| Asunto: | VSantivirus No 2614 Año 11, martes 15 de enero de 2008 | | Fecha: | Martes, 15 de Enero, 2008 06:33:25 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2614 Año 11, martes 15 de enero de 2008
_____________________________________________________________
Extraña infección masiva causa gran cantidad de tráfico
_____________________________________________________________
http://www.vsantivirus.com/15-01-08.htm
Extraña infección masiva causa gran cantidad de tráfico
Por Angela Ruiz
angela@videosoft.net.uy
Un nuevo tipo de infección que posee características poco
comunes, ha generado en los últimos días, la mayor cantidad
del tráfico de código malicioso monitoreado en la red.
ScanSafe es una compañía que supervisa y protege la
navegación por Internet de los trabajadores de grandes
empresas, proporcionando en tiempo real información sobre los
sitios que están propagando malware.
Cuando un cliente visita un sitio que ya ha atacado a algún
usuario, el servicio bloquea automáticamente el acceso a esas
páginas.
La compañía maneja unos siete millones de peticiones web al
mes. En los últimos cuatro días, el 15 por ciento del tráfico
malicioso que es bloqueado, ha llegado desde unos pocos
cientos de sitios, los cuáles parecen ser legítimos y
dedicados al comercio electrónico.
Esto ha llevado a Mary Landesman, una investigadora de
ScanSafe, a examinar más profundamente el problema, y lo que
ha averiguado no se parece a nada que se haya visto antes.
Por un lado, los sitios comprometidos hospedan un malware, el
cuál infecta los equipos de sus visitantes. Esto no es común,
ya que la mayoría de las veces los atacantes no llegan a
tomar el control de sitios conocidos, y prefieren utilizar
otros métodos para redirigir a los usuarios a otros
servidores controlados por ellos, desde donde se descarga el
código malicioso.
Lo extraño en este caso, es que los sitios no tienen un
vínculo claro entre ellos. Aunque la mayoría están ubicados
en el Reino Unido, también hay servidores en Brasil y la
India, entre otros.
No usan los mismos servicios de hosting, y aunque la mayoría
utiliza el conocido servidor Apache en Linux, las versiones
varían demasiado entre si, lo que hace muy poco probable que
los atacantes estén explotando una vulnerabilidad de dicho
software.
Esto coincide además con otro estallido de infecciones en
masa que ha estado infectando a decenas de miles de páginas,
incluyendo universidades norteamericanas (la Universidad de
Boston), empresas de seguridad (Computer Associates), y
agencias gubernamentales del estado de Virginia y la ciudad
de Cleveland, informa Landesman.
Son infectados sitios Web que corren Microsoft Internet
Information Server (IIS) y utilizan Microsoft SQL, con
enlaces que redireccionan a los usuarios a servidores
ubicados en China.
Estos sitios maliciosos, intentan instalar en los equipos de
los usuarios, un keylogger (capturador de la salida del
teclado), y otros códigos similares. Pero según ScanSafe,
esta infección masiva ha sido responsable de menos del uno
por ciento del tráfico malicioso bloqueado en los últimos
días, una fracción muy pequeña en comparación con el tráfico
de los misteriosos sitios mencionados antes.
Dichos sitios poseen otras interesantes características.
Intentan infectar a los visitantes con un archivo en
JavaScript de nombre aleatorio, que cambia cada vez que una
persona visita sus páginas.
Estos nombres siempre diferentes, hacen que sea muy difícil
proporcionar una lista completa de sitios afectados, porque
es complejo rastrearlos por ejemplo, con una búsqueda en
Google.
El script busca vulnerabilidades específicas de los sistemas
operativos usados por los visitantes, y cuando encuentra
alguna, intenta enviar un archivo .MOV desde un dominio
determinado, e instala un caballo de Troya del tipo backdoors
que abre una puerta trasera en los equipos.
Las víctimas suelen ignorar que han sido infectadas, ya que
la instalación es sencilla, y el malware utiliza muy pocos
recursos del PC.
Según Mary Landesman, se trata de algo nuevo, de lo que poco
se sabe hasta el momento.
La siguiente, es una lista de algunos de los sitios
reportados hasta ahora:
http:/ /dubai .travel-culture .com/
http:/ /operationultimategoal .com/
http:/ /www .abdet .com/maps/maps-france .html
http:/ /www .ace-cranes .com/
http:/ /www .aprazivel .com .br/
http:/ /www .bellingerfurniture .co .uk/
http:/ /www .bmw-carparts .co .uk/
http:/ /www .careinternational .com/
http:/ /www .directline-citybreaks .co .uk/
http:/ /www .directline-holidays .co .uk/
http:/ /www .directline-skiing .co .uk/
http:/ /www .emtbravo .com/
http:/ /www .flintoak .com/
http:/ /www .gujarat .com/recipes/
http:/ /www .henrykaye .co .uk/Cheap-bridesmaid-dresses-and-flowergirl-dresses
http:/ /www .hungatecottages .co .uk/the_cottages .html
http:/ /www .inthe80s .com/moviequotes/f .shtml
http:/ /www .islandescapeholidays .co .uk/Dubai
http:/ /www .london-discount-hotel .com/hotelinfo_id__106
http:/ /www .london-discount-theatre .com/productions
http:/ /www .moorgateacoustics .co .uk/
http:/ /www .njaiche .org/main .html
http:/ /www .noorcapitaluae .com/
http:/ /www .paddingtoncourt .com/
http:/ /www .panacheshoes .co .uk/
http:/ /www .peshawarjobs .com/
http:/ /www .propertyauctions .co .uk/
http:/ /www .propertyworld .com/_Bermuda
http:/ /www .quaife .co .uk/Gallery
http:/ /www .reallybored .net/
http:/ /www .sharpindialimited .com/dealer-locator .php
http:/ /www .thirlmeremeats .com .au/family .htm
http:/ /www .thirlmeremeats .com .au/special .htm
http:/ /www .travel-culture .com/airblue/
http:/ /www .vauxallparts .co .uk/
http:/ /www .yournewhome .co .uk/Swan-Hill-Homes-Ltd
Las únicas precauciones posibles, es asegurarse de tener
todas las actualizaciones al día del software utilizado
(incluyendo el sistema operativo), además de un antivirus
actualizado.
* Relacionados:
Mass Web Infections
http://isc.sans.org/diary.html/storyid/diary.html?storyid=3834
ESET informa sobre la aparición de miles de sitios con scripts dañinos
para propagar malware
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1199823658&n=2
¿Actualizar o no actualizar?
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=943
Masivo ataques a sitios web
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=941
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.eset.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2614 Año 11, martes 15 de enero de 2008
|
VSantivirus No 261
Responder a este mensaje
