Eliminación de 2 troyanos que cargaban en el inicio de Windows

Actualmente no se puede tener una computador sin software contra los ataques de malware.

En un descuido mío la computadora donde trabajo se infectó con 2 troyanos que afortunadamente fueron identificados en el momento de la infección por Kaspersky Security Cloud Free que tengo instalado.

Una vez eliminados surgió un problema, cada vez que iniciaba el equipo y entraba a Windows salían dos mensajes de error asociados a scripts de Windows Script Hots:

No se encuentra el archivo de comandos "C:\Windows\system32\StartupCheck.vbs".

No se encuentra el archivo de comandos "C:\Windows\system32\Maintenance.vbs".

La obvia reacción inmediata fue buscar en las aplicaciones que gestionan qué programas cargan cuada vez que se inicia sesión en Windows. El antivirus había borrado a los troyanos pero algo seguía invocándolos.

Revisé sin éxito:

- La pestaña Inicio del Administrador de Tareas.

- El Editor de Registro de Windows.

- El Programador de Tareas de Windows.

- Utilitarios como Starter Setup o Autorun Organizer.

Aún no encontraba la ubicación de los archivos que borró Kaspersky.

He revisado un montón de páginas web buscando la solución al problema. Todos insisten en lo mismo, revisar la lista de aplicaciones que he revisado... excepto por revisar los Servicios de Windows.

Recordé que hace años atrás mi anterior computadora también tuvo una infección similar, mediante un par de servicios instalados entre los Servicios de Windows.

Lo que hacían ese par de servicios era cerrar el navegador Google Chrome todos los días a las 11 de la mañana y abrir un un clon del navegador. en el que obviamente los delincuentes informáticos buscaban que digitara mis contraseñas, datos personales y claves importantes.

Al final pude desactivar los servicios y borrar los archivos entrando desde el modo seguro.

Abrí el Administrador de Servicios y los ordené por descripción procurando identificar a algún servicio con nombre sospechoso. Lo ubiqué:

El servicio que se instaló durante la infección se llamaba AzureAttestService y no tenía descripción. El malware buscaba iniciar desde los servicios de Windows con el siguiente código:

C:\Windows\system32\svchost.exe -k AzureAttestService

El malware había intentado hacerse pasar por una aplicación vinculada a Azure de Microsoft.

Una vez desactivado no volvieron a salir los mensajes de error por los archivos borrados.

CONSEJO: Revisa periódicamente los Servicios de Windows, en especial las que no tienen descripción. El malware también puede disfrazarse de nombres de aplicaciones de programas populares.

Siempre que puedas, también habilita la autenticación por dos factores en los servicios web que utilices.

“Fileless”, el malware que se instala en la memoria RAM

Investigadores han encontrado un malware “único” y “muy raro” que inyecta un dll cifrado de la web directamente en la memoria del proceso javaw.exe.

Tanto Windows como MacOS están expuestos al exploit, ya que es muy difícil su detección por programas antivirus.
Una vez en el equipo, el malware intenta atacar al Windows User Account Control para instalar el troyano Lurk y conectarse a una botnet asociada. Este intento de instalación es fundamental, ya que de lo contrario no podría sobrevivir a un reinicio del sistema.
De momento los ataques han sido interceptados en Rusia, pero los analistas no descartan que puedan extenderse, ya que puede distribuirse a través de banners. Además puede que se distribuyan otros tipos de malware y que no sólo se utilice el Trojan-Spy.Win32.Lurk en el proceso.

Aparece un nuevo troyano para Windows de 64-bit

Symantec ha advertido de un nuevo troyano para Windows 7 capaz de elevar los privilegios de cualquier proceso restringido a nivel de administrador, sin permiso del usuario.
Las últimas versiones parcheadas de Windows 7 son vulnerables al troyano backdoor.Conpee, asegura Mircea Ciubotariu, investigador de seguridad de Symantec, en el blog de la compañía.
El nuevo troyano afecta tanto a la versión de 32-bit como a la de 64-bit de Windows 7, lo que pone de manifiesto que los creadores de  malware están rediseñando su software para superar las características de seguridad de las ediciones de 64-bit de Windows, dice Ciubotariu.
La versión de 64-bit de Windows 7 y Vista incluye Kernel Mode Code Signing y Kernel Patch Protection, diseñados para hacer que sean menos vulnerables al malware. Pero tanto backdoor.Conpee como el recientemente descubierto Backdoor.Hackersdoor han sido capaces de infectar sistemas de 64-bit.
El troyano Hackersdoor es capaz de supercar el sistema de firmas de Windows de 64-bit utilizando certificados robados. Symantec detectó este tipo de infección en diciembre de 2011 y aunque parece que su crecimiento es modesto, sí que se percibe que los creadores de malware están utilizándolos.

