El plugin del idioma vietnamita para Firefox 2 había sido infectado con Xorer, un virus que se encarga de añadir JavaScripts a los archivos HTML para luego mostrar publicidad no deseada a los usuarios mientras navegan. Window Snyder, responsable de seguridad en Mozilla, aseguró que cualquier paquete que haya sido descargado desde el sitio oficial, está infectado con Xorer.

Suponen que Xorer infectó inconsientemente la red interna del autor del plugin y este en busca de archivos HTML, encontró los archivos HTML de ayuda del plugin, distribuyéndose de este modo.

Según dice Snyder, Mozilla analiza en busca de virus todos los plugins cuando son subidos al servidor oficial y lamentablemente este no detectó nada extraño, sino meses después de haber estado disponible al público. No se sabe cuantas personas están infectadas con Xorer, pero se estima que el plugin fue descargado más de 16.000 veces de Noviembre de 2007.

No hay de que preocuparse, esto incluso le ha sucedido a Apple, HP, Microsoft y WordPress, los cuales distribuyen actualizaciones o aplicaciones infectadas con virus.

Más información | Hispasec

Bueno queridos lectores, me voy a formatear mi equipo…

Hablando en serio, la verdad que no existe el peor virus del mundo, pero si existen varios que son considerados peligrosos. Entre ellos están:

Read the full story

Leyendo en Neoteo, Symantec ha anunciado la presencia de un virus llamado W32.Deletemusic, el cual está programado para borrar todos los ficheros de audio que encuentre en tu ordenador.

También me entero de que este no es el primer virus que ataca a nuestros ficheros de audio. Existían otros que atacaban a los archivos .mp3 determinados días del mes y otro que dejaba sonando los mp3 como discos rayados.

El virus ataca a desde Windows 95 a Vista y se exparse en memorias extraíbles como mp3, memory stick, etc.

La gente de Symantec recomiendan actualizar los antivirus. Y en tal caso de estar infectado, desactivar el restaurador de sistema y abrir el registro del sistema (Inicio -> Ejecutar -> regedit) y buscar algo similar a

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\RunOnce\”Worms” = “C:\WINDOWS\system32

\logon.bat“.

Recuerda:

esos 10GB en mp3 no vale la pena perderlos

Una variante del gusano Win32/Stration.XW worm está causando serios estragos en la red. Uno de ellos puedes ser tú con tu querido Windows Live Messenger. A horas de la tarde, el centro de reporte de ESET (fabricante de NOD32) con ayuda del “Virus Radar“, detectó una variante de Win32/Stration.XW worm, cuyo paseito por la internet hace unos días había dejado mucho que decir. Un ejemplo de como se propaga, es esta imágen:

Un usuario infectado por este gusano accidentalmente, muestra en su ventana un mensaje en el que te invita a descargar unas fotos, donde aquellos curiosos siempre caen.

La carpeta contenida en el archivo RAR dice Mis imágenes y luego nos muestra:

Si ingresamos dentro de esta carpeta comprimida, en ella veremos un archivo bastante sospechoso que lleva el nombre de yo_posse_007.jpg.exe. Aqui es cuando ya altiro podemos notar que se trata de un archivo maligno. ¿Por qué?… simplemente por su extensión. En este caso es .exe.

Por el momento no existe una vacuna para esta amenaza letal. El mejor consejo que les podría dar es mantenerse aislados del Messenger para evitar infectar a otros copuchentos mirones o curiosos, y por supuesto, mantener actualizado tu sistema antiviral.

Algunos invitan a las personas a colocar esta imágen en su avatar para prevenir y cuando te pregunten ya estás informado.

Vía: El Rancahuaso

El malware Win32/VB.NHI está distribuyéndose a través de mensajería instantánea, utilizando textos en idioma español.

