viernes, 28 de diciembre de 2007

Storm Worm! Enrolate a mi por fin de año! :D



Interesante esta ultima "lluvia de malware" que se esta dando en estos momentos aprovechando las fiestas navideñas y de fin de año.
Resulta que están llegando correos SPAM incitando a entrar, descargar y abrir (ejecutar) un malware de las siguientes paginas:


ENTRAR BAJO PROPIO RIESGO
http://merrychristmasdude.com
http://happycards2008.com
http://newyearcards2008.com
http://uhavepostcard.com
http://newyearwithlove.com


Lo curioso y que llama la atención de todo esto, es la técnica utilizada.

Primero, el malware va mutando según vaya siendo detectado por los motores antivirus, cosa que se hace con mas posibilidades de infectar. Hasta el momento tengo 5 muestras diferentes, de las cuales las 2 primeras que recolecte, ya eran casi en un 100% detectados por los Antivirus en Virustotal, y los otros 3 apenas llegaban al 12% de motores que lo detectaban.

Segundo, el malware no es cualquier malware, usa tecnicas Rootkit y toma en nombre del archivo services del windows, demas esta decir que no sale nada mas en los procesos. (Los antirootkits si lo detectan, al menos los que usé)

Tercero, esta usando un servicio FAST-FLUX para estar el tiempo suficiente en internet y sea dificil su desacticavión. Tienen una cantidad "envidiable" de "servidores" DNS. Basta hacerles un lookup y ver. Ya quisieran muchos tener tantos DNS's X)

Según se puede leer en las pocas noticias que salieron al respecto, todo esto es obra y gracia de la RBN, con el objetivo de "enrolar" PC's para su Botnet

Qué es la RBN
Qué es malware? ---> virus, troyanos, y todos sus primos y primas...
Qué es un Rootkit?
Que es Botnet?
Qué es un servicio FAST-FLUX? (Bastante tecnicismo)

P.D. El ultimo link a sido editado ya que el anterior no muestra los graficos

Nuevos
http://happy2008toyou.com
http://happysantacards.com
http://hellosanta2008.com
http://freshcards2008.com
http://familypostcards2008.com
http://santapcards.com
http://santawishes2008.com

Actualización: Las paginas web citadas, como origen del malware, ya fueron desactivadas obviamente.

lunes, 17 de diciembre de 2007

Quiero tu tarjeta de crédito esta navidad :)

"Buscando comprarle a su pareja o ser querido un hermoso regalo esta Navidad? 
Tenemos más de 5000 imitaciones, productos en stock que van desde relojes Rolex hasta Gucci a unos precios de descuento.
Usamos el servicio de envío ### para asegurarse de que su pedido llegue a tiempo y rápido!"


Lo único que no dicen es que el precio puede ser directamente proporcional la línea de crédito que tenga disponible en la tarjeta de crédito que llegue a suministrar.

Este tipo de correo spam, están llegando a montones... (al menos a mi) por temporada navideña? :) Coincidentemente están alojados en China y Korea... ultima "casa" conocida de la RBN.

Cuales son las paginas? pues son un montón! así que mejor unos pantallazos para poder identificarlos ya que sólo varían en la direccion pero son las mismas.
Pantalla 1
Pantalla 2


" o puedes intentar comprar viagra, cialis, etc... mira que yo también estoy en campaña sino mira mi sombrerito navideño :)"
Pantalla 3


"o mejor intenta un regalo para tí y tu pareja aumentando el tamaño de una parte de tu cuerpo, con nuestro tratamiento a base de hierbas :)... no, no es marihuana :)"
Pantalla 4
Pantalla 5

Algunos Links:
--------------
43meds.com
dlistede.com
zipolt.net
azfuek.net
sunlucas.com

En conclusin, todas estas paginas buscan recolectar los datos de nuestras tarjetas de credito.

En Robtex

martes, 11 de diciembre de 2007

Phishing Español

Breve análisis de uno de los correos phishing a gran escala contra entidades bancarias españolas.

Correo:
http://img227.imageshack.us/img227/2264/004af9.jpg
Nótese como esta escrita la dirección a donde apunta el enlace. (parte inferior)

Abriendo correo:
http://img227.imageshack.us/img227/4116/005hh9.jpg
Nótese como el Navegador Web Opera, detecta que es una pagina fraudulenta y procede a avisarle al usuario.
Ese sería un motivo mas para usar ese excelente Navegador Web.

Pagina web fraudulenta abierta:
http://img227.imageshack.us/img227/6466/001ir6.jpg
http://img227.imageshack.us/img227/9836/002sl2.jpg
Nótese, la diferencia de la dirección web, en las diferentes imagenes.
En la primera imagen se puede ver la dirección real, y en la segunda la dirección, "fraudulenta", que no es mas que un artificio, usando código hexadecimal.

Pagina principal de la pagina (index)
http://img227.imageshack.us/img227/7534/003yf2.jpg

Esa sería una muestra de los ataques phishing a gran escala contra entidades bancarias españolas que se reportaron hace poco y que intenta troyanizar(comprometer) el sistema.
También se menciona que algunos serían sites legítimos comprometidos, por lo que haciendo un DNS Reverso al site se podria presumir eso en este ejemplo.
Lamentablemente fue un phishing fugaz y no se pudo comprobar el intento de troyanizar el sistema o hacer otras pruebas ya que estubo offline al poco tiempo, además que estubo curioso el artificio utilizado, para "disfrazar" el IP de la pagina, utilizando hexadecimal. Ya no es necesario registrar y/o falsear un nombre similar al la entidad afectada.