Redes sociales, más peligrosas que las webs porno en cuanto a 'malware'

Los cibercriminales explotan cada vez más el hecho de que la gente pasa una gran cantidad de tiempo en redes sociales como Facebook o Google+. Por ello, las redes sociales han conseguido desbancar a las webs de contenido pornográfico como los sitios más peligrosos de la web, en cuanto a estafas se refiere.
La estafa es sencilla, los cibercriminales colocan enlaces maliciosos en lugares específicos en redes sociales con el objetivo de atraer a los usuarios a sitios web infectados. Según las estadísticas facilitadas por Kaspersky Lab, más de un 20% de los enlaces maliciosos se encuentran en sitios de redes sociales.
Los ciberdelincuentes usan una amplia gama de métodos para atraer a las víctimas. Además de manipular los resultados de búsqueda, el 'spam' en las redes sociales ha sido un problema importante en el año 2011 y lo seguirá siendo en 2012.
Las páginas web con contenidos pornográficos son otro gancho para los cibercriminales, aunque han perdido popularidad tras el éxito de las redes sociales. En la actualidad, estos sitios representan el 14% de los enlaces maliciosos. Uno de los sitios de Internet donde más enlaces maliciosos se alojan es YouTube, donde se encuentran alojados casi 1 de cada 3, el 31%. Los motores de búsqueda siguen siendo un canal importante de distribución de 'malware', el 22%se transmite a través de la manipulación de resultados de Google y otros motores de búsqueda.

Los virus enviados por correo electrónico, los más madrugadores

El informe de seguridad global de Trustwave, 2012 Global Security Report, ha presentado unos resultados concluyentes respecto a la correlación entre las franjas horarias y el envío de virus. Según los datos recogidos por la compañía, el peor momento es por la mañana, entre las 8 y las 9.

El número de virus que se envían alcanza su pico entre las 8 y las 9 de la mañana. La firma Trustwave ha recopilado una serie de datos durante todo 2011 para hacer un estudio sobre el envío de virus a través del email.

Las estadísticas provienen de más de 300 incidentes que tuvieron lugar el pasado año en 18 países, además de un análisis de 16.000 millones de emails recibidos entre 2008 y 2011. A partir de ahí han concluido que la mañana es el momento más peligroso para nuestra bandeja de entrada.

Por meses, el dudoso premio de ser en el que más emails con virus se reciben es agosto. A pesar de todo hay que tener en cuenta que el malware no se manda únicamente desde un país, por lo que dependiendo del uso horario este dato podría variar.

Los troyanos baten su propio récord

  El número de creaciones de software malintencionados batió un récord el pasado año, con una cifra de 26 millones de muestras de malware, siendo los troyanos los más creados y detectados.
Según el Informe anual realizado por PandaLabs, el año 2011 cierra con un 30 por ciento de las muestras totales de malware en la base de datos de Panda Security, 88 en total. Esta cifra, que asciende de forma exponencial, es la mayor registrada en toda la historia de la compañía.
Estas cifras muestran la capacidad que poseen los cibercriminales de crear y distribuir nuevas amenazas de forma automática, que han aumentado de 63.000 a 73.000 nuevos ejemplares diarios.
El tipo de software malintencionado más popular de este último año es el troyano. Casi 3 de cada 4 nuevos ejemplares de malware son troyanos. Según el estudio realizado por PandaLabs, mientras que en 2009 los troyanos ocupaban el 60% de los nuevos ejemplares creados, en 2010 bajó al 56%. En este año ha vuelto a crecer y se sitúan en un 73% de las nuevas muestras. Les siguen los virus (14,24%) y los gusanos (8,13%). 
Los países con más ordenadores infectados, según el estudio son, Tailandia, China y Taiwán con 60, 56 y 52 % respectivamente. Estos países son los únicos que sobrepasan el 50% de infecciones a nivel mundial.
En el informe se han incluido los malware más destacados ocurridos este año. En primer lugar fue el robo de datos a Sony, que fue el mayor robo de datos de la historia.
Las Redes sociales ocupan el segundo lugar, Twitter, que ha recibido ataques utilizando los trending topics, Facebook y actualmente también Google+. Estas compañías tienen millones de usuarios,aunque no han sido especialmente atacados por los ciberdelincuentes.
Por último, los Gobiernos de todos los países han sido objetivo de ataques, así como las compañías relacionadas con los mismos (como fábricas de armas). 2011 ha sido el año de la historia en el que hemos visto más casos de intrusiones en gobiernos e instituciones de todo el mundo.