ESET, proveedor global de protección antivirus de última generación y desarrollador de ESET NOD32 Antivirus, advierte sobre la detección de un nuevo gusano de MSN Messenger o Windows Live Messenger. El gusano en cuestión es el Win32/VB.NHI y ESET NOD32 es uno de los primeros antivirus en detectar la amenaza. Este gusano envía un mensaje con un enlace a una supuesta animación que aludiría a George W. Bush, actual presidente de los Estados Unidos. Hacer referencia a personajes famosos es una técnica de Ingeniería Social ampliamente utilizada por los creadores de malware.

Si el usuario hace clic en la dirección, se descarga el archivo ejecutable malicioso, continuando la propagación del mismo. El archivo es llamado “bush.exe” de 122 Kb de tamaño y es el gusano propiamente dicho.

El gusano se propaga a través de mensajes en español que incentivan al usuario a pulsar sobre el enlace, como se muestra a continuación:

Una vez ejecutado, el malware inicia ventanas de conversaciones con todos los contactos del usuario infectado que estén conectados en ese momento y se envía automáticamente de la misma forma.

Además, el código malicioso agrega claves en el registro del sistema para asegurar su ejecución en cada reinicio y realiza copias ocultas de si mismo bajo los siguientes nombres:

C:windowsstrad.exe
C:windowszser.exe
C:windowssystem32xsfr.exe
C:windowssystem32xeyu.exe

Cada vez son más los gusanos de MSN que actúan con estos mismos métodos de propagación, incluso en idioma español como este caso, por lo que es muy importante que el usuario considere si realmente su contacto es quien está enviando el enlace o archivo, y antes de hacer clic en el mismo, lo confirme consultando si realmente la otra persona fue quien se lo envió. Nunca hay que hacer clic en una dirección web desconocida y más si apunta a un archivo ejecutable como los que tienen extensión .exe.

“La gran mayoría de estas infecciones suceden por curiosidad y por el pensamiento de que es un amigo quien le envía el enlace, pero lamentablemente los usuarios tenemos que ser más cautos cuando nos envían mensajes dudados porque podía tratarse de un malware”, dijo Ignacio Sbampato, Vicepresidente de ESET para Latinoamérica.

“Es importante que los usuarios cuenten con antivirus actualizados periódicamente, con capacidades heurísticas y proactivas de detección, como ESET NOD32, dado que les permitirá protegerse ante nuevas amenazas que estén en circulación.”, añadió Sbampato.

ESET además recomienda la constante actualización del sistema operativo y demás aplicaciones utilizadas a fin de evitar cualquier tipo de vulnerabilidad existente en los mismo.

También es primordial la capacitación de los usuarios, ya que un usuario con conocimientos sobre estos temas, siempre actuará de forma más segura que uno que no lo está.

“En ESET siempre hacemos hincapié en la importancia de la capacitación, por eso desarrollamos nuestra propia Plataforma en Línea Educativa sobre seguridad informática y seguridad antivirus, con cursos para que todos los usuarios puedan aprender a usar Internet en forma segura”, cerró Sbampato.

Vía: Chetumail

Este virus se camufla bajo el nombre de las aplicaciones mas populares e instala un troyano que a su vez toma el nombre de los archivos de descargas en Torrents para seguir propagándose por la Red.

El equipo de analistas de virus de BitDefender advertido a los usuarios de las redes P2P de una nueva amenaza on-line.

Este virus, llamado Ymeak.A, ha estado propagándose de manera asombrosa a través de una sencilla pero efectiva técnica de ingeniería social disfrazándose de paquete de instalación de las aplicaciones más populares.

Cuando los usuarios abren las aplicaciones para ejecutarlas el gusano muestra un mensaje diciendo que el programa descargado no se ejecutará debido a que no es seguro mientras que el virus procede a descargar e instalar el troyano RBot.

Este troyano se propaga desde el ordenador de la víctima utilizando las principales cinco redes P2P como vector con un nuevo nombre.

Un ataque masivo de “spam” o “correo basura” que induce a los usuarios a abrir ficheros infectados con virus está propagándose en internet, advirtieron hoy compañías de seguridad informática. El ataque de este virus, una nueva variante del “storm worm”, es el mayor en los últimos 12 meses y más de tres veces superior a los dos que se han producido en los tiempos recientes, según la firma de seguridad informática Postini.

