viernes, 28 de diciembre de 2007

Storm Worm! Enrolate a mi por fin de año! :D



Interesante esta ultima "lluvia de malware" que se esta dando en estos momentos aprovechando las fiestas navideñas y de fin de año.
Resulta que están llegando correos SPAM incitando a entrar, descargar y abrir (ejecutar) un malware de las siguientes paginas:


ENTRAR BAJO PROPIO RIESGO
http://merrychristmasdude.com
http://happycards2008.com
http://newyearcards2008.com
http://uhavepostcard.com
http://newyearwithlove.com


Lo curioso y que llama la atención de todo esto, es la técnica utilizada.

Primero, el malware va mutando según vaya siendo detectado por los motores antivirus, cosa que se hace con mas posibilidades de infectar. Hasta el momento tengo 5 muestras diferentes, de las cuales las 2 primeras que recolecte, ya eran casi en un 100% detectados por los Antivirus en Virustotal, y los otros 3 apenas llegaban al 12% de motores que lo detectaban.

Segundo, el malware no es cualquier malware, usa tecnicas Rootkit y toma en nombre del archivo services del windows, demas esta decir que no sale nada mas en los procesos. (Los antirootkits si lo detectan, al menos los que usé)

Tercero, esta usando un servicio FAST-FLUX para estar el tiempo suficiente en internet y sea dificil su desacticavión. Tienen una cantidad "envidiable" de "servidores" DNS. Basta hacerles un lookup y ver. Ya quisieran muchos tener tantos DNS's X)

Según se puede leer en las pocas noticias que salieron al respecto, todo esto es obra y gracia de la RBN, con el objetivo de "enrolar" PC's para su Botnet

Qué es la RBN
Qué es malware? ---> virus, troyanos, y todos sus primos y primas...
Qué es un Rootkit?
Que es Botnet?
Qué es un servicio FAST-FLUX? (Bastante tecnicismo)

P.D. El ultimo link a sido editado ya que el anterior no muestra los graficos

Nuevos
http://happy2008toyou.com
http://happysantacards.com
http://hellosanta2008.com
http://freshcards2008.com
http://familypostcards2008.com
http://santapcards.com
http://santawishes2008.com

Actualización: Las paginas web citadas, como origen del malware, ya fueron desactivadas obviamente.

lunes, 17 de diciembre de 2007

Quiero tu tarjeta de crédito esta navidad :)

"Buscando comprarle a su pareja o ser querido un hermoso regalo esta Navidad? 
Tenemos más de 5000 imitaciones, productos en stock que van desde relojes Rolex hasta Gucci a unos precios de descuento.
Usamos el servicio de envío ### para asegurarse de que su pedido llegue a tiempo y rápido!"


Lo único que no dicen es que el precio puede ser directamente proporcional la línea de crédito que tenga disponible en la tarjeta de crédito que llegue a suministrar.

Este tipo de correo spam, están llegando a montones... (al menos a mi) por temporada navideña? :) Coincidentemente están alojados en China y Korea... ultima "casa" conocida de la RBN.

Cuales son las paginas? pues son un montón! así que mejor unos pantallazos para poder identificarlos ya que sólo varían en la direccion pero son las mismas.
Pantalla 1
Pantalla 2


" o puedes intentar comprar viagra, cialis, etc... mira que yo también estoy en campaña sino mira mi sombrerito navideño :)"
Pantalla 3


"o mejor intenta un regalo para tí y tu pareja aumentando el tamaño de una parte de tu cuerpo, con nuestro tratamiento a base de hierbas :)... no, no es marihuana :)"
Pantalla 4
Pantalla 5

Algunos Links:
--------------
43meds.com
dlistede.com
zipolt.net
azfuek.net
sunlucas.com

En conclusin, todas estas paginas buscan recolectar los datos de nuestras tarjetas de credito.

En Robtex

martes, 11 de diciembre de 2007

Phishing Español

Breve análisis de uno de los correos phishing a gran escala contra entidades bancarias españolas.

Correo:
http://img227.imageshack.us/img227/2264/004af9.jpg
Nótese como esta escrita la dirección a donde apunta el enlace. (parte inferior)

Abriendo correo:
http://img227.imageshack.us/img227/4116/005hh9.jpg
Nótese como el Navegador Web Opera, detecta que es una pagina fraudulenta y procede a avisarle al usuario.
Ese sería un motivo mas para usar ese excelente Navegador Web.

Pagina web fraudulenta abierta:
http://img227.imageshack.us/img227/6466/001ir6.jpg
http://img227.imageshack.us/img227/9836/002sl2.jpg
Nótese, la diferencia de la dirección web, en las diferentes imagenes.
En la primera imagen se puede ver la dirección real, y en la segunda la dirección, "fraudulenta", que no es mas que un artificio, usando código hexadecimal.

Pagina principal de la pagina (index)
http://img227.imageshack.us/img227/7534/003yf2.jpg

Esa sería una muestra de los ataques phishing a gran escala contra entidades bancarias españolas que se reportaron hace poco y que intenta troyanizar(comprometer) el sistema.
También se menciona que algunos serían sites legítimos comprometidos, por lo que haciendo un DNS Reverso al site se podria presumir eso en este ejemplo.
Lamentablemente fue un phishing fugaz y no se pudo comprobar el intento de troyanizar el sistema o hacer otras pruebas ya que estubo offline al poco tiempo, además que estubo curioso el artificio utilizado, para "disfrazar" el IP de la pagina, utilizando hexadecimal. Ya no es necesario registrar y/o falsear un nombre similar al la entidad afectada.

Que es phishing?


Navegador Web Opera
Navegador muy bueno, no solo en la seguridad, sino que es muy intuitivo y revolucionario.
Además es el que trae el Nintendo Wii :)
Se tiene que activar manualmente la detección de paginas fraudulentas. Tan fácil como darle click al signo de interrogación (?) que está en la barra donde se pone la dirección de pagina, y activar la opción correspondiente en el recuadro que abre.
Al momento de instalarlo, se puede elegir que esté en idioma español :)
Tener en cuenta que ningún sistema de seguridad como el del navegador web Opera, es 100% efectivo por lo que se tiene que tener en consideración siempre el sentido común para visitar paginas u hacer otras cosas.

martes, 4 de diciembre de 2007

OpenOffice +

Lo que me acabo de enterar en la lista aRC

OpenOffice: Version free, gpl, open, o como quieran llamarle, de StarOffice.
StarOffice: Lo mismo que el anterior pero con mas plantillas y cliparts, además de importar algunos tipos adicionales de archivos (office 2007 por ejemplo).

OxygenOffice: OpenOffice con los complementos que tiene el StarOffice. :oD
http://sourceforge.net/projects/ooop
http://ufpr.dl.sourceforge.net/sourceforge/ooop/OOo_2.3.0_071014_Win32Intel_install_es.exe