Las 'quedadas' de Google+, nuevo gancho para 'malware'

Las Quedadas de Google+, la red social lanzada en 2011 por la compañía de Mountain View, se han convertido en el nuevo gancho para llevar a cabo ataques informáticos mediante un ejecutable camuflado de 'plugin' que infecta el equipo.
Bitdefender ha localizado un nuevo ataque informático que consiste en la distribución de 'malware' usando como cebo una invitación a Google+ Hangouts (Quedadas), un servicio de Google que permite ver y comentar vídeos en grupo a través de Google+.
El ataque comienza cuando los usuarios reciben una invitación en sus correos electrónicos y les invita a descargar el 'plugin' de Google+ Hangouts.
En caso de seguir el link, se llegará a una página, que imita a la oficial de este servicio, y en la que se mostrará un botón desde el que descargarse el plugin. Si se acepta, aparecerá en el equipo un archivo con el nombre 'hangouts.exe', que aunque hace referencia al servicio, para engañar al usuario, en realidad esconde un troyano.
En caso de activarlo, el usuario quedará con su ordenador comprometido y sus datos podrán caer en manos de los ciberdelincuentes.

Google escanea las aplicaciones Android para detectar virus

Se llama Bouncer y hoy la ha presentado Google. Se trata de una herramienta que escanea automáticamente la tienda de aplicaciones de Android, Android Market, para detectar programas potencialmente malicioso “sin afectar a la experiencia del usuario y sin que sea necesario que los desarrolladores pasen por un proceso de aprobación de aplicaciones previo”, explican en el blog corporativo.
Cuando se sube una aplicación, Bouncer empieza a analizarla en busca de virus o programas espía. “También observa comportamientos indicativos de que una aplicación no está funcionando de la forma adecuada, y lo compara con aplicaciones que se analizaron previamente para detectar si han sido marcadas como inadecuadas en el pasado. Ejecutamos cada aplicación en la infraestructura de Google en la nube y simulamos cómo sería su funcionamiento en un dispositivo Android para detectar posibles comportamientos maliciosos. También analizamos las cuentas de los nuevos desarrolladores para prevenir que aquellos que quieran introducir softwares maliciosos o que ya hicieron un mal uso de la plataforma en el pasado vuelvan a intentarlo”.
Google asegura que la herramienta lleva un tiempo usándose lo que ha permitido un descenso del 40%, entre el primer y segundo semestre del año pasado, en la descarga de material potencialmente dañino. Un dato que difiera, admite Google, de los que presentan las empresas de seguridad que aseguran que las aplicaciones dañinas en Android iban en aumento. Google concreta que sus estadísticas se refieren a la tienda oficial de aplicaciones de Android.

Frankenmalware: llegan los virus que se infectan entre sí

A la par del avance de la tecnología, también los códigos maliciosos se vuelven más "inteligentes" y logran expandirse a través de métodos poco tradicionales.
Por caso, una nueva modalidad se ha conocido como "Frankenmalware", y aprovecha la capacidad de infección de un troyano para burlar la vigilancia del antivirus.
Que una variante infecte a otra es un comportamiento poco conocido para el malware pero no imposible: como archivo ejecutable, un gusano también puede convertirse en blanco de otro virus.
Como el troyano infecta archivos por tipo y no por su comportamiento, los blancos preferidos suelen ser los ejecutables de bajo nivel, que garanticen la presencia del malware en el ordenador desde su inicio, aumentado así sus posibilidades de infección.
Sin embargo, de acuerdo a un reporte de Bitdefender, una infección adrede de un virus a otro podría llevar a escenarios difíciles de resolver. Por caso, si un gusano es infectado por un troyano, el antivirus detectará primero al último, y una vez que "limpie" al gusano cambia y así altera su firma.
Si esta firma es diferente a la que tiene registrada el antivirus para eliminarlo, el gusano quedaría "inmunizado" por la infección del troyano, abriendo paso a una mutación.
El nombre oficial para estos "combos" es el de Frankenmalware, y según Bitdefender, ya hay 40 mil de estos "paquetes" en la Web.

