Hace unos dias en el blog del laboratorio de Investigacion de ESET se publico esta entrada.

En la última semana se ha comenzado a propagar vía spam gran cantidad de malware en scripts y exploits alojados en archivos PDF especialmente manipulados para ese fín. Este incremento se debe a la reciente publicación, por parte de Adobe, de una actualización crítica en su popular producto Adobe Reader. Aquellos usuarios que no hayan actualizado su sistema son potenciales víctimas de este ataque.

Se esta distribuyendo por correo electrónico archivos conteniendo Malware que es usado para robar datos mediante la técnica del Farming.

Tengan cuidado, al recibir un correo con el asunto: "Acabas de recibir una postal de Halloween" proveniente supuestamente de Yahoo Peru (laurilalinda_peru@yahoo.com); en el cuerpo del mensaje podrán observar el logo de Yahoo! Peru, haciendo referencia a una supuesta postal enviada por un amigo, una imagen alusiva a Halloween y cada enlace se dirige a un archivo malicioso tal como se observa en los siguientes screenshots.

Al leer el título del artículo pensarán que cambiamos la temática de la Web, sin embargo no es que se haya cambiado la temática del sitio."Postal de Amor" era el título de un correo que recibí indicando que alguien de manera anónima me había enviado una postal por medio de uno de los innumerables servicios gratuitos que se brindan en la red.

El supuesto correo provenía de ciberpostales.com (postales@ciberpostales.com) indicándome que tenía una postal enviada por alguien con la dirección de correo de aries.1245@gmail.com.

En el correo se incluía la dirección para visualizar la postal Http://www.ciberpostales.com/recoger.php?codigo=080811200819xfYQkB1bsll esta en realidad enlazaba a la dirección http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.kdr2.covlin.com/form/recoger.phpcodigo
=080811200819xfYQkB1bs.exe

Ayer y hoy he recibido reiteradamente un correo electrónico con el asunto "Aca estan las fotos", y de remitente "Joa", al ingresar se observan el siguiente contenido:

"Como te prometi amor aca estas las fotos ya sabes como abrirlas besos"

Seguido de cuatro enlaces:

foto001.jpg, foto002.jpg, foto003.jpg, foto004.jpg

Todos los enlaces son dirigidos a servidores (probablemente vulnerados por los atacantes) que contienen virus en archivos ejecutables, foto2_jpg.exe y foto_jpg.exe

Vista del correo electrónico

La NASA ha confirmado que el gusano W32.Gammima.AG (que roba datos de acceso para juegos "on line" e intenta enviarlos a un servidor central) ha sido detectado a bordo de la Estación Espacial Internacional (ISS), a donde presumiblemente llegó alojado en el portátil de uno de los astronautas incorporados en Julio, y desde el que se propagó, al parecer vía USB, a varios portátiles ma? de la tripulación.

Los ordenadores de la ISS no están directamente conectados a Internet, sino a un enlace satelital que les permite enviar y recibir correos, información y ficheros.

Desde Hispasec advierten de un troyano que afectaba a archivos multimedia con una técnica de infección no vista hasta el momento.

Haciendo referencia a las veces que, tras descargar un archivo de una red p2p, tienes que descargar algún códec para poder verlo, Emiliano Martínez Contreras, analista de la empresa de seguridad informática Hispasec, describe en un artículo un troyano que apareció a finales de julio afectando a archivos multimedia al que se ha denominado GetCodec y que emplea una técnica de infección que no había sido vista hasta el momento.

Según advierte Martínez Contreras, el troyano se ha detectado propagándose encubierto como cracks en páginas de warez y cracks. “Es totalmente silencioso, lo cual induce a pensar que tan sólo se trata de otro crack corrupto más. Tras su eecución, el troyano busca todos aquellos archivos con extensiones MP2 .MP3 .WMA .WMV .ASF. El formato ASF es un formato propietario de Microsoft empleado por Windows Media Player que permite introducir secuencias ejecutables en flujos de audio/video. El troyano aprovecha esta propiedad para introducir en los archivos multimedia de la víctima una secuencia que solicita la descarga de un codec falso desde un Sitio Web. Éste codec es a su vez otro troyano, aunque la técnica podría emplearse para servir cualquier tipo de contenido”.

El virus que meses atrás nos sorprendió 'infectando' los archivos de sus víctimas usando algoritmo RSA de 1024 bits y que se hizo famoso como el 'virus extorcionador' ahora regresa con mas fuerza y mejorado. En esta nueva versión, GpCode ataca mas formatos de archivos, incluidos los tradicionales (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h) que la versión anterior atacaba; Kaspersky Labs había logrado controlar los ataques de la version anterior de este malware.

Existen reportes confirmados de esta nueva versión de GpCode Ransomware que se propaga a través de un botnet.

Boface.A utiliza las redes sociales para propagarse mediante comentarios que parecen vídeos de YouTube, pero que llevan al usuario a webs infectadas.

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado un nuevo gusano, Boface.A, que se propaga a través de MySpace y Facebook al insertar en los comentarios de ambas redes sociales un enlace que si bien parece conducir a un vídeo de YouTube, en realidad lleva a una página falsa que imita dicha web.

Al intentar visualizar el supuesto vídeo, aparece un mensaje que indica la necesidad de instalar la última versión de Flash Player. Y es en el momento en el que el usuario realiza dicha instalación cuando se está introduciendo una copia del código malicioso en su ordenador.

Una vez infectado, el equipo se convierte en una máquina zombi, es decir, manejada de manera remota por un ciberdelincuente. De esta forma, el individuo puede llevar a cabo toda una serie de operaciones como capturar las claves para las mencionadas redes sociales con el objetivo de seguir introduciendo sus comentarios maliciosos en las mismas.

Hoy aparece en la portada del diario El Comercio, un titular en el que se alerta de un virus que hace uso del emblema de la Policía Nacional del Perú para distribuir un virus, el que se hace pasar como un supuesto software de protección.

Este software ha sido distribuido mediante correo electrónico en el que incluso se copiaban algunos textos de la Web de la DIVINDAT para hacer más creíble el mensaje. Ofrecían un enlace al supuesto software que no era otro sino un virus, utilizado para el robo de información. La Web fue retirada el día de ayer, después de haber informado el hecho a la DIVINDAT.

Fuente: El Comercio

Esta circulando en la red el gusano "Storn.worm" con el tema del dia de la independencia de EEUU, se propaga a traves de correos electronico engañando a los usuarios a ejecutar el gusano, existen 5 diferentes exploits que infectan a las victimas que estan dentro de un malware, que se llama fireworks.exe

El gusano Storn.worm siempre cambia de metodos y tecnicas de infeccion, el uso de URLs con contenido malicioso siempre ha sido una tecnica usada, o acceder directamente desde el correo electronico a algun IP que te re-direcciona hacia el codigo malicioso e infecta el equipo.