Así, las etapas que comprenden su desarrollo se dividen en las siguientes:

1. En primer lugar está la Creación: En este punto, la mayoría de las veces, la creación de códigos maliciosos comienza con una propuesta, por lo general llevada a cabo por parte de una comunidad de personas malintencionadas o que persiguen fines delictivos. Generalmente, se busca el desarrollo de este tipo de códigos con el objetivo de explotar y aprovechar alguna nueva vulnerabilidad o, más recientemente, con el propósito de hacer dinero.
2. El segundo paso que recorre el ciclo de vida de un virus es el Desarrollo: En este caso, se cree erróneamente que la creación de programas maliciosos requiere conocimientos profundos de algún lenguaje de programación, pero en la actualidad existen muchas herramientas que permiten crear programas que tengan la capacidad de realizar ataques al sistema.
3. A éste le sigue la Réplica:  Y es que en este punto, una vez que el malware ha sido desarrollado, se utiliza algún método para su difusión. Por lo general, los mecanismos de propagación elegidos responden a formas de comunicación masiva; entre las cuales, las más comunes están representadas por el correo electrónico y las redes P2P. Es importante destacar que quien desarrolla el programa no necesariamente es el mismo que lo propaga.
4. Tras éste, le toca el turno a la Entrega de la carga: Esta etapa es una de las más importantes y siempre resulta dañino. Esta carga se puede activar mediante un método condicional o bien, en forma directa.
5. El último ciclo responde a la etapa Individualización: Es a partir de este momento en el que las firmas antivirus detectan la propagación e individualizan el código malicioso para luego proceder a crear la firma (su huella digital) que lo identificará unívocamente.

En concreto, Pharma Hack es un malware que infecta los blogs y cuyos efectos son los siguientes:

Primeramente, se hospeda en la web sin que su administrador se percate de nada, e instala de manera invisible links que redirigen a sites de venta de productos farmacéuticos, concretamente comprimidos para la disfunción eréctil como viagra o cialis. Asimismo, en las últimas semanas están proliferando enlaces que redireccionan a páginas de contenido para adultos.

Para continuar, el virus además de instalarse de forma transparente, ejecuta sus acciones de la misma manera para evitar ser detectado. Cuando se visita el blog no se aprecia ninguna anomalía, pero cuando los motores de búsqueda rastrean el lugar para indexar las páginas aparecen los links.

La herramienta de Google para webmasters envía comunicados con avisos sobre esta intrusión y de no corregirlo pondrá el blog en cuarentena bajo la advertencia ‘Este sitio puede haber sido modificado por terceros’.

Por su parte, las amenazas más características de los sitios religiosos son los llamadas antivirus falsos, aquellos que aparecen, por ejemplo, en rótulos publicitarios.  En este punto también destacan los blogs, por ser especialmente vulnerables, ya que uno de cada 67 alberga contenido malicioso, potencialmente dañino. En este último aspecto, las redes sociales están escalando posiciones, y según el informe publicado por Kaspersky es que éstas son más peligrosas para la seguridad informática que las webs de contenido pornográfico.

Los blogs son también especialmente vulnerables, ya que uno de cada 67 alberga contenido malicioso potencialmente dañino. Por otro lado, según un informe publicado el pasado marzo por Kaspersky, las redes sociales también son más peligrosas para la seguridad informática que las webs de contenido pornográfico. De hecho, más de 20 por ciento de los enlaces maliciosos se encuentran en sitios de redes sociales.

Fuente: Symantec

El nombre de este virus es Floxif, un troyano que instala un código malicioso con el objetivo de convertir el equipo infectado en un nodo de una red de ordenadores zombis. Desde INTECO advierten de la necesidad de eliminarlo lo antes posible en caso de infección, para lo que remiten a la página de la Oficina de Seguridad del Internauta (OSI).

La infección se produce cuando tras recibir uno de esos correos fraudulentos es abierto el fichero adjunto que dice ser la supuesta factura erronea, cuando en realidad es un programa que instala el virus.

Los síntomas son: mensajes de error, disminución brusca de la velocidad del sistema, cambio de contraseña y redirecciones en Internet hacia otras páginas web donde nuestro equipo podria infectarse con otras piezas de malware. Según el INTECO, también puede avisar al usuario de la existencia de un virus y pedirle que descargue un “falso antivirus”.

Para poder solucionar el problema si nuestro equipo se haya infectado podemos restaurar el sistema hasta un punto seguro anterior. Esto solo es posible si utilizamos habitualmente la característica de “Restauración del Sistema” presente en Windows Me, XP o Vista, o bien si tenemos instalado el Norton Ghost.

En caso contrario podemos inicar el sistema en “Modo a Prueba de Fallos” y eliminar la infección con un antivirus actualizado.

A continuación es necesario eliminar el siguiente fichero:

c:\Archivos de programa\system\symsrv.dll (también puede estar en c:\Program Files…)

Si no puede realizar alguna de estas dos tareas es posible que el virus se encuentre residente en la memoria del equipo. En este caso pulse Control-Mayúsculas-Esc para pasar al Administrador de tareas y detenga el proceso “symsrv.dll” en la pestaña correspondiente (Procesos), tras lo que debería poder eliminarlo.

Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador y vacie la papelera de Reciclaje.

Tras esto su equipo debería quedar limpio del virus e iniciar normalmente.

Fuente: Diario ABC y web del INTECO

Un malware es un software malicioso (del inglés malicious software) que tiene como objetivo controlar un ordenador, sin el consentimiento de su propietario, con el propósito de conseguir datos o información sensible.

La compañía no ha informado sobre el origen del ataque o de quién está detrás de él, pero insiste en que no han sido interrumpido ni las operaciones de producción, que se están realizando con normalidad, ni las tareas administrativas ni de gestión de la compañía ya que no está infectado ningún servidor de red.

Según fuentes de la petrolera “la empresa emplea una serie de procedimientos preventivos y múltiples sistemas redundantes dentro de un avanzado y complejo sistema diseñado para proteger tanto el software de trabajo como el sistema de bases de datos”.

El incidente ocurre tras el sufrido por la Compañía Nacional Iraní de Petróleos (NIOC por sus siglas en inglés) en el pasado abril de este año, cuando fue detectado un virus en los sistemas de control de una de sus plantas petrolíferas dejándola fuera de servicio. De hecho el gobierno persa está estudiando la posibilidad de desconectar de Internet todas las infraestructuras sensibles de sufrir ataques de este tipo.

Los ciberataques a infraestructuras críticas como las relacionadas con el petroleo, son más comunes de lo que piensa el gran público. En muchos casos ni siquiera salen a la luz para no generar incertidumbre y evitar posibles pérdidas en bolsa.

Fuente: www.segurityweek.com

Chernobyl ha sido uno de los virus más destructivos de la historia y lo sacamos a colación hoy porque por sus características bien podría ser el antecesor de Rakshasa. La principal diferencia es que este último no es un virus real, sino una prueba de concepto presentada por Jonathan Brossard, director ejecutivo de Toucan System durante el trascurso de las conferencias Defcon y Black Hat.

Chernobyl y Rakshasa tienen en común la capacidad de sobreescribir la BIOS de la placa base de un ordenador. Pero es que, además, el segundo es un malware capaz de infectar el firmware de algunos dispositivos como discos duros, tarjetas de red o grabadoras de DVD utilizando iPXE.

Rakshasa, que toma nombre de un ser demoníaco del hinduismo y el budismo, puede además evitar su detección al descargarse totalmente de la memoria RAM del ordenador lo que lo haría invisible a los antivirus actuales. Actuar contra esta amenaza supondría considerables esfuerzos aunque de momento no debemos preocuparnos ya que es una realidad solo técnicamente posible. Una linea de defensa sería tener los “jumpers” de escritura de la BIOS en posición “off” para evitar que sea cambiada y otra que los accesos al firmware de nuestros periféricos estén cifrados de manera suficientemente segura.

Una vez que nuestro CDROM, u otro periférico, estuviese infectado por Rakshasa lo único que podríamos hacer sería cambiarlo por otro. Si no, nos arriesgamos a que termine controlando nuestra tarjeta de red…

Fuente: Computerword

El presunto autor del programa mediante el cual se creó Mariposa, así como de sus actualizaciones, resultó ser el esloveno Matjaž Škorjanc que bajo el nombre de ‘liserdo’ se dedicaba a vender el malware por precios que oscilaban entre los 500 y los 1300 dólares americanos a diversos delincuentes informáticos que utilizaron para crear, a su vez, otras botnet con idéntico propósito.

Matjaž, cuyo juicio comenzó en la ciudad eslovena de Maribor el pasado lunes día 6 de Agosto, desarrolló un programa a través del cual se llegaron a infectar ordenadores de algunas de las empresas más importantes del mundo y mediante el cuál se robaban credenciales bancarias y tarjetas de crédito.

¿Te ha enviado alguna vez un amigo un mensaje sin asunto o con contenido extraño? ¿De pronto tu primo del pueblo te envía mensajes en inglés? Probablemente su equipo esté infectado con algún tipo de malware, como aproximadamente el 33% de los ordenadores españoles. La mayoría de ellos solo se dedican a propagar spam, que no es poco, pero otros podrían comprometer la seguridad de tus datos más sensibles. Por ello es tan importante no olvidarse de la existencia de los programas anti-malware. Algunos de ellos, al igual que mucho software antivirus, ofrecen una versión gratuita que nos proporcionará, al menos, una protección básica.

Fuente: http://www.sta.si/en/vest.php?s=a&id=1787398

Hace escasos días saltaba la noticia, los ingenieros de la compañía rusa de seguridad Karpersky en colaboración con sus homólogos israelíes de Seculert han descubierto una nueva amenaza informática que ya ha infectado a casi mil ordenadores en países de Oriente Medio.

El nuevo malware ha sido bautizado con el nombre de Mahdi, que hace referencia al Mesías islámico, en honor al nombre de los archivos que se han utilizado para propagar el virus por equipos informáticos de Irán, Israel y Afganistán.

