Para engañar al receptor, el correo llega desde la dirección noticias@comercio.com.pe, haciéndose pasar por un mensaje enviado desde la edición electrónica de un famoso diario de origen peruano. El mail hace referencia a una grabación de una cámara de seguridad que habría captado a la modelo paraguaya intimando con un futbolista peruano en un hotel.

Claro está que luego de este mensaje expreso en el cuerpo del correo, se le indica al lector hacer clic sobre una URL, que es el momento en que el virus encuentra la brecha para filtrarse al equipo.

Sin embargo, el medio informativo oficial de Perú ya ha comenzado a alertar a sus lectores sobre este código malicioso, alegando que su sitio no envía mensajes a sus usuarios con referencia a ninguna noticia. Por lo tanto, los alienta a eliminar estos correos al momento mismo de recibirlos.

El problema persiste en el correo sospechoso: se ha detectado una nueva amenaza, la cual viste de una imagen JPG. Con sólo hacer un click sobre ella, el virus entrará en nuestra agenda de contactos y reenviará dicho mail a todos nuestros amigos, familiares y compañeros de trabajo.

La leyenda que acompaña al elemento gráfico es la siguiente: “tem você ai…”. Como la foto descrpitiva muestra, al ver una vista en miniatura, el usuario se ve en la obvia situación de querer agrandar sus dimensiones para obtener mayor definición. Una vez que esto suceda, el virus utilizará los ficheros XLR2.EXE, XLR.EXE y otros de extensión CPL, que son emitidos por medio del conocido RUNDLL32.EXE, para accionar sobre la cuenta de gmail o hotmail autenticada.

Como dato adicional, la carpeta que se crea dentro del directorio raíz se denomina “CMOS”. Un claro ejemplo para corroborar una posible infección sería: realizar una búsqueda dentro del disco “C” y ubicar el directorio previamente mencionado (C:\CMOS).

Basado en la tecnología de la “nube”, Pandalabs ofrece numerosas prestaciones nuevas y mejoradas para que todos los usuarios de la Red puedan estar tranquilos y navegar por doquier. Así mismo, la diferencia con la edición 2010 es abismal: se han incorporado Actualizaciones inteligentes, Nuevo Filtro Web para navegacion segura, Modo multimedia/gamer, Gestor de claves, Acceso remoto al ordenador, Sistema de cifrado y borrado de archivos, así como también, Teclado y Navegador virtual.

Con respecto a las mejorías, podríamos destacar la puesta en escena del Filtro anti-spam, la Proteccíón contra Spyware, Rootkits, Phishing, Troyanos, etc., el Control Parental y la Copia de Respaldo Online con una capacidad de 2 GB.

Como dato adicional, dicha compañía ofrece premios para aquellos testers que envíen propuestas y/o errores que contribuyan al buen desarrollo del software Panda Global Protection 2011.

Fuente: http://pandasecurity.com/spain/promotions/betatest/

En este sentido, se ha corrido la voz acerca de un error de corrupción de memoria en el archivo “authplay.dll”. Cualquier código malicioso podría sacar provecho de esta eventualidad, para lanzar acciones por medio de un documento PDF que contenga material Flash, es decir un elemento SWF dentro de él.

Como dato adicional, se recomienda verificar y eliminar al “authplay.dll” del disco rígido. El mismo se ubicaría en la siguiente ruta: “C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll”. Los usuarios de Internet están a la espera de un nuevo parche o fix que pueda poner fin a esta cuestión.

Si el internauta accede a la imagen desde un ordenador Mac, no se verá afectado por el virus, pero si lo hace desde un sistema Windows, el equipo es infectado y el mensaje se envía a los contactos del usuarios afectado, según ha infromado Symantec.

El virus es peligroso y tiene una gran capacidad para engañar a los usuarios, ya que el remitente es un contacto conocido, con lo que es más fácil que el internauta acceda al mensaje sin pensar que pueda tratarse de un correo malicioso.

El gusano recibe el nombre de Palevo y es capaz de recopilar contraseñas e información personal del usuario. Cuando infecta el equipo crea ficheros de tipo mds.sys, mdt.sys, winbrd.jpg, infocard.exe, y elimina la protección que ofrece el cortafuegos.

Yahoo! ha confirmado la existencia del problema y asegura que está trabajando para solucionarlo. Aconseja a sus usuarios prudencia en la descarga de cualquier fichero que venga de un mensaje, aunque el remitente sea un contacto conocido, si no se está seguro de que realmente nos lo haya enviado el emisor.

Fuente: El País

La grandes ventas de estos dispositivos están haciendo que el interés de los atacantes por ellos aumente. En este caso se han servido de iTunes, ya que es un programa reproductor muy extendido, uno de los más utilizados de Apple.

El mensaje viene escrito en inglés y el asunto suele ser: “iPad software updates”. En él se dirige al usuario como: “Hello iPad user!” y para dar una mayor credibilidad se insiste al usuario sobre la importancia de mantener actualizado su software. De esta manera dispondrá de un mejor funcionamiento, nuevas utilidades y mayor seguridad.

En el mensaje se incluye una dirección a la que el usuario debe acceder para descargar la supuesta actualización. En el momento en el que el internauta pinche en el enlace, será conducido a un sitio web que simula ser el sitio original de descarga de iTunes.

Cuando el usuario proceda a la descarga, estará ejecutando en realidad un malware creado para inyectarse en el proceso ‘explorer.exe’ y abrir una puerta trasera en el PC a través de la cual, el equipo puede ser controlado de forma remota por el atacante.

Mediante esta puerta trasera, el ciberdelincuente podría ser capaz de ver las claves y números de serie de los diversos software de los que el usuario afectado disponga en su equipo. Además, podría acceder a las claves de Messenger, unidades de almacenamiento protegidas y cuentas de correo POP3.

Fuente: Hoy Tecnología

Los datos provienen del estudio de la ubicación de los ordenadores que se ocupaban de la distribución de virus. Según esto, Estados Unidos consiguió el primer puesto ya que allí se encuentran los equipos de servicios de correo electrónico, como Yahoo y Google.

En cambio, cuando se comprueban las direcciones de los remitentes de los correos, las cosas cambian, ya que según esto, China se posiciona como principal país desde el que distribuyen los correos electrónicos de contenido malicioso, obteniendo el 28,2%.

Rumanía fue la autora de la distribución del 21,1% de los ataques, seguida por Estados Unidos protagonizando el 13,8%.

En el informe se señala que los principales objetivos a los que estos correos maliciosos suelen estar destinados son a personas con cargos directivos como gerentes, directores ejecutivos o vicepresidentes.

Se revela que los programas que mas se utilizan para esconder los software maliciosos en los correos electrónicos son Excel y Word. Los atacantes camuflan los virus haciéndolos pasar por documentos de este tipo, aparentemente inofensivos. También se sirven de los archivos PDF y ficheros comprimidos con Winzip. Estos cuatro archivos protagonizan el 50% de los ficheros infectados con virus en marzo de 2010. Se advierte a los usuarios de que hay que tener especial cuidado con los ficheros cuya terminación sea .rar, ya que 96,8% de ellos suelen incluir contenidos malignos.

En el panorama general de las infecciones, la compañía registró en la distribución de malware a través del correo electrónico, una subida del 1,5% entre febrero y marzo de este año.

En el informe se destaca también el 61% de las amenazas nuevas realizadas en la red, durante el primer trimestre del año, eran troyanos destinados a realizar fraudes bancarios. En segundo lugar se sitúan los virus tradicionales, protagonizando el 15% de los ataques.

Además, la empresa de seguridad hace referencia a las redes sociales, señalando que estas plataformas y las nuevas aplicaciones han servido a los atacantes para extender malware entre sus usuarios.

Aún así, no es del todo pesimista, ya que señala que este año “ha arrancado muy activo desde el punto de vista de la seguridad informática, ya que se ha desmantelado la red de bots internacional más grande conocida hasta el momento, se ha detectado malware en terminales, y se han descubierto numerosas vulnerabilidades críticas”.

Fuente: Portaltic

Se trata de un gusano troyano que utiliza tres formas distintas de propagación: mediante el correo electrónico, servidores que dispongan de ISS (“exploit” Web Directory Traversal) y por carpetas de red compartidas.

Cuando el virus llega al equipo, descarga en el directorio C:\Windows\Temp, un archivo “meXXXX.tmp.exe2, un correo electrónico en formato EML, que porta el fichero que el gusano enviará adjunto al resto de contactos.

Tiene un grado de peligrosidad mínimo y no tiene capacidad de efectuarse de forma automática cada vez que el ordenador se reinicia. Es capaz de autopropagarse y lo hace mediante el correo electrónico masivo. Se envía a todas las direcciones que contiene el equipo afectado.

El archivo adjunto que contiene el correo malicioso puede ser uno de los siguientes:

• *.com
• *.wav
• readme.exe

El correo esta en formato EML, dispone de audio y un archivo ejecutable adjunto a los mensajes mandados por el gusano. El nombre más común del archivo que se recibe es el de readme.exe, pero también puede encontrarse cualquiera de los otros dos dichos anteriormente.

El virus se extiende utilizando su motor ASP propio y las APIs de mensajería, con lo que el troyano se puede efectuar al abrir el correo con MS Outlook u Outlook Express.

Para propagarse utiliza las unidades de red compartidas, efectuando en ellas el fichero EML que lo porta. Éste dispone de la estructura de un fichero .DLL.

La carpeta compartida tiene ficheros con la extensión .EXE, .EML o .DOC y un archivo adicional, RICHED20.DLL, que es una copia de sí mismo que se instala en el equipo. Esto supone que el archivo original, RICHED20.DLL de la carpeta de Windows queda sobrescrito. En algunas ocasiones, el virus daña también ficheros ejecutables, adjuntándoles una copia de su código binario al inicio.

El gusano crea una entrada en el archivo System.ini, con el valor: Explorer.exe load.exe –dontrunold. Esta entrada tiene el objetivo de que el virus se active cada que se encienda el equipo.

El virus dispone de una fuente que, a medida que va realizando copias de sí mismo, efectúa una scrip que incluye al usuario “Invitado” en el grupo de “Invitados” y al de “Administradores”, con lo que adquiere privilegios de administrador.

El gusano contiene este texto en su código: –Concept Virus (CV) V.5, Copyright (C) 2001
R.P.China.

Si ha sido infectado por este gusano, en primer lugar hay que rastrear el equipo, localizar donde se encuentra el virus y eliminar todos los archivos que haya creado.

Si el sistema del que se dispone es Windows 95, 98 o Me, hay que modificar el archivo System.ini, para ello hay que encontrar la línea que empieza con “shell=\” y cambiar su contenido, desde el signo “=”, por lo siguiente: “explorer.exe”. Tras realizar el cambio, la línea debe quedar así: shell=explorer.exe. Después hay que guardar los cambios y reiniciar el equipo.

Para asegurarse de la eliminación del virus, es conveniente revisar el equipo con un antivirus actualizado y borrar todos los ficheros que detecte que estén vinculados al virus o contengan alguno de sus nombres.

A continuación, hay que restaurar los ficheros “Admin.dll” y “Riched20.dll” mediante una copia de seguridad o a través de los archivos de instalación. Si se dispone del sistema Windows NT, XP o 2000, y ha sido infectado por el virus, hay que pasar directamente a este paso.

Los archivos compartidos que no sean necesarios también deben ser borrados y, para finalizar, hay que eliminar la cuenta de “Invitado” de la de “Administradores”.

El virus causante de los ataques obtiene información de acceso a sistemas bancarios online, sistemas de correo electrónico y sites de redes sociales, de los ordenadores que infecta y proporciona los datos a los atacantes. Se utiliza un sistema de botnets con el que el ciberdelincuente controla todos los ordenadores desde el suyo central.

El virus utiliza las redes sociales para enviar falsas invitaciones y se aprovecha de los fallos de Windows XP y Vista para conseguir las contraseñas de correos electrónicos y redes sociales.

Muchos sistemas comerciales y gubernamentales se han visto afectados, ya que los atacantes tuvieron acceso a información corporativa y gubernamental. Incluso entraron en sistemas de correos electrónicos y sitios externos como Facebook, Yahoo o Hotmail.

Los países mas afectados por el ataque son Estados Unidos, Arabia Saudí, México, Egipto y Turquía. NetWitness señala que uno de los objetivos prioritarios fue el Ministerio de Defensa de EEUU. Los atacantes accedieron a datos de transacciones bancarias e información de propiedad intelectual.

El ‘Wall Street Journal’ informó de que el laboratorio farmacéutico Merck y los estudios Paramount se encuentran entre las sociedades afectadas.

Según NetWitness, detrás de este ataque podría esconderse un grupo de Europa del Este que usa ordenadores en China.