12° Informe VirusAlerts (Spyware/Troyanos)

Cuidado en Mexico con PROFECO:

El informe de PandaLabs y ArceoLabs de esta semana trata de sobre el gusano Oscarbot.UG, el troyano Spammer.AJF, el Spyware SpyGas.EXE y una serie de aplicaciones P2P utilizadas para distribuir el adware Lop.

SpyGas.exe es un Spyware que se transmite por e-mail al usuario con el asunto "Gasolineras Fraudulentas de México", insitando al usuario a abrir el mensaje, para que se descargue un supuesto Software actualizado en el que la "Profeco" muestra información sobre estas.

El mensaje contiene un link al archivo ejecutable, mismo que no parece NADA sospechoso ya que este cuenta con un icono que contiene el "Águila de Mexico" y por nombre "gasolineras_update" este archivo al ejecutarlo mostrará toda la información, sin embargo mientras el usuario esta entretenido revisando la información mostrada por el .exe este aprovecha para conectarse a un server y descargar un software espía que se encarga de modificar los "host" de Windows, para de esta manera encontrar puertas y entrar en el sistema.

Oscarbot.UG es un gusano con características de backdoor, que se propaga a través de la aplicación de mensajería instantánea de AOL (AOL Instant Messenger - AIM). Una vez ejecutado se copia tanto en el sistema como en las llaves de memoria que se conecten a él.

Este gusano, además, se conecta a una página web y utiliza el canal IRC para recibir y enviar información a la misma. Además, para evitar ser detectado, se deja de ejecutar si comprueba que lo están probando en máquinas virtuales como vmware y sandbox o en un honeypot; estas herramientas suelen ser empleadas para verificar si un fichero ejecutable realiza instrucciones maliciosas en un entorno controlado.

El troyano Spammer.AJF, por su parte, está diseñado para enviar spam (correo basura) desde los ordenadores infectados. El mail que envía está escrito en italiano y tiene el siguiente asunto: Ci sono i problemi con la potenzialita? D'ora innanzi non ci saranno piu

Una vez en el sistema, este troyano realiza varias copias de sí mismo en el sistema. Además, crea varias entradas nuevas en el Registro de Windows que afectan a la seguridad de Internet una de las cuales, por ejemplo, evita que se muestren las ventanas de Internet Explorer que alertan sobre las páginas no recomendadas o inseguras.

Además, PandaLabs ha detectado dos falsos instaladores de aplicaciones peer to peer o P2P (BitRoll-5.0.0.0 y Torrent101-4.5.0.0) que están siendo usados para instalar ejemplares del adware Lop en los ordenadores de los usuarios.

A continuación mostramos una serie de imágenes de el Spyware "PROFECO" :


Más imágenes disponibles en la galería de Hack//Crack®.

4° Noticia Software (Ventas/Updates)

Microsoft habla de "Windows 7 Codename":

Una vez más, se escuchan rumores del Sucesor de Windows Vista, como muchos ya habrán escuchado, por la World Wide Web rondan noticias que en su mayoría son falsas, mismas que tienen ya algo de antigüedad, desde finales del 2006 cuando Windows Vista apenas veía la Luz en el mundo empresarial, ya rondaban noticias del nuevo sistema operativo que sería quien remplazara a Windows Vista.

Conocido como: "Windows Viena" y en otros pocos foros como "Windows 7 Codename", se han especulado demasiadas cosas, pero la verdad es que Windows no había hablado de eso hasta hoy.

Esta vez es Microsoft quien da a conocer un poco sobre el ya mencionado "Windows 7 Codename", datos como son su fecha de lanzamiento entre otros.

El Debut según fuentes Microsoft se espera en 2010, sin embargo sabemos que siempre hay atrasos en cuanto a esto se refiere.

Sin embargo para ir comentando más sobre el tema y romper un poco con los temas "falsos" se ha lanzado al un "Blog" mantenido por dos directores de ingeniería de software de alto nivel involucrados en el desarrollo de "Windows 7 Codename".