Si bien es cierto que 800 usuarios no suponen una amenaza de gran escala como la de otros troyanos, la peligrosidad de Mahdi radica en que la mayor parte de los ordenadores infectados pertenecen a grandes empresas de ingeniería e infraestructuras, compañías de servicios financieros, agencias gubernamentales y embajadas. Esto ha hecho saltar las alarmas de las principales compañías de seguridad informática, debido a que los datos almacenados en los equipos infectados podrían estar comprometidos.

La estrategia de propagación del troyano Mahdi es bastante simple, basta con ejecutar un archivo infectado, que puede ser un pdf o una presentación de Power Point enviada a través del correo electrónico, para que el malware se instale de forma automática en el sistema. A partir de ese momento, el código malicioso puede empezar a extraer documentos almacenados, analizar pulsaciones en el teclado, registrar el audio o realizar capturas de pantalla. Además, como Mahdi tiene la capacidad de actualizarse de forma remota, su eliminación es bastante complicada.

Una de las particularidades de este troyano, que dificulta notablemente la tarea de los ingenieros que están trabajando en su erradicación, es que muchas de las comunicaciones entre el código malicioso y los servidores de comando están escritas en lengua persa, lo cual complica seriamente el proceso.

También llama la atención la temática religiosa de los archivos utilizados para transmitir el virus. Estos utilizan imágenes religiosas para distraer al usuario de las posibles advertencias de seguridad que eventualmente podrían aparecer en sus pantallas y los confunden para que ejecuten la carga del virus.

El nuevo troyano Voterai.H está siendo la causa estos últimos días de algún que otro quebradero de cabeza. El Instituto Nacional de Tecnologías Informáticas (INTECO) ya avisó la semana pasada sobre la peligrosidad de este maleware diseñado para infectar equipos con sistemas operativos Windows.

Cuando el Voterai.H infecta un ordenador, reproduce una imagen del primer ministro de Kenia, Raila Odinga, de manera periódica en la pantalla mientras realiza una serie acciones maliciosas en segundo plano, entre las que destacan las conexiones con varios servidores gestionados por ciberdelincuentes.

La preocupación de los técnicos de INTECO radica en la peligrosidad de este nuevo virus informático que compromete seriamente la seguridad de los ordenadores ejecutando todo tipo de comandos maliciosos mientras el usuario no puede hacer nada más que apagar el ordenador frente al bloqueo del programa visualización de imágenes de Windows.

Tal y como explicaban la fuentes del Instituto Nacional de Tecnologías Informáticas, el troyano Voterai.H “se copia a sí mismo a diferentes directorios del sistema, modifica registros de Windows, abre una puerta trasera y se conecta a servidores maliciosos remotos”.

Además, este nuevo troyano tiene la capacidad de infectar automáticamente todas las unidades de almacenamiento externas que se encuentren conectadas en ese momento al ordenador, por lo que su difusión es muy rápida y difícil de controlar. Por otro lado, los ingenieros de INTECO también han descubierto que el virus puede propagarse a través de descargas P2P y correos electrónicos.

Una amenaza de seguridad informática ha mantenido al mundo en vilo durante casi dos semanas, hasta que finalmente el pasado 9 de julio todo transcurrió con normalidad y los desarrolladores del temido virus conocido como DNS Changer no consiguieron su propósito de producir una caída masiva de las conexiones a Internet a escala mundial.

La causa del pánico que comenzó a cundir hace algunos días entre los usuarios de la red viene dada por la decisión de las autoridades estadounidenses de desconectar el dispositivo de protección de los equipos ya infectados, a pesar de las recomendaciones de varios expertos que advertían, probablemente de manera exagerada, de la peligrosidad que conllevaba el permitir que dichos equipos navegasen libremente por Internet.

La madrugada del domingo 8 al lunes 9 fue larga y tensa para los voluntarios del Grupo de Trabajo de DNS Changer, informáticos profesionales que se asociaron para prevenir un contagio a nivel internacional y realizar las primeras operaciones de control de daños en caso de que la pandemia informática se hubiese consumado.

Sin embargo, la temida catástrofe cibernética quedó finalmente en una simple anécdota que algunos relatarán como el día más próximo al Apocalipsis informático. La alerta se había disparado hace tiempo y los más de 200.000 equipos infectados, 42.000 de los cuales se encontraban en Estados Unidos, no pudieron acceder a la red sin primero ser analizados por el sistema de protección.

Dicho dispositivo de seguridad, como medida preventiva, realizaba una copia de seguridad de los discos duros para posteriormente permitir el acceso a Internet mediante un servidor provisional seguro. Este sistema permitió que fuesen muy pocos los usuarios que vieran totalmente restringido su acceso a la red mientras la alerta estuvo vigente.

Una vez que todo parecía estar bajo control, las autoridades decidieron que era seguro deshabilitar la red de protección. Entre otras cosas, porque seis de las siete personas responsables de la amenaza fueron detenidas por la Interpol en Estonia, mientras que el último de ellos, residente en Rusia, se encuentra todavía fugado de la justicia.

El Gobierno de Estonia ha procedido inmediatamente a la extradición de los ciberdelincuentes, quienes serán juzgados por los tribunales de los Estados Unidos de América por delitos de fraude informático.