Que es phishing?


Navegador Web Opera
Navegador muy bueno, no solo en la seguridad, sino que es muy intuitivo y revolucionario.
Además es el que trae el Nintendo Wii :)
Se tiene que activar manualmente la detección de paginas fraudulentas. Tan fácil como darle click al signo de interrogación (?) que está en la barra donde se pone la dirección de pagina, y activar la opción correspondiente en el recuadro que abre.
Al momento de instalarlo, se puede elegir que esté en idioma español :)
Tener en cuenta que ningún sistema de seguridad como el del navegador web Opera, es 100% efectivo por lo que se tiene que tener en consideración siempre el sentido común para visitar paginas u hacer otras cosas.

martes, 4 de diciembre de 2007

OpenOffice +

Lo que me acabo de enterar en la lista aRC

OpenOffice: Version free, gpl, open, o como quieran llamarle, de StarOffice.
StarOffice: Lo mismo que el anterior pero con mas plantillas y cliparts, además de importar algunos tipos adicionales de archivos (office 2007 por ejemplo).

OxygenOffice: OpenOffice con los complementos que tiene el StarOffice. :oD
http://sourceforge.net/projects/ooop
http://ufpr.dl.sourceforge.net/sourceforge/ooop/OOo_2.3.0_071014_Win32Intel_install_es.exe

martes, 27 de noviembre de 2007

RBN Study

El pasado 20 de Noviembre fue liberado un estudio sobre la Russian
Business Network, una de las redes mas grandes de hosting para todo tipo
de actividades delictivas e inmorales, actividades que les dan
ganancias de hasta $ 150 millones al año.

Overview:
http://en.wikipedia.org/wiki/Russian_Business_Network

Link de descarga:
http://bizeul.org/files/RBN_study.pdf

lunes, 26 de noviembre de 2007

Firewall Desktop

Desde el 20 de Noviembre esta disponible la nueva versión de uno de los mejores Firewall personales para estaciones windows.
Comodo Firewall
http://www.personalfirewall.comodo.com

jueves, 22 de noviembre de 2007

Bichos

Pues ya que estoy con un poco de time libre, voy a desactivar los filtros spam en la interface web de las distintas cuentas de correo que tengo en Yahoo, para tratar de pescar algún bicho, pam, phishing u oto y tratar de poner algo interesante en este blog.
Alguien sabe como desactivo lo mismo el Gmail?

Terroristas en la Red.

Recuerdo que hace tiempo en un canal IRC se estuvo hablando sobre las paginas terroristas, y ahora que estuve mirando un rato la Wikipedia, me encontre con que actualmente esas paginas siguen activas, lo que me lleva a preguntarme, si en los casos de Phishing, las entidades nacionales afectadas (generalmente bancos) hacen que su personal IT se mueva rapido para clausurar esas páginas, por qué no lo hacen los encargados de las autoridades nacionales?
El caso es que son varias de esas paginas
SL:
www.blythe.org/peru-pcp/docs_sp/dlist_sp.htm
www.geocities.com/pcp_bandera_roja
www.solrojo.org
www.redsun.org
MRTA:
www.voz-rebelde.de
www.tmcrew.org/mrta/mrta1.htm
Lo cierto es que en el caso de SL, a simple vista se puede ver que los 2 primeros links estan en EE.UU, y hasta donde sé, en ese pais se considera a SL un grupo terrorista aún, por lo que sería relativamente "facil" cerrarlas.
Las otras 2 también se pueden ver que estan alojadas en Suecia, pais de la Unión Europea, y que también considera a SL grupo terrorista
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:272:0028:0032:EN:PDF
Para esos casos se puede inclusive a pedir la ayuda de los reprsentantes oficiales de dichos paises.
Embajada EE.UU.
http://spanish.peru.usembassy.gov/
Consulado Sueco en Perú.
http://www.swedenabroad.com/Page____42271.aspx
La pregunta de rigor es... por qué no se hace nada?
Que tiene que ver esto con informatica? pues se le puede hacer un footprinting a dichas paginas para saber quienes son los proveedores de hosting y si se puede, rastrear a los contratantes.

Capturado el Hacker del año

Como muchos (o pocos) ya sabrán, fue capturado Dan Egerstad, quien es este señor?, pues es la persona que publicó las claves de de diferentes instituciones y embajadas, escuchando tráfico sin cifrar de un nodo Tor.
Si alguien se hubiera preguntado como es que este hacker pudo ser capturado? pues la respuesta es que no le interesó estar en el anonimato.
Si bien su site ya esta offline, puede ser visto parte de él hasta el momento de su cierre, aprovechando la cache de google.
Pagina principal:
http://72.14.209.104/search?hl=es&q=cache%3Aderangedsecurity.com&btnG=Buscar&lr=
Las contraseñas en su momento:
http://72.14.209.104/search?hl=es&q=cache%3Ahttp%3A%2F%2Fwww.derangedsecurity.com%2Fderanged-gives-you-100-passwords-to-governments-embassies%2F%23comments&btnG=Buscar&lr=
Información de la pagina donde se ve los datos de Dan:
http://72.14.209.104/search?hl=es&q=cache%3Ahttp%3A%2F%2Fwww.derangedsecurity.com%2Fabout%2F&btnG=Buscar&lr=
A propósito, ya fue liberado.