Identifican a los creadores de Koobface, una gran amenaza para las redes sociales

La compaññia de seguridad informática Sophos ha hecho público un informe en el que se publican las identidades de los mismos autores responsables del gusano Koobface (un anagrama de Facebook), diseñado para actuar contra usuarios de redes sociales como Facebook.
Los creadores de dicho gusano -un grupo autoproclamado grupo 'Ali Baba y los 4' o la 'Banda de Koobface'- han estado haciendo la vida imposible a millones de usuarios de Internet desde mediados de 2008 y continúan haciéndolo hasta el día de hoy, a pesar de los múltiples esfuerzos para encontrarlos.
Koobface es un gusano que se propaga a través de las redes sociales, infecta PC y construye una 'botnet' de equipos contaminados. Su sofisticación es tal que puede incluso llegar a crear sus propias cuentas de redes sociales para así poder publicar enlaces que ayuden a su propagación.
Los creadores de Koobface, cuyos nombres no habían sido conocidos hasta ahora (Anton Korotchenko, Alexander Koltyshev, Roman Koturbach, Syvatoslav Polinchuk, y Stanislav Avdeiko), han ganado millones de dólares cada año gracias a los ordenadores comprometidos.
El experto en malware de SophosLabs, Dirk Kollberg, y el investigador independiente, Jan Dröemer, han trabajado junto a un amplio equipo con el objetivo de desenmascarar dicha trama.

Un virus ataca Facebook

Otro fallo de seguridad en Facebook. El gusano Ramnit -que ya fue detectado hace dos años- se ha hecho con las contraseñas de 45.000 de sus miembros, la mayoría de Francia (un 27%) y de Reino Unido (un 69%), según el boletín de seguridad Securlet.

La peligrosidad de Ramnit no se cifra únicamente en esos miles de personas afectadas (la red social tiene unos 800 millones de seguidores), sino en que el gusano es capaz de infectar ejecutables de Windows, Microsoft Office y archivos HTML, según ha informado la compañía de seguridad McAfee.
"Sospechamos que se está utilizando Ramnit para robar las credenciales de las cuentas de Facebook y transmitir enlaces maliciosos a sus redes de amigos, por lo que se va extendiendo su actividad fraudulenta en la red", informa Securlet. Ramnit, al hacerse con las claves de esos usuarios, también tendrá acceso a otros servicios web, ya que la gente tiende a repetir las mismas contraseñas en los distintos servicios que usa en Internet.
El gusano fue descubierto por primera vez en abril de 2010. En agosto del pasado año volvió a actuar en el campo financiero, penetrando remotamente en redes corporativas. Alrededor de 800.000 máquinas quedaron infectadas entre septiembre y final de año.
En julio del año pasado, Symantec calculó que las distintas versiones de Ramnit eran las responsables del 17,3% de los ataques de programas maliciosos. Otra compañía, Trusteer, aseguró en agosto de 2011 que los creadores del virus habían realizado una combinación con el código fuente de otro patógeno digital, ZeuS, que lo hacía más efectivo en el contagio y en su peligrosidad.
No es la primera vez que la más popular red social sufre el ataque de un virus. Koobface, un viejo conocido de la escena vírica, atacó Facebook y MySpace en 2008 propagándose por el método de incitar en un mensaje a los miembros de las mismas a enlazar una supuesta página donde podía contemplarse un vídeo. Al clicar se descargaba el código malicioso.
Se desconoce las intenciones de los autores del ataque. Tanto podría ser que quisieran aprovechar el conocimiento de contraseñas para intentar entrar en otros sitios financieramente más atractivos del propio internauta o vender en el mercado negro esta información. Según la empresa de seguridad Kaspersky, los datos de acceso a una red social pueden valer en este mercado delictivo 144 euros.
Las redes sociales se han convertido en una plataforma apetitosa para los creadores de virus, que buscan propagarlos a través de ellas. El Instituto Nacional de Tecnologías de la Comunicación (Inteco) catalogó durante 2011 un total de 594 virus y 4.054 vulnerabilidades, en un año en el que detectó un incremento en la difusión de este tipo de amenazas gracias al aprovechamiento de las redes sociales.
Mientras que antes el camino preferido era el correo electrónico, el aumento de popularidad de las redes sociales ha desviado maniobras de contagio hacia las mismas. Un factor que favorece la eficacia del contagio es que el remitente del mensaje que alberga, involuntariamente, el código malicioso es un amigo o conocido lo que ayuda a que el internauta no tome precauciones a la hora de activar el enlace contagioso. Una norma de prudencia es no usar la misma contraseña de acceso a la red social en otros sitios.

