitorea la fecha y la hora del sistema. Cuando la fecha del sistema pasa el 11 de Mayo, Sober.q intenta terminar un número de procesos que harán más difícil eliminar el virus.

En el terreno de la seguridad, se podrá controlar que no haya redes ad-hoc, quienes son los clientes conectados en cada momento y evitar todo tipo de access points hostiles. Además si se pierde o es robado, no hay riesgo para la seguridad pues en el no se almacenan ni claves de encriptación ni información. Además el que se quiera conectar por medio de ese dispositivo, deberá autenticarse.

Los usuarios podrán, de esta manera, utilizar también fuera de la empresa sus teléfonos IP vía wireless y estarán siempre localizables. El punto de acceso soporta QoS y permite la prioridad del tráfico de voz. Tiene entre sus funciones de seguridad a “Aruba´s Policy Enforcement Firewall” que asegura la protección del tráfico de voz.

Pasan los meses, aparecen nuevas herramientas de muy variadas procedencias pero los emails malignos se siguen multiplicando. Para la empresa de seguri

Pasan los meses, aparecen nuevas herramientas de muy variadas procedencias pero los emails malignos se siguen multiplicando. Para la empresa de seguridad informática Postini, la amenaza más difundida fue “Mytob”, mientras que para la británica Sophos fue Zafi-D, el gusano que más ha proliferado.

--------------------------------------------------------------------------------



Para Postini, es significativo que haya filtrado para sus clientes casi 17 millones de emails con intentos de phishing. Esto representa un aumento del 70% respecto al mes de Mayo. También se filtraron más de 40 millones de correos con “Mytob” y casi diez millones con Netsky.

“Los intentos de phishing continuarán devastando a los usuarios corporativos durante el futuro inmediato” dijo Andrew Lochart, director señor de marketing de Postini. Luego agregó que “Mientras que el pishing siga siendo una amenaza para las compañías y sus empleados, es imperativo que las empresas implementen fuertes defensas contra el spam y el phishing”.






Sophos, a su vez, informa que en la primera mitad de 2005 ha detectado casi ocho mil nuevos virus informáticos y gusanos, un 59% más que en el mismo período del año anterior. Asimismo, se ha reducido el tiempo promedio de infección ante un nuevo virus a sólo 12 minutos.

Para esta empresa, el Sober-N se coloca en tercera posición de los más difundidos. Su método de difusión se basa en “disfrazarse” como una oferta de entradas para la copa del mundo de 2006. “La familia Sober de gusanos demuestra cuánto daño puede ser hecho en la actualidad a través de una máquina zombi” declaró Graham Cluley, señor technology consultant de Sophos.

Lecturas Recomendadas:

Latinos: Líderes en Phishing por medio de Keyloggers y Troyanos. España Alberga el 14% de los Sitios Peligrosos

Latinos: Líderes en Phishing por medio de Keyloggers y Troyanos. España Alberga el 14% de los Sitios Peligrosos -

Durante todo el año 2005 se vino observando una nueva tendencia en el phishing que es la de utilizar Keyloggers o Virus Troyanos, en vez del envío del email "con gancho", como sucedía en los comienzos de este tipo de fraudes. Las estadísticas son contundentes. En Abril 2005 se detectaron 260 sitios utilizando esta técnica, en Mayo 495 y en Diciembre casi 2000 !!!

Durante el mes de Diciembre pasado, la empresa de seguridad informática Panda Labs, descubrió un Troyano denominado "Banker.BSX". Este abre el puerto 1106 y controla los accesos del usuario a sitios web de bancos de países de habla hispana. Cuando detecta que se está ingresando a una de estas páginas, Bankers captura el login y la contraseña tipeados.

Es necesario que todos los usuarios conozcan la existencia de esta amenaza, pues en general nadie está exento de ser víctima de una campaña de phishing, de éste tipo y de que le sustraigan sus datos bancarios (login y clave), sin su conocimiento y sin su consentimiento.

Nuevos Esfuerzos por Combatir el Spyware

Esta nueva asociación es una alianza de empresas tecnológicas y grupos de interés público que tiene como finalidad impulsar la lucha contra el spyware que pulula por la mayoría de los computadores del mundo.


--------------------------------------------------------------------------------



Entre sus miembros más destacados están AOL, Computer Associates, HP, EarthLink, McAfee, Microsoft, Symantec, Trend Micro, Yahoo!, etc..

