Tras la la intromisión, manipulacion y destruccion (cracking) en masa que ha afectado a uno de los Hosters mas grandes del mundo, HostGator el equipo de Cpanel empezo a trabajar para la resolución de una solcuión a este gravisimo problema de seguridad.

El problema afecta a todas las versiones de Cpanel, desde hace varios años, incluidas las ramas STABLE, RELEASE, CURRENT y EDGE de todas las versiones.

La solución aportada por Cpanel no nos parecio muy coherente y buscamos en la noche de ayer otra solcuión o experiencias de la misma, encontrando que la mejor manera era hacer un upgrade forzado del sistema Cpanel.

La cuestion era seria ya que el atacante podi adquirir privilegios de root, y ademas usando una vulnerabilidad conocida de Internet Explorer , denominada Microsoft Internet Explorer VML stack buffer overflow desde las paginas crackeadas, infectar a los internautas con troyanos.

Sin embargo, nuestros sistemas, sobre todos aquelos basados en la última version en producción de Fedora Core 5, presentan algunas incosistencias a nivel de panel de control, Cpanel y WHM, pero mientras se realizan diferentes pruebas, se investiga y se da paso a que el equipo de Cpanel pueda sacar una nueva version verificada, hemos preferido optar por la seguridad en contra de la perdida de la usabilidad de ciertos componentes del panel de control.

Como podemos ver, todas las compañias de Hosting, los ISP, los webmasters y los propios navegantes debemos manetner nuestros sistemas actualizados, yaq ue la maxima es clara:

“Una cadena es tan debil como lo es el más debil de sus eslabones”. 

Desde Hispasec,  nos informan de la aparición de un nuevo troyano que combina la captura del teclado físico pese a que las entidades bancarias suelen utilizar un teclado virtual.

Una mezcla de keylogger tradicional junto a un método de captura de pantalla optimizado para teclados virtuales.

Los bancos españoles afectados:
ESPAÑA: Banca March, Bancaja, BBVA, Fibanc, Banco de Valencia,
Banesto, Banco Finantia Sofinloc, Banco Espirito Santo, Banco Cetelem,
Banco Gallego, Banco Guipuzcoano, Banco Urquijo, Barclays, Banco
Popular, Bankoa, Bansacar, Santander Central Hispano, Bbk,
Caixa Laietana, Caja Castilla La Mancha, Caja de Extremadura,
Caja Granada, Caixa Girona y Caja Murcia.

En la fuente original de la noticia encontrará vídeos en flash en una serie de demostraciones de como opera el troyano.

Un virus, aunque mejor denominado gusano o e-worm, bautizado por Symantec como Yamanner, es capaz de “infectar” un equipo cuando el email en el que llega, cuyo asunto en los primeros casos es “New Graphic Site”, es leido por el programa “Yahoo Mail”.

Como todo gusano, tras infectar el equipo tiene como primera misión fundamental replicarse, enviando copias a todos aquellos que figuren en la libreta de contactos del programa.

El correo que contiene el virus sólo necesita ser abierto - a diferencia de la mayoría de los virus gusano, que se ocultan en archivos adjuntos - para liberarlo, según la web del fabricante de software de seguridad Symantec. Ésto pone en entredicho las medidas de seguridad del programa cliente de correo electrónico, cuyos responsables ya están tomando serias medidas para garantizar la tranquilidad de los usuarios, según Kelley Podboy, portavoz de Yahoo.

El virus es activado mediante código javascript, por lo que no es necesaria la intervención del usuario en cuanto a ejecutar ningún adjunto….

La web de esta compañía sugiere actualizar el servicio con la última versión del software Yahoo Mail, ya que el gusano no puede activarse en la última versión de Yahoo Mail Beta.