Robado código de un antivirus

Un grupo de activistas, denominado Dharmaraja, asegura que ha obtenido datos del código fuente de un antivirus de Symantec tras un ataque a servidores del Ejército indio.
El primer documento, fechado en 1999, describe interfaces de programación que permiten actualizar la definición de los virus. Según la compañía, el documento describe la manera en que el programa funciona, pero no alberga código fuente. El original ha sido borrado del sitio, pero ayer todavía era localizable a través del caché que guarda el buscador Google.
Sin embargo, el grupo ha publicado un segundo documento con nombres de archivos contenidos en el código fuente de Norton Antivirus. El documento ha sido publicado en Pastebin, sitio que frecuentan los grupos de hackers, como Anonymous, para publicar sus andanzas.
Expertos en seguridad aseguran que la documentación publicada no añade más inseguridad a la ya existente porque los creadores de programas maliciosos ya conocen muy bien los mecanismos de trabajo de los antivirus. Con todo, únicamente Symantec puede evaluar el alcance de la información robada.
La empresa de seguridad informática ha precisado que se trata de información sobre soluciones destinadas al mercado profesional y que no afectan a la gama de programas antivirus que se ofrecen a los particulares.
Concretamente se trata de datos sobre Symantec Endpoint Protection 11.0 (SEP) y Symantec Antivirus 10.2. El editor de los mismos ha añadido que SEP ya es un programa antiguo, con cuatro años de existencia y que Antivirus 10.2 ya no está comercializado. La compañía únicamente ofrece soporte técnico para el mismo y, asegura, se trata de una versión obsoleta. Symantec ha subrayado que el robo no se ha producido en sus sistemas, habría sucedido por un error de terceros. No es la primera vez que una compañía de seguridad sufre un robo de información sobre sus sistemas de combate de los virus. El año pasado, una vieja versión del antivirus de Kaspersky fue publicada después de que un empleado desleal la robara tres años antes e intentara su venta. El autor el robo fue condenado en Rusia.

Ramnit se hace con 45.000 contraseñas de Facebook

Otro fallo de seguridad en Facebook. El gusano Ramnit -que ya fue detectado hace dos años- se ha hecho con las contraseñas de 45.000 de sus usuarios, la mayoría de Francia y Estados Unidos, según el boletín de seguridad Securlet.

La peligrosidad de Ramnit no se encuentra en esos miles de personas afectadas (la red social tiene unos 800 millones de seguidores) sino en que el gusano es capaz de infectar ejecutables de Windows, Microsoft Office y archivos HTML, según ha informado la compañía de seguridad McAfee.
"Sospechamos que se está utilizando Ramnit para robar las credenciales de las cuentas de Facebook y transmitir enlaces maliciosos a sus redes de amigos, por lo que se va extendiendo su actividad fraudulenta en la red", informa Securlet. Ramnit, al hacerse con las claves de esos usuarios también tendrá acceso a otros servicios web, ya que la gente tiende a repetir las mismas claves.
El gusano fue descubierto por primera vez en abril de 2010, robando cookies de los navegadores; en agosto del pasado año volvió a actuar en el campo financiero, penetrando remotamente en redes corporativas. Alrededor de 800.000 máquinas quedaron infectadas entre septiembre y final de año.

Japón desarrolla un virus informático para localizar y destruir otros virus

La compañía japonesa Fujitsu está desarrollando un virus que sea capaz de identificar y combatir amenazas cibernéticas de manera más efectiva en aras de reforzar la seguridad nacional.

El único inconveniente es la ley vigente. En Japón está prohibido el desarrollo de virus informáticos, aunque se cree que en este caso se hará una excepción ya que el proyecto tiene que ver con la seguridad nacional, un tema prioritario legislativamente hablando.
Japón sufrió un importante ataque informático en 2011, cuando el Parlamento vio que su sistema informático había sido hackeado.
El proyecto que desarrolla Fujitsu está en periodo de pruebas; los investigadores están probando y perfeccionando las formas de aumentar la seguridad a la vez que se persigue, localiza y destruye un ataque determinado.
Se trata, según los expertos, de un nuevo nivel de defensa, ya que en la actualidad los mecanismos utilizados para protegerse de ataques no son capaces de identificar y neutralizarlos. Es importante, ya que muchos hackers actúan en la medida en que permanecen sin ser detectados.

Uno de cada tres ordenadores domésticos contiene algún tipo de virus de riesgo alto

Nueve de cada diez internautas españoles utilizan redes sociales, el 80,6% de ellos de forma habitual, y solo el 10,5% tienen un perfil totalmente público, según un estudio presentado este martes por el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

Este trabajo del INTECO, que trata de la seguridad de la información y la confianza de los hogares españoles, ha sido efectuado en 3.500 ordenadores domésticos entre mayo y agosto de 2011 y revela que el crecimiento exponencial de usuarios va acompañado de un incremento de la privacidad.
El director general del INTECO, Víctor Izquierdo, ha valorado que el 49,7% del total de usuarios de las redes sociales solo comparte información con sus amigos y ha añadido que el 19,4% abre su perfil a amigos de sus amigos, mientras que el 14,4% permite el acceso solo a algunas personas de su elección.
En 2008, un 43% de los usuarios de redes sociales tenían configurado su perfil de forma pública, por lo que esta cifra se ha reducido en un 33% en los últimos tres años, lo que demuestra una mayor preocupación por la privacidad por parte de los internautas españoles.