Jon Devaan y Steven Sinofky, son responsables son los responsables, y se han comprometido a ir comentando cierto detalle las especificaciones técnicas en octubre, durante la conferencia de Desarrolladores Profesionales y más novedades para la Windows Hardware Engineering Conference.

Como muestra de que quieren evitar "pasos en falso" con las espectativas, ya dijeron que no se extenderán en promesas de nuevos "features" y funciones que más tarde puedan ser desechadas y no llegar a integrar "Windows 7 Codename", pero que de igual manera puedan levantar falsas esperanzas y expecativas.

Entre otras cosas se aclara que "Windows 7" no será una iniciativa tan ambiciosa como ocurrió con "Windows Vista". Así los entendidos afirman que es bastante claro que vamos a por una mejora incremental por sobre Windows Vista, pero no será algo revolucionario.

Sin embargo aclarán, será un gran cambio en la interfas y la posibilidad de usar pantallas "touch".

11° Informe VirusAlerts(Gusanos/Troyanos)

Cuidado con Facebook y MySpace:

-Y Mientras el famoso sitio de redes sociales FaceBook estrena su nueva imagen, lanzada hace 1 mes, los desarrolladores de virus ya se han encargado de sacarle provecho.-

El informe de esta semana realizado por ArceoLabs & PandaLabs recoge información sobre el gusano Boface.A, el troyano Nabload.DIK y troyano Exchanger.T

El código malicioso Boface.A se propaga a través de redes sociales (MySpace y Facebook) publicando comentarios que parecen ser vídeos de YouTube, pero que conducen a páginas web para infectar a los visitantes.

Para ello, este gusano inserta en los comentarios de ambas redes un link que parece conducir a un vídeo de YouTube, pero que, en realidad, conduce a una página falsa que imita a esta conocida web. Cuando el usuario intenta ver el supuesto vídeo, aparece un mensaje diciéndole que para ello necesita instalar la última versión de Flash Player. Si algún usuario realiza esa instalación, lo que realmente estará introduciendo en su equipo es una copia del gusano.

Nabload.DIK tiene la peculiaridad de intentar engañar al usuario haciéndole ver un video de una chica playboy llamada Kelly Key, mientras que en segundo plano, el Nabload se encarga de descargar malware del tipo Banker que ejecutara e instalara en el sistema. Un vez instalado en el sistema los ficheros process.exe & orkut.exe se quedaran en ejecución de forma oculta esperando conseguir los datos bancarios tan deseados.

Este es el Link al Video que muestra el Malware para no levantar sospechas mientras la infección se lleva a cabo. http://www.youtube.com/watch?v=4CSu1b9IJJ0

Exchanger.T es un troyano que llega vía email a los buzones de correo, con mensajes tan llamativos como: "Madonna admits to extra marital affair", "Dog killed by stray golf ball", "McCain goes out on negative campaign against Obama", etc.

En esos emails se incluye siempre un link a una URL desde la que supuestamente se puede visualizar el video de la noticia, sin embargo, al acceder a ella informa que es necesario instalar una actualización del Adobe Flash Player para visualizarlo.

Se trata de una artimaña por parte de los creadores de este malware ya que lo que realmente se instala en el sistema es el Trj/Exchanger.T, el cual esta diseñado para descargarse otras variantes de malware; como Application/AntivirusXP2008, un falso antivirus "Antivirus XP 2008" con un componente dedicado a lanzar mensajes de spam para propagar la infección.

-Algunos sintomas que muestra este curioso Malware, es cambiar el fondo de escritorio por uno en color Azul y un mensaje "Warning! Spyware Detected on your Computer, Install an Antivirus or Spyware Remover to clean your Computer". Hemos colgado algunas imágenes a continuación y en Hack//Video® el famoso video de Kelly Key.-