Uno de los primeros problemas del spyware es su definición. Poder encontrar la línea que divide al spyware del adware o de los cookies que se utilizan con finalidades de marketing, ya desde hace años, y que son igualmente intrusivos. Para ello, la nueva coalición ha propuesto la siguiente definición:
“Tecnologías implementadas de unas maneras que deterioran el control de los usuarios sobre:

su privacidad o sistemas de seguridad
el uso de los recursos del sistema
la recolección, utilización y distribución de su información personal o delicada
Estos son temas sobre los cuales los usuarios desearían estar informados, y que el usuario con autoridad apropiada del dueño del sistema, debería poder fácilmente desactivar”.

“Uno de los mayores desafíos que hemos tenido con el spyware ha sido ponernos de acuerdo sobre qué es” dijo Ari Schwartz, Director Asociado del Centro para la Democracia y Tecnología, quién ha liderado el trabajo de este grupo. Luego agregó que “Las definiciones servirán como una base para todos los esfuerzos futuros de ayuda a los usuarios para que puedan tomar decisiones más informadas sobre qué programas mantener y que programas eliminar”.

La organización ha preparado también un borrador con más definiciones para tratar de aclarar conceptos como:Spyware, Keylogger, Backdoors, Botnets, Zombi, tracking cookies, etc. Hasta el día 12 de Agosto se podrán enviar comentarios y sugerencias sobre la definición de spyware, a través de la página web de la organización www.antispywarecoalition.org.

Lecturas Recomendadas:

Phishing, Virus y Bots siguen Azotando Internet...
¿SABES EN QUÉ LÍOS ANDA METIDO TU EQUIPO MIENTRAS TU DUERMES O ESTÁS TRANQUILAMENTE DE PASEO? TU PC TE NECESITA - ¡OJO CON LOS ZOMBIES!...
VIRUS DE HOY, ANTIVIRUS DE AYER, USUARIOS DE SIEMPRE Y LOS DAÑOS... ¡COMO NUNCA!...
Nueva Herramienta contra Virus, Spyware, Phishing de Trend Micro...

Nuevas Vias de Difusión y Propagación de Virus de PC:

Nuevas Vias de Difusión y Propagación de Virus de PC:
Utilización del Correo electrónico para el envío de archivos adjuntos infectados
Aprovechamiento de la Banda Ancha (24x7) y el adsl , que determina la posibilidad que millones de computadores estén conectados permanentemente aún cuando sus usuarios no los están utilizando.
Fallos (Vulnerabilidades o Agujeros de Seguridad) en los softwares que se utilizan como Sistemas Operativos, Navegadores, Firewalls, Antivirus, etc.
Adsl Inalámbrico (Wireless 802.11b y 802.11g ). Estas permiten el Warvirusing que consiste en “inyectar” cientos de miles de correos infectados aprovechando access points desprotegidos . Ver “Wardriving” y “Warchalcking”


Como se observa, en los últimos años los virus informáticos ya no llegan ocultos en los disquetes ni en los CDs, si no en los adjuntos de los emails, o son “inyectados” en nuestros sistemas aprovechando los agujeros de seguridad del S.O. o del Browser y que nuestro computador está siempre conectado a Internet. Es decir, que muchos virus penetran al sistema sin nuestra participación activa.

Los Nuevos Virus Informáticos:

Los Nuevos Virus Informáticos:
Los comienzos del año 2003 marcaron nuevas y peligrosas tendencias en la estrategia de difusión de los virus informáticos y Agosto de 2003 se constituyó en el “Mes Negro” de la Seguridad Informática por las tristes novedades que fueron aportando nuevos y muy sofisticados virus informáticos como el Blaster, el Sobig y otros virus de pc importantes. Para más detalles, es recomendable leer: Panorama Actual de la Seguridad Antivirus y Tu PC te necesita - Ojo con los Zombies!

publicidad
Jugar gratis a los mejores juegos de estrategia
Los últimos éxitos en versión original y gratis. La primera semana es gratis!!
Juega a los mejores juegos en Zylom y recibe un juego Deluxe gratis

Como suele suceder los hackers y autores de virus informáticos adoptaron rápidamente las nuevas tecnologías y las facilidades que estas proporcionan para la difusión y propagación de los virus.

Elementos Básicos de un Software Antivirus:

Elementos Básicos de un Software Antivirus:
Una base de datos donde están los patrones de todos los virus informáticos conocidos hasta ese momento
Un escáner que analiza todos los archivos del disco duro, de la memoria y demás unidades, como disquetes, CD, memorias USB, MP3, MP4 o discos duros

externos y los compara con la base de datos con la finalidad de detectar archivos infectados con algún virus.
Cada vez que se actualiza el software antivirus, se incorporan nuevos patrones de virus informáticos a la base de datos. Si el software antivirus no está actualizado, no reconocerá los nuevos virus que aún no se agregaron.