El estudio ha analizado asimismo el nivel de incidencias experimentadas en hogares con niños menores de dieciséis años usuarios de Internet, ha concretado por su parte la responsable del Observatorio de la Seguridad de la Información del INTECO, encargado del estudio, Susana de la Fuente.
A través de las respuestas se ha determinado que el 27% de los españoles tiene hijos menores de dieciséis años que acceden a la Red y el 14,2% de los padres ha declarado que sus hijos han podido acceder a páginas con contenidos sexuales, mientras que el 10,6% de ellos ha dicho que los menores pueden estar sufriendo dependencia o aislamiento social a causa de Internet.
El 8,7% de menores de dieciséis años han podido sufrir algún tipo de acoso, burla o amenaza a través de la Red y un 4,5% de ellos han podido acceder a contenidos lesivos para la salud, como los relacionados con anorexia o bulimia.
Víctor Izquierdo ha detallado que otra de las conclusiones más relevantes de este estudio es que uno de cada tres ordenadores domésticos contiene algún tipo de "malware" o código malicioso "activo y de alto riesgo", por lo que un tercio de hogares españoles está en riesgo de sufrir algún tipo de fraude.
Un 47% de las muestras de "malware" detectadas en los equipos domésticos corresponden a troyanos, muy relacionados con el robo de datos, y un 21,9% a "adware", elementos vinculados a fraudes mediante anuncios publicitarios, ha concretado.
A los fraudes relacionados con robo de datos bancarios, que son los más frecuentes según ha asegurado de la Fuente, se suman los que crecen como consecuencia del aumento de participación en las redes sociales, puesto que un 5,6% de los encuestados ha declarado haber sido víctima de una suplantación de identidad en dichas plataformas.
No obstante, la seguridad en Internet está muy presente en los hogares españoles, puesto que el 92,2% de los equipos informáticos tiene instalado un antivirus, según se deriva de dicho estudio.
Asimismo, para el 52% de los usuarios encuestados Internet ofrece mucha o bastante confianza, mientras que apenas un 7,7% ha expresado tener poca confianza hacia la Red, y un 1,1% ha declarado no tener ninguna confianza.

Google elimina 22 aplicaciones maliciosas de Android Market

Google ha eliminado 22 aplicaciones infectadas con malware de Android Market en los últimos días. Así lo asegura, al menos, la compañía de seguridad Lookout Security. Con estas últimas ya son más de cien el número de aplicaciones Android que han tenido que ser retiradas del canal de distribución de Google.
Lookout Security ha informado que tanto ellos como otros vendedores notificaron a Google la existencia de aplicaciones maliciosas. La compañía de seguridad informó de nueve aplicaciones infectadas con malware la semana pasada y de otras trece este fin de semana.
El malware colocado en las aplicaciones ha sido bautizado como “RuFraud” y está diseñado para enviar mensajes de texto a números premium, lo que genera ingresos a los criminales.
Curiosamente los usuarios de Norteamérica no se han visto afectados por el malware, que por el momento hace estragos en Alemania, Francia, Italia, Polonia, Reino Unido y Rusia.
Como ya ha ocurrido en anteriores ocasiones, RuFraud toma prestados elementos de aplicaciones legítimas para engañar al usuario. Desde lookout aseguran que toma prestados “aspectos de otras aplicaciones, incluida la terminología, y en algunos casos textos idénticos”.
Las primeras operaciones de RuFraud se iniciaron con aplicaciones de horóscopo para después pasar a fondos de pantalla para Android y la descarga de accesorios de Angry Birds, y finalmente en juegos falsos. Se calcula que se han descargado unos 14.000 copias de juegos falsos.
No es la primera vez que el malware se adentra en Android Market y con los recientes incidentes se repiten las críticas a Google por no explorar de manera proactiva las aplicaciones del servicio de descargas de Android.

