Portal De Tecnologia y Ciencias

Portal De Tecnologia y Ciencias

miércoles, 27 de mayo de 2009

SEGURIDAD


Casi 30.000 vídeos de YouTube contienen comentarios con links a páginas maliciosas

Es un ejemplo más de cómo los ciberdelincuentes están atacando las webs 2.0 más populares con el fin de distribuir malware. Anteriormente se había visto, a menor escala, en Digg.com, en Facebook y en otras. Ahora, PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha localizado hasta 30.000 vídeos de YouTube que contienen entre sus comentarios links que conducen a una página diseñada para descargar malware.

PANDA SECURITY
En esos vídeos pueden verse comentarios de tono erótico y un link que parece redirigir a una página legal de contenido pornográfico.

Sin embargo, cuando los usuarios pinchan en el link, son dirigidos a una página que simula ser la original, pero que en realidad es maliciosa. En ella, para ver el vídeo se les pedirá que se descarguen cierto componente. Si lo hacen, en realidad estarán introduciendo en su equipo una copia del falso antivirus PrivacyCenter http://www.flickr.com/photos/panda_security/3548358229/

Este falso antivirus, una vez ejecutado en el equipo, simula llevar a cabo un análisis del mismo detectando decenas de ejemplares que en realidad no están en el equipo. A continuación, ofrece al usuario la posibilidad de comprar la versión de pago de este falso antivirus para eliminar esos virus. El objetivo último de los ciberdelincuentes es obtener ingresos con la venta de esa versión Premium. http://www.flickr.com/photos/panda_security/3548362019/

"La técnica de poner comentarios maliciosos en los vídeos de YouTube no es novedosa. Lo alarmante es el gran número de ellos que hemos encontrado con vinculos dirigiendo a una misma página. Esto nos hace pensar que los ciberdelincuentes cuentan con herramientas automatizadas para publicar esos comentarios", explica Luis Corrons, director técnico de PandaLabs


"Gumblar", una amenaza vírica "in crescendo"

Gumblar es un espécimen de origen chino que llevaba cierto tiempo circulando, se detectó y comenzó a seguir desde finales de marzo. Los medios se han fijado en él (siempre recordando que la noticia origen es de una casa antivirus) por el preocupante y rápido aumento de infectados que se ha contabilizado en las últimas semanas. Ha llegando a doblar el número de victimas semanalmente; también se le atribuye el 42 por ciento de las nuevas infecciones detectadas en sitios web.

HISPASEC.COM
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.

La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.

En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.

Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en VirusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.

No hay comentarios:

El Cielo

El Cielo

Explosion de Una Supernova

Nerd Test

Bienvenidos aquellos que no se conformen en ver en tres dimensiones

Saludos mis amigos(as) ; Colegas y estudiantes

Aqui estara una herramienta para todos donde podremos compartir nuestras ideas opiniones e informacion de una manera honesta y clara para que todos aquellos que acesen este blog puedan utilizarlo para crecimiento y conocimiento.

Las fuentes de informacion de este blog provienen de diferentes areas dentro de la red excepto algunos que son estudios de mi autoria

Videos para aprender

una nueva conciencia

una nueva conciencia

No estamos solos

Powered By Blogger

el maestro

el maestro
LINUX