Elementos Adicionales de un Software Anti virus:

Como vimos, el escáner -elemento básico del software antivirus – sólo es capaz de detectar los virus de pc conocidos, por lo tanto es necesario “ingeniérselas” para detectar los virus informáticos desconocidos, o sea programas “dañinos” cuyos patrones aún no están incorporados a las bases de datos de nuestro software antivirus. Para ello, los desarrolladores de antivirus utilizan diversas estrategias:

El Chequeo de Integridad: Consiste en sacar una “huella” de cada archivo (más exactamente un checksum) y verificar que éste no se altere. Si se detecta una modificación en el mismo se asume que el archivo ha sido infectado por un virus de pc


El Escaneo Heurístico: Consiste en analizar los archivos en búsqueda de comandos “sospechosos”. Hay ciertos comandos que son muy utilizados por los autores de virus y que suelen aparecer frecuentemente. Si en un archivo “desconocido” se encuentran varios de estos comandos, se puede catalogar a este de “sospechoso” o “posible virus”. El problema de las técnicas heurísticas es que suelen dar “falsos positivos”, es decir que catalogan como “posibles virus” a archivos que no lo son

Los Virus en los Noventa y la Aparición de los Antivirus

Los Virus en los Noventa y la Aparición de los Antivirus
Para analizar la efectividad del software antivirus, es preciso comprender qué es un virus de pc, como actúa y como se propaga. Sin conocer esta información, es imposible estructurar una estrategia adecuada de protección contra esta amenaza.

Un virus de pc, es un programa informático con capacidad de replicación con el objeto de difundirse rápida y masivamente para infectar a una gran cantidad de usuarios. Esta difusión se realiza a través de diferentes vias y su finalidad es provocar daños de distinta índole en archivos, sistemas y usuarios. Un detalle importante a tener en cuenta es que el Virus informático se “adhiere” al archivo original o sea que lo modifica. Un archivo infectado consta de dos elementos: el programa o software original y el código del virus.


A diferencia de los virus, los gusanos informáticos no infectan archivos existentes ni los modifican. El gusano informático es un archivo (o programa) independiente. También existen los Virus Troyanos (o Caballos de Troya), los Keyloggers, etc. Esta distinción, importante para los técnicos, no lo es normalmente para la mayoría de los usuarios y, por lo tanto, en esta guía utilizaremos el término popular de “Virus Informático” o “Virus” para diversos códigos maliciosos, sin detenernos en clasificaciones muy técnicas. Aquí podrá encontrar amplia información sobre Virus Informáticos o Virus de pc . Un caso aparte y de mucha importancia para la seguridad informática, es el Spyware que debe combatirse con los software Anti-Spyware pues, en general y a pesar de algunas creencias que circulan en el mercado, los Software Antivirus no detectan ni eliminan Spyware. Este tema se analiza en la Guía Anti-Spyware.


En los noventa esta difusión se llevaba a cabo por medio de disquetes que se distribuían personalmente o por correo, por lo tanto los “contagios” eran bastante lentos y una epidemia demoraba en producirse varias semanas o meses.

Una vez que los fabricantes recibían la primer muestra del virus, en 48 o 72 horas estaba elaborada la “vacuna “ o antivirus y, por consiguiente, casi siempre se evitaban grandes epidemias.

La vacuna, no es más ni menos que un software escrito específicamente para detectar y eliminar al otro “software dañino” denominado virus informático. Como se observa, el antivirus (o vacuna informática) es una solución “reactiva” que sólo se puede producir a partir de la muestra del virus de pc

Para Qué sirven los Antivirus Tradicionales

Para Qué sirven los Antivirus Tradicionales
Sin embargo, y a pesar de las falencias reseñadas en cuanto a la ineficacia para detectar nuevos virus, los Antivirus cumplen varias funciones en nuestra estrategia defensiva frente a los virus informáticos:

Nos sirven para protegernos de los Virus Conocidos, o sea que ya están incorporados a nuestra base de datos. Con ellos podemos revisar disquetes, CDs, memorias USB, discos portátiles y archivos que llegan por correo electrónico.
Sirven para desinfectar archivos o dispositivos infectados con algún virus conocido y, de esta manera, poder utilizarlos sin peligro
Obviamente será de una vital importancia actualizar nuestro antivirus muy frecuentemente. Como mínimo, una vez al día.