A los creadores de Duqu les gusta Linux

Las investigaciones en torno a Duqu se suceden. Ahora es la empresa de seguridad Kaspersky quien acaba de descubrir que poco después de que Symantec desvelara la existencia de Duqu el pasado mes de octubre, las personas que están detrás de este malware eliminaron los indicios de su actividad de todos servidores de comando y control para eliminar pistas.
Pero a pesar de esa limpieza, los investigadores de Kaspersky han podido recoger alguna información. Vitaly Kmaluk, director de malware de la empresa rusa, asegura que además de los servidores de comando y control (C&C) de India y Bélgica, cerrados por las autoridades, Duqu se ha comunicado con otros servidores situados en Vietnam y Holanda. También se utilizaron otros servidores como proxies, de forma que la localización saltara de un país a otro y fuera complicado detectarles.
Muy poco después de que Duqu saliera a la luz pública, los responsables del malware limpiaron los servidores que habían estado utilizando en los últimos tres años en Alemania, India, Reino Unido, Singapur o Suiza. Todo esto  ha hecho que los que están detrás de Duqu y Stuxnet sigan siendo anónimos ya que, como dice Kmaluk, “han cubierto su rastro de forma muy efectiva”.
Lo interesante es que la mayoría de los servidores que fueron sido hackeados para que formaran parte de la infraestructura de Duqu estaban funcionando en Linux, concretamente con CentOS 5.2, 5.4 o 5.5, una versión similar a Red Hat Enterprise Linux. Las máquinas comprometidas eran tanto de 32-bit como de 64-bit y según Kmaluk no está claro si simplemente es una coincidencia o los atacantes prefieran esta distribución de Linux.
Algunos investigadores han estado estudiando cuidadosamente cómo fueron comprometidos los servidores, sugiriendo que podría haberse aprovechado una vulnerabilidad Día Cero en el software de cliente utilizado para acceder a los servidores. En todo caso no será la primera vulnerabilidad de este tipo que utiliza Duqu, que ya ha explotado una en el kernel de Windows.

Cae proporción de infecciones con virus informáticos en China pese a expansión de virus en celulares

La proporción de infecciones con virus informáticos en China disminuyó por tercer año consecutivo en 2010, si bien varios de estos programas malignos siguen expandiéndose rápidamente entre los terminales móviles, según una encuesta del Centro Nacional de Respuesta de Emergencia a Virus Informáticos.

El estudio, realizado entre el 20 de noviembre y el 20 de diciembre de 2010, y cuyos resultados fueron publicados con ocasión de la edición 2011 del Foro Cumbre de Seguridad Informática de China, que se celebra por estos días en la municipalidad portuaria de Tianjin (norte), muestra que la proporción de las infecciones con virus computacionales en el país declinó al 60 por cientoel año pasado.

Zhang Jian, subdirector del centro, dijo que la popularización de los conocimientos para evitar la propagación de los virus y el diseño de ciertos virus que apuntan a blancos específicos, como bancos en línea y sitios de comercio electrónico, han contribuido a ese descenso.

El sondeo también reveló que cerca del 72 por ciento de las empresas investigadas ha sufrido incidentes de seguridad de internet. Páginas web deformadas, correos electrónicos basura, también conocidos como "spam", y fraudes a través de internet son las principales amenazas para los cibernautas chinos.

De acuerdo con la encuesta, alrededor del 58 por ciento de los entrevistados cuenta con acceso a internet a través de terminales móviles, tales como teléfonos celulares o iPads. La proporción de infecciones de dichos equipos con virus llegó el año pasado a cerca del 32 por ciento.

El experto advirtió que es necesario prestar mayor atención al problema de la seguridad de los terminales móviles, ya que cada vez más personas optan por utilizar los servicios de internet a través de ese medio.