Mas información en: alerta-antivirus

Una nueva polémica ha surgido alrededor del “Gigante de Redmond”… Microsoft, a través de Windows Update, obligó al usuario a descargar el programa Windows Genuine Advantage (WGA), con el fin de identificar e impedir la actualización del sistema (excepto actualizaciones de seguridad) a licencias no válidas (aka copias piratas). Ahora un usuario ha descubierto que dicho programa es utilizado por Microsoft, a modo de Spyware, para enviar información de nuestro sistema a sus servidores… ¿el gran hermano nos vigila?

Según Microsoft (que no menciona expresamente esta particularidad en la licencia del producto) la información transmitida desde nuestro ordenador a sus servidores es muy poco significativa, por lo que casi no debiera tenerse en consideración. Sin embargo, Lauren Weinstein (descubridor), insiste en que, al menos, la IP del ordenador, marcas de arranque del sistema y algunas operaciones posteriores, son transmitidos a Microsoft a diario… al menos.

Según parece, un simple Firewall como Zonealarm puede bloquear dichas conexiones.

También es digna de mencionar la nueva funcionalidad con la que Microsoft quiere dotar a este programa de validación de copias… en algunos paises, WGA Notifications, mostrará con frecuencia mensajes a modo de popup, indicando que la copia del software es ilegal.

Labnol
Lauren

Para fin de año Microsoft espera haber ofrecido WGA a todos sus usuarios.

RECOVERY LABS y Panda Software nos avisan de ciertos aspectos relativos a la seguridad electrónica. Por un lado, se realiza un estudio sobre las filtraciones o pérdidas de información confidencial por medios electrónicos, y por otro lado, en un plano más cercano a nuestros domicilios (y algunas empresas), se nos advierte sobre los peligros que trae consigo una red WiFi mal configurada…

Según datos de Recovery Labs el 62% de los casos para los que se ha solicitado el servicio de peritaje informático se debe a sabotajes realizados por personal desleal que, generalmente, está en el proceso o ha abandonado la empresa para la que trabajan. También destaca con un 21%, los peritajes referidos al uso indebido de Internet con el fin de obtener pruebas que demuestren el despido procedente de un determinado trabajador. El 9% son casos de espionaje o competencia desleal y el 8% son debidos a temas sobre el abuso de material informático.

Y es que la marcha de un empleado clave para una compañía puede suponer el principio de un problema en la seguridad de la misma. Cuando un trabajador abandona la que hasta entonces era su empresa de forma poco satisfactoria, en numerosas ocasiones, se incurre en el robo o destrucción de información; la contabilidad, el programa que está desarrollando o la base de datos de clientes son informaciones tan vitales para la empresa que, su borrado o fuga, podría afectar a su supervivencia.

Ante estas situaciones y, siempre que se hayan empleado equipos informáticos, se hace imprescindible la actuación y el testimonio de peritos informáticos para poder demostrar los hechos ante un Tribunal de Justicia.

Por otro lado Panda Software nos “alumbra” algunos oscuros aspectos derivados del uso de una red Wireless…

La compañía realizó pruebas de “wardriving” (exploración de las redes inalámbricas al alcance en un recorrido concreto) a nivel internacional. Y los resultados fueron categóricos: casi un 60% de las redes carecen de protección alguna Además, la investigación pone de manifiesto las deficiencias de seguridad que presenta el protocolo WEP, el más usado habitualmente en entornos Wi-Fi, así como la razonable fiabilidad de otros sistemas más actuales, como WPA ó WPA-PSK.

“El estudio pretende mostrar el nivel de seguridad de las redes inalámbricas desde un punto de vista didáctico, planteando métodos de seguridad y cómo estos pueden ser vulnerables por sus limitaciones de diseño, o si simplemente no están correctamente configurados”, afirma Luis Corrons, director de PandaLabs. “De este modo un usuario puede conocer los peligros que acechan desde el momento en que se despliega una red WiFi si no se toman las medidas pertinentes”.