Opiniones de los Expertos de Virus y Desarrolladores de Antivirus

Opiniones de los Expertos de Virus y Desarrolladores de Antivirus
Virusprot.com consultó con varios de los más prestigiosos expertos en la lucha contra los Virus Informáticos. Estas son, brevemente, las opiniones vertidas. En el artículo titulado "Panorama Actual de la Seguridad Antivirus" se pueden consultar más detalladamente y también comprender los problemas con los Virus de PC




Miguel Angel Martín de Computer Associates: “Ninguna empresa puede protegerse al 100% contra unVirus de Zero Day”
Fernando de la Cuadra de Panda Software: “Las soluciones Antivirus necesitan un salto cuántico...Se basan en tecnología de hace 10 años. Se debe tender a un nuevo método de detección...”

Efectividad del Antivirus Vs. Velocidad de Propagación

Efectividad del Antivirus Vs. Velocidad de Propagación
En la siguiente tabla se ve como han ido perdiendo "utilidad" o "eficacia" los antivirus tradicionales, debido al gran aumento en la velocidad de propagación de los virus informáticos. Es verdad que la mayoría de los softwares antivirus han mejorado muchísimo sus tiempos de respuesta y actualización y los departamentos de marketing de los fabricantes de antivirus insisten mucho en que en "sólo" 4 o 5 horas suministran una actualización o vacuna, pero la verdad es que ...cuando esta llega, el daño ya está hecho!!!. Desde hace un par de años, bastan unos pocos minutos para causar una gran epidemia de virus en todo el planeta!!!

Los “Naintis”
•Epidemia de Virus se producía después de varias semanas de haber aparecido el Virus Informático
•Antivirus actualizado (Vacuna informática) en 3 días

Los 99´s
•Epidemia de Virus se producía después de varias horas de haber aparecido el Virus Informático
•Antivirus actualizado (Vacuna informática) en 6 horas

Desde 2003
•Epidemia de Virus se produce después de algunos Minutos de haber aparecido el Virus Informáticos
•Antivirus actualizado (Vacuna informática) en 4-5 horas

Conclusiones
Los Antivirus actuales no son muy eficaces para combatir los Zero Day Virus o Virus de Hora Cero. No importa la marca del software antivirus o el fabricante. Todos utilizan la misma tecnología reactiva que se comentó al comienzo de esta “Guía de Antivirus”. Las técnicas de detección preventivas como el escanéo heurístico sólo sirven en algunos casos, pero en la mayoría fracasan pues los hackers o autores de virus hacen varias pruebas hasta que consiguen traspasarlas.

Los Virus de “Zero Day” / “Virus de Hora Cero”

Los Virus de “Zero Day” / “Virus de Hora Cero”
Así se denomina a los Virus Informáticos durante sus primeras horas de existencia, hasta que comienzan a aparecer las “vacunas”. Este período suele ser de 4 a 8 horas. Veamos, como es el proceso en los primeros momentos desde que el el virus nace hasta que se incorpora a las bases de datos de los Antivirus.

Hora cero : Aparece un nuevo Virus informático o código maligno en Internet
A los pocos segundos, el virus ya ha provocado miles y miles de damnificados
La solución antivirus, nunca podrá estar lista en unos segundos o minutos (A)
Pasa un tiempo hasta que los usuarios se van enterando que existe el nuevo Antivirus (B)
Se necesita otro tiempo para la descarga y la instalación de las actualizaciones (banda ancha? modem?) (C)

VELOCIDAD DE PROPAGACIÓN DE VIRUS

Velocidad de Propagación de los Virus
Es evidente que la velocidad de propagación de los virus informáticos ha aumentado dramáticamente. No es lo mismo que los virus lleguen en disquetes o CDs que deben ser transportados físicamente a que lleguen por emails masivos.

En estudios realizados por diversos expertos en seguridad informática y virus se determinó lo siguiente:
-ICSA LABS – Tiempo para producir una epidemia en Internet
1) Code Red: 12 horas
2) Klez: 2 – 5 horas
3) Slammer: 10 minutos

F-SECURE – Tiempo que demoró en infectarse con el virus Blaster un PC conectado a Internet sin protección : 27 segundos
SOPHOS - Tiempo que demoraron en infectarse varios PCs desprotegidos:
A los 10 minutos, el 40% estaba infectado
A los 60 minutos, el 90% estaba infectado