La autoría de Duqu y Stuxnet enfrenta a la industria

Aunque desde que se desveló la existencia de Duqu son muchos los investigadores que aseguran que ambos malware son del mismo creador, hay quienes creen que un equipo diferente adaptó el código de Stuxnet para crear Duqu.
Ha sido el hecho de que Duqu tenga partes del código de Stuxnet lo que ha llevado a muchos investigadores de seguridad a hablar de Stuxnet 2.0 y asegurar que ha sido la misma persona o equipo el creador de ambos.
Aunque Duqu y Stuxnet son sorprendentemente parecidos, hay algunas diferencias que hacen pensar que los autores no son los mismos, asegura Bogdan Botezatu, investigador de BitDefender, en su blog.
La reutilización de código es una mala práctica entre los desarrolladores de malware porque es más fácil para los fabricantes de antivirus detectarlos. Y esto es lo que Mikko Hypponen, investigador de F-Secure, cree que ha ocurrido con Duqu después de que su empresa lo detectara como una variante de Stuxnet.
Desde Kaspersky Labs aseguran que Duqu es actualmente una combinación de al menos dos programas maliciosos. El módulo principal, que es el que inyecta un archivo DLL en un sistema comprometido, funciona con un servidor de comando y control remoto y cuenta con un archivo de configuración, lo que es similar a Stuxnet en estructura y conducta. El segundo programa, escribe Alex Gostev, experto de malware de Kaspersky en Securelist, “es lo que le diferencia de Stuxnet”.
Gostev asegura que los autores de Duqu han sido muy cuidadosos durante el desarrollo del software porque fueron capaces de cambiar el código y superar las detecciones de los programas antivirus. Al mismo tiempo, es probable que Duqu sea capaz de funcionar como una aplicación independiente, sin necesidad del módulo principal.
Stuxnet también tiene dos partes, el gusano está más centrado en la infección y replicación y su objetivo son los sistemas de control industrial. Gostev conviene en la similitud entre ambos malware, pero explica también que Duqu no tiene otras capacidades más allá de recopilar la información de los sistemas comprometidos.
Por el momento, por cierto, no se tiene información del tipo de organizaciones que se han visto comprometidas por Duqu. Symantec no ha desvelado la información de su análisis, mientras que los investigadores de McAfee afirman que varias autoridades de certificación de todo el mundo se han visto afectadas por el malware.

La muerte de Gadafi se convierte en gancho para el malware

Estafas "online" que utilizan la muerte de Gadafi como cebo proliferan en las últimas horas y confirman la fascinación de los hackers por la muerte de celebridades como gancho para engañar a los usuarios.
Los ciberdelincuentes intentan engañar a los usuarios con la promesa de videos sobre la muerte del dictador libio para propagar malware y estafas.
La compañía BitDefender ha dado la voz de alerta sobre este tipo de prácticas.
La mayoría de las estafas se están distribuyendo a través de redes sociales como Twitter, donde los ciberdelincuentes han creado falsos perfiles para enviar mensajes que contienen "links" maliciosos.
Los mensajes anuncian la muerte de Gadafi e incluyen un "link" que, en teoría, daría acceso al video donde se muestra como murió Gadafi.
En realidad, sin embargo, esos links conducen a la descarga de distintos ejemplares de malware.
El uso de noticias sobre la muerte -real o no - de personajes famosos es una de las tendencias más claras en el mundo de la ciberdelincuencia en los últimos meses.
Así, los creadores de malware han aprovechado la muerte de Amy Winehouse, Steve Jobs o una falsa noticia sobre la defunción de Lady Gaga para infectar los equipos de los usuarios.
"Se trata de una estrategia moralmente más que cuestionable dado que los estafadores utilizan la supuesta muerte de personas conocidas (Lady Gaga, Hugh Hefner) para ampliar de manera exponencial el alcance de sus amenazas. Los ciberdelincuentes además dan muestra de pocos escrúpulos al utilizar muertes reales para potenciar el alcance de sus estafas", comentó la directora de marketing de BitDefender para España y Portugal, Jocelyn Otero Ovalle, citada por la agencia Europa Press.
Desde BitDefender han aconsejado a los usuarios que, ante noticias sensacionalistas, reales o no, extremen las precauciones.
Antes de hacer clic sobre un link, especialmente si es una URL acortado, lo mejor es analizarlo.
En caso de llegar a una web en la que se pide descargar algún complemento o códec para visualizar el vídeo de la noticia, la recomendación es abandonar de inmediato la web ya que, seguramente, se trate de una web maliciosa.

Las Fuerzas Aéreas aseguran que el virus de los drones fue una 'simple molestia'

El virus informático que afectó a los aviones militares no tripulados (drones) de Estados Unidos en la base de Creech, Nevada, ha sido una "simple molestia" según la Fuerza Aérea de EEUU.
Según la revista Wired, citando fuentes anónimas, hace unas dos semanas un virus informático entró en los sistemas que controlan este tipo de aviones. El 'malware' fue detectado en los ordenadores de la base de Creech, según explicó el Comando Especial de las Fuerzas Aéreas.
También han comentado que "este tipo de 'malware' es común y ha sido más una molestia que una amenaza para el funcionamiento de los equipos, y puede ser aislado". Parece que el virus afectó a las cabinas de los aviones tipo Predator y Reaper, pero no causó ningún problema en las misiones de control remoto de estos aparatos.
Se cree que la 'contaminación' vino a través de los discos utilizados para la actualización de los mapas topográficos. Los drones suelen ser utilizados por los militares de EEUU y la CIA para controles militares y bombardeos en lugares como Pakistán o Yemen.