Las conclusiones del estudio son claras: la seguridad aplicada a las redes Wi-Fi es, en general, insuficiente. Mientras que el protocolo más utilizado para la seguridad de la red, WEP, contiene múltiples vulnerabilidades y los protocolos más eficaces, como WPA ó WPA-PSK, apenas son implantados por los usuarios.

Comentario personal (Gino): Tan solo me gustaría añadir al respecto, que empresas como Ono, envían a un Técnico a un domicilio para la instalación de una red WiFi… dicho técnico no configurará más que una red WiFi encriptada bajo WEP (de 64 bits o 128 a petición del consumidor según experiencia)… WEP, aun en su versión de 128 bits es ya hoy en día una red insegura, y cualquier persona experimentada puede Crackear una password WEP en cuestión de minutos si hay un buen caudal de tráfico…. incluso WPA ya no es lo último en seguridad WiFi…. también ha sido posible Crackear dicha protección aunque de una manera un tanto más “costosa”…

En mi casa uso WPA2.. por supuesto el router debe de contemplar dicha opción, pero no está de más señalar que me hizo falta actualizar Windows XP SP2 con un parche dedicado a la WPA2 para que consiguiera tan solo ver la red… dicho parche solo puede ser descargado (en teoria) para versiones registradas, y si a Windows le cuesta tanto trabajo, no quiero ni pensar en muchas distribuciones de Linux… puedo estar tranquilo en mi casa desde que dicho protocolo si es hoy en día seguro casi al 100%, y es que mis vecinos o algún lejano hacker con una buena antena no podrá ni tansiquiera ver mi red si no actualiza su Windows “pirata”… algo de lo que, de momento, poca gente se ha dado cuenta….

Según se lee en DiarioTI, los millones de jugadores del juego online de Blizzard, World of Warcraft, ven impotentes durante estos días, como una versión virtual de la peste se lleva muchos de sus personajes, análogamente a las epidemias que afectaron al “mundo real” hace siglos.

Según Blizzard, esta enfermedad ha sido creada por algunos jugadores que la extienden, siguiendo el mismo comportamiento que la peste real.

¿Virus? ¿Cheat code? ¿Huevo de pascua? Sea lo que sea, Blizzard deberá ir planteándose crear una Seguridad Social en su mundo virtual. Al fin y al cabo, Microsoft metió soldados láser en Age Of Empires y nadie protestó…

Esta herramienta le ayudará a eliminar software malintencionado común en los sistemas infectados. Es posible que los equipos muestren un funcionamiento normal incluso cuando están infectados. Por este motivo, Microsoft recomienda que se ejecute esta herramienta aunque el equipo parezca funcionar correctamente. Además de esta herramienta, use un antivirus actualizado para proteger el equipo de otro tipo de software malintencionado. Más información: Microsoft centro de descargas

Hispasec ha detectado en las últimas horas una considerable propagación en países de habla hispana de un nuevo gusano que se propaga a través de e-mail. De momento la respuesta de las casas antivirus es bastante irregular, ya que muchas de ellas aun no detectan al espécimen pese a las numerosas incidencias reportadas. ller más en Hispasec

Ayer, día 13, comenzó la propagación de una nueva variante del gusano Netsky, de aparente origen brasileño. Cuando se ejecuta en un sistema, se copia como MsnMsgrs.exe en el directorio de Windows. La propagación por correo electrónico la realiza a través de su propio motor SMTP, falseando la dirección de remite, y recopilando las direcciones a las que enviarse del interior de los archivos con extensiones .adb, .asp, .dbx, .doc, .eml, .htm, .html, .php, .pl, .php, .rtf, .oft, .sht, .scs, .uin, .vbs, .wab, .tbb y .txt.

Leer articulo completo en Hispasec.