“Estamos viendo 50 ó 60 veces más volumen de “spam” de lo habitual”, dijo Adam Swidler, de Postini.

Los “correos basura” en cuestión llegan con encabezamientos como “Worm Alert!”, “Worm Detected” o “Virus Activity Detected!”, junto con un fichero de extensión ZIP que incluye un virus capaz de desactivar el software de seguridad y robar información del ordenador.

El ataque no está exento de ironía, ya que los nocivos correos advierten a los usuarios de la necesidad de protegerse contra los gusanos informáticos.

Según Swidler, el “spam” trata de convencer a los usuarios de que sus ordenadores ya están infectados y son parte de una red de sistemas “zombies” a disposición de los piratas informáticos.

Postini señaló que ha contabilizado cinco millones de copias de este ataque en 24 horas, y, según sus cálculos, este “spam” cuenta por el 87 por ciento de todo el “correo basura” que circula en estos momentos por la red.

Mantenga su antivirus actualizados.

Una característica documentada de Apple QuickTime (denominada HREF Tracks), es la causa de la ejecución de código malicioso desde una página Web.Recientemente se ha detectado un troyano que se vale de esta característica mediante una película de QuickTime oculta para descargarse. Se trata de un JavaScript que es ejecutado cuando se visita una página hospedada en MySpace.
MySpace es un sitio web de interacción social formado por perfiles personales de usuarios que incluye redes de amigos, grupos, blogs, fotos, vídeos y música, además de una red interna de mensajería que permite comunicarse a unos usuarios con otros (según Wikipedia). La versión en español, aún está en fase beta.

Una página de usuario de la versión en inglés de MySpace, que promociona a un grupo musical francés, utiliza esta posibilidad para ejecutar un script que obtiene información de los usuarios que visitan dicha página y enviarla a un servidor remoto (NOD32 detecta este código como JS/SpaceStalk.A).

La acción se desarrolla de la siguiente manera:

1. El usuario visita la página Web y sin saberlo, se ejecuta una película QuickTime oculta.

2. La película descarga y ejecuta automáticamente el código JavaScript del troyano.

No es la primera vez que MySpace es utilizado para infectar a usuarios desprevenidos por medio de códigos maliciosos, utilizando diversas técnicas. En el pasado sus visitantes fueron afectados por spyware y otros malwares en más de una oportunidad. En diciembre, se utilizó esta misma característica de QuickTime para distribuir un troyano que robaba contraseñas de usuarios.

En este caso, se utiliza específicamente una vulnerabilidad en una característica de Apple QuickTime, documentada por el propio Apple como una funcionalidad.

Según Apple, un HREF Tracks agrega interactividad a una película de QuickTime. Los HREF Tracks contienen enlaces (URLs) que pueden especificar otras películas que reemplacen la actual, carguen otro marco, o ejecuten al propio reproductor QuickTime. También pueden especificar funciones en JavaScript, o páginas Web que carguen un FRAME o ventana específica del navegador.

Un HREF Tracks no necesariamente puede ser algo que deba ser visualizado, simplemente contiene información de conexión a un enlace. Los HREF Tracks pueden ser interactivos o automáticos. En el primer caso se cargan solo cuando se hace clic en el área de despliegue de la película. En el segundo, se ejecutan cuando la película es visualizada en un marco específico.

La idea de esta funcionalidad es crear presentaciones, o cualquier serie de acciones coordinadas con la visualización de la película, o cualquier cosa que se pueda lograr mediante comandos JavaScript.

Y allí es donde existe el verdadero peligro.

Apple QuickTime publicó específicamente una actualización a su reproductor en diciembre de 2006, que corrige la acción de esta funcionalidad para que no pueda ser ejecutado un código en ventanas o marcos de dominios diferentes (Cross-Site-Scripting).

Son afectadas las versiones 7.1.3 y anteriores.

Fuente: ProDownload