Publicados los detalles de una vulnerabilidad, considerada crítica, que afecta a Internet Explorer en sus versiones 5.01, 5.5 y 6.0. Un atacante podría diseñar una página web que instalara un programa dañino en el sistema del usuario al pinchar en un objeto. Hasta el momento no hay parche para corregir el problema, los sistemas Windows XP con Service Pack 2 instalado también son vulnerables. Noticia cmpleta: hispasec.com

En la madrugada de hoy, 1 de septiembre, se ha detectado el envío masivo, a modo de spam, de una nueva variante de Bagle. Aunque en unas primeras horas se ha detectado una incidencia significativa, hay diversos factores que apuntan a la progresiva y veloz desaparición del mismo. Noticia completa: hispasec.com.

En las últimas horas se ha detectado una gran propagación por e-mail de una nueva variante de Bagle. Se distribuye por correo electrónico en un mensaje con el texto “price” o “new price” y adjuntando un archivo ZIP de 5,94Kb. En estos momentos todos los laboratorios antivirus se encuentran analizando el gusano, y se espera que en breve comiencen a proporcionar las actualizaciones específicas. Articulo completo: hispasec.com

Esta actualización resuelve tres vulnerabilidades públicas descubiertas recientemente que permiten la ejecución remota de código y pueden ser empleadas por virus o intrusos. La propia compañía reitera a los usuarios la necesidad de actualizarse para prevenir ataques de virus. Mas información: Hispasec Una al día.

Como pirmer paso se ha añadido a nuestras blacklist, el uso de Exploits Block List, una lista del proyecto Spamhaus, que contiene IP’s, inlcuidas dinamicas, con actividades maliciosas (gusanos, etc).
Se ha aumentado el nivel de restricciones anti-spam, y actualizado a otra version de antivirus, a fin de proteger a nuestros usuarios.
Quizas algunos usurios se quejen del alto nivel de restricciones, pero la decision la hemos tomado para defender a nuestrso clientes. Sabemos que muchos correos, no llegaran a su destino, pero la responsabilidad de esto, no es nuestra, es de aquellos, que por activa o por pasiva, permiten que sus servicio forme parte de lista negras, por actividades maliciosas.
En cualquier caso, estamos a la disposicion de nuestros usuarios, para si algun emisor, por su importancia, es vital, inlcuir en nuestras white list, a fin de que lospecados de su proveedor no los paguen sus clientes.
Para ello, deberan indicar el dominio o Ip del emisor, a fin de comprobar nuestras bitacoras, el grado de bloqueo existente y la posibilidad de inlcuirlo en nuestras white list (listas de emisores permitidos pese a su inclusion en listas negras).

Una nueva versión del gusano Mydoom hizo aparición ayer con especial incidencia. Como novedad, esta nueva variante destaca por realizar peticiones a los servicios de búsqueda de Google, Yahoo, Altavista y Lycos para recopilar direcciones de correo a las que enviarse. Uno de los efectos colaterales más visibles del gusano durante las primeras horas de propagación fue afectar al servicio de Google, que restauró su normalidad más tarde. Articulo completo: hispasec.com

El Centro de Alerta Temprana Antivirus de Red.es ha dado a conocer sus ‘Cinco consejos de oro’ para que los usuarios de Internet protejan los equipos informáticos durante las vacaciones de verano. La aparición de nuevos virus informáticos suele incrementarse hasta en un 20% en estos meses respecto al resto del año, y por ello conviene proteger el ordenador conectado a Internet del mismo modo que se protege una vivienda.

La última versión del gusano ‘Netsky’, detectada por el Centro de Alerta Temprana sobre Virus y Seguridad Informática el pasado 22 de marzo, continúa su propagación masiva por la Red en España, ya que ha sido encontrado en las últimas 24 horas en más de 135.000 correos electrónicos, según los datos del órgano perteneciente al Ministerio de Industria, Turismo y Comercio.

Así, ‘Netsky.P’ es el responsable de casi la mitad (49,1%) de los correos electrónicos infectados detectados por el Centro en las últimas 24 horas, seguido por el ‘Zafi.B’ y de las variantes ‘B’, ‘Z’ y ‘Q’ del citado ‘Netsky’. Entre los cinco suman más 293.688 mensajes infectados, es decir, el 91,1% de los mensajes que contenían virus analizados.

‘Netsky.P’ llega en un archivo adjunto a un correo electrónico cuyo nombre está en inglés e infecta con sólo visualizar el mensaje, aunque solamente desde navegadores Internet Explorer 5.1 y 5.5 en los ordenadores que no tienen instalado el parche de seguridad correspondiente, disponible por parte de Microsoft desde marzo de 2001.

Además, este virus de gusano también puede infectar por otros medios, ya que se copia en las carpetas de archivos compartidos de los clientes de redes de intercambio de archivos P2P, clientes FTP y descargas a través del protocolo HTTP.

Cuando se ejecuta el archivo adjunto infectado en el correo electrónico, el gusano se copia en la carpeta de Windows bajo la denominación FVProtect.exe, además de crear una serie de archivos en el mismo directorio. Además, para asegurar su ejecución en cada inicio de sistema, simula ser un componente del antivirus Norton.

Además, utiliza su propio motor SMTP, como en versiones anteriores de ‘Netsky’, para enviarse a las direcciones que recoge de diversos archivos del sistema infectado. La dirección del remitente que aparece es falsa y los textos del asunto son escogidos de una amplia lista. Fuente: elmundo.es

Virus: Lovgate.Y Peligrosidad: 3 - Media Fecha: 02/07/2004 07:19 Gusano cuya propagación se realiza mediante el envío masivo de correo a las direcciones incluidas en las libretas de contacto de Windows y de Outlook. También se puede difundir a través de unidades compartidas de red y de la aplicación de intercambio de fichero de KaZaA. Posee además capacidades para actuar como puerta trasera permitiéndo el control remoto no autorizado del equipo infectado, así como el robo de información.Puede detener la ejecución de varios procesos activos en el sistema, relativos a programas antivirus.

Virus: Korgo.W Peligrosidad: 3 - Media Fecha: 01/07/2004 14:20 Variante de Korgo detectada el 30 de junio de 2004. Se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo infecta computadoras con Windows XP o 2000, que no posean dicho parche instalado, aunque puede ejecutarse (sin infectarlos) en cualquier sistema con Windows 95, 98 o Me. Descarga y ejecuta archivos de determinados sitios de Internet.

VirusTotal es un nuevo servicio de detección de virus, gusanos y malware en general, que permite analizar archivos con múltiples motores antivirus. Cualquier usuario de Internet puede enviar archivos o mensajes sospechosos y obtendrá de forma gratuita un informe con el resultado del análisis.

En la dirección http://www.virustotal.com los usuarios podrán acceder al formulario de análisis, a estadísticas globales en tiempo real sobre incidencias, así como a descripciones e información sobre virus y malware en general.

Fuente: HISPASEC

El virus se trata de una muestra de laboratorio, una prueba de concepto, que no ha sido detectada “en la calle” (no hay máquinas infectadas reportadas).

El virus solamente infecta ejecutables de Windows 64 bits. No puede infectar archivos de Windows 32 bits (las versiones usadas actualmente por la mayoría de los usuarios), y por lo tanto no se ejecuta en estas plataformas.

El uso de plataformas desarrolladas especialmente para procesadores de 64 bits (las versiones actuales de Windows soportan Intel Itanium y AMD Opteron), aún no es popular, y se espera que la transición general hacia la computación de 64 bits, no ocurrirá hasta después de que Microsoft libere el sucesor de Windows XP, conocido con el nombre clave de Longhorn, en 2006.

W64.Rugrat.3344 es un infector de ejecutables de acción directa que luego de la infección se quita a si mismo de la memoria. Escrito en código ensamblador IA64 (Intel Architecture), infecta todos los ejecutables IA64, excluyendo archivos .DLL. Los archivos infectados son todos los que cumplan las condiciones anteriores, y que además se encuentren en la misma carpeta y subcarpetas relacionadas con